Tip 파이어폭스 DoH(DNS over HTTPS), ESNI(Encrypted SNI) 설정하기

파이어폭스 DoH(DNS over HTTPS), ESNI(Encrypted SNI) 설정하기

GoodbyeDPI 사용 HTTPS 차단 우회하기

ExpressVPN 사용 후기, VPN 추천

dnsleak_test

dnsleak_test_result

https://www.dnsleaktest.com

오늘 HTTPS가 막혔다는 소식이 들려온다. 항시 VPN을 사용해서 상관없지만… 나중에는 중국처럼 VPN도 차단 때릴지도…  기존 워닝 http://warning.or.kr이 DNS감청으로 차단하는 것이라면, 이번 HTTPS 차단은 작년부터 얘기가 나왔던 SNI차단 방식인듯 하다. TLS 1.3 표준에 아쉽게 ESNI는 포함되지 않았는데, 클라우드플레어(Cloudflare)이용 중 자체 SSL인증서가 아닌 클플 인증서를 사용하는 사이트는 자동으로 ESNI가 적용된다. 아직 차단 시작하지 않은 통신사도 있는데 정부방침이기 때문에 전부 적용 될 것이고, 자신의 인터넷 보안 및 HTTPS 우회를 위한 방법을 알아보자.

https://blog.cloudflare.com/encrypted-sni/

https://blog.cloudflare.com/esni/

https://blog.mozilla.org/futurereleases/2018/09/13/dns-over-https-doh-testing-on-beta/

 

파이어폭스 셋 중 아무거나 다운로드

정식 : https://www.mozilla.org/ko/firefox/

Firefox Quantum: 개발자 버전 : https://www.mozilla.org/ko/firefox/developer/

Nightly : https://www.mozilla.org/ko/firefox/channel/desktop/

 

firefox_about.config

firefox_doh_setting

주소창에 about:config 입력하여 환경 설정 페이지 진입 후 trr 검색해서 값 변경

 

 클라우드플레어(Cloudflare)

구글(Google)

network.trr.bootstrapAddress

1.1.1.1

8.8.8.8

network.trr.mode

0 : DoH 사용 안함

1 : DNS Over HTTPS the browser’s first choice but use regular DNS as a fallback

2 : lets Firefox pick whichever is faster ( 추천 )

3 : DoH 만 사용

* 저의 경우 3으로 하면 접속안되는 사이트가 있어서 2로 사용중입니다.

network.trr.uri

https://cloudflare-dns.com/dns-query

https://mozilla.cloudflare-dns.com/dns-query

https://dns.google.com/experimental

참고 : https://wiki.mozilla.org/Trusted_Recursive_Resolver

 

ping_cloudflare_google

구글보다 클라우드플레어 ping이 빨라서 클플로 사용 중

 

firefox_esni_setting

esni 도 true로 설정

 

firefox_cloudflare_security_check

https://www.cloudflare.com/ssl/encrypted-sni/ 접속해서 잘 설정됐나 확인.

 

 

** Encrypted SNI, DNSSEC 설정 안되고, network.trr.mode “3” 으로 설정 했을 때 사이트 접속 안되는 문제 해결 방법 **

Firefox_DoH_not_set

Firefox DoH 설정해도 위처럼 적용이 안되는 경우

 

Firefox_DoH_set

network.trr.bootstrapAddress 는 아무것도 입력하지 않고 공백으로 설정해두고,

network.trr.mode => 3 (혹시 접속 안되면 2로,,, DNSSEC은 X 표시 뜰 수도 있지만 ESNI는 적용됨)

network.trr.uri => 기본설정 ( https://mozilla.cloudflare-dns.com/dns-query ) or https://cloudflare-dns.com/dns-query

*포인트는 network.trr.bootstrapAddress 에 1.1.1.1 입력했던 것을 공백으로 놔두는 것.

 

Firefox_DoH_TRR

about:networking#dnslookuptool

 

1.1.1.1_app

폰에서는 cloudflare 1.1.1.1 앱 사용하면 된다.

https://itunes.apple.com/kr/app/1-1-1-1-faster-internet/id1423538627

https://play.google.com/store/apps/details?id=com.cloudflare.onedotonedotonedotone&hl=ko

사이트 및 브라우저가 ESNI를 지원해야 우회된다.


22 Comments

  1. 다똑같이 했는데 TLS 1.3은 됬고 Secure DNS는 물음표로 떠있고 나머지 2개는 X뜹니다.

  2. 모바일에서 하라는데로 다 했는데 검사해보면 enscrypted sni만 빨간불 뜨네요.
    해결방법이 있나요?.
    한가지 특이점이 있었는데 esni설정이 원래부터 true 였습니다.

    • 파폭 설정은 버전에 따라 기본값이 다를수 있는데, esni 적용은 공유기나 어댑터 설정에서도 바꿔야 될 수도 있습니다.

    • 저기만 안들어가지는 건가요..?

      다른 곳도 접속 안되면 network.trr.mode를 2로 설정해야됩니다.

      저는 3으로 하면 접속 안되서..

      그 외의 경우는 잘 모르겟네요 ㅠㅠ

    • network.trr.mode를 2로 설정하고 했는데도 그렇네요…ㅜ.ㅜ

  3. DNSSEC 항목에서 X표 나오시는 분들은 network.trr.mode 항목을 3으로 수정해보세요 DoH연결을 사용하면 DNSSEC이 적용되는듯하나 파폭이 빠른거 선택하라고 하면 DNSSEC이 빠지는듯합니다. 실제로 속도를 비교해봐도 DNSSEC을 뺀쪽이 더 빠르고요. 보안을 중요시하시고 속도가 느려도 괜찮으신 분들은 network.trr.mode 을 3으로 설정하시고, 그냥 빠른게 좋으신 분들은 2로 설정하셔도 됩니다 둘다 https 검열은 뚫리는듯하네요

Leave A Reply

Please enter your comment!
Please enter your name here