Tip 파이어폭스 DoH(DNS over HTTPS), ESNI(Encrypted SNI) 설정하기

파이어폭스 DoH(DNS over HTTPS), ESNI(Encrypted SNI) 설정하기

GoodbyeDPI 사용 HTTPS 차단 우회하기

ExpressVPN 사용 후기, VPN 추천

dnsleak_test

dnsleak_test_result

https://www.dnsleaktest.com

오늘 HTTPS가 막혔다는 소식이 들려온다. 항시 VPN을 사용해서 상관없지만… 나중에는 중국처럼 VPN도 차단 때릴지도…  기존 워닝 http://warning.or.kr이 DNS감청으로 차단하는 것이라면, 이번 HTTPS 차단은 작년부터 얘기가 나왔던 SNI차단 방식인듯 하다. TLS 1.3 표준에 아쉽게 ESNI는 포함되지 않았는데, 클라우드플레어(Cloudflare)이용 중 자체 SSL인증서가 아닌 클플 인증서를 사용하는 사이트는 자동으로 ESNI가 적용된다. 아직 차단 시작하지 않은 통신사도 있는데 정부방침이기 때문에 전부 적용 될 것이고, 자신의 인터넷 보안 및 HTTPS 우회를 위한 방법을 알아보자.

https://blog.cloudflare.com/encrypted-sni/

https://blog.cloudflare.com/esni/

https://blog.mozilla.org/futurereleases/2018/09/13/dns-over-https-doh-testing-on-beta/

 

파이어폭스 셋 중 아무거나 다운로드

정식 : https://www.mozilla.org/ko/firefox/

Firefox Quantum: 개발자 버전 : https://www.mozilla.org/ko/firefox/developer/

Nightly : https://www.mozilla.org/ko/firefox/channel/desktop/

 

firefox_about.config

firefox_doh_setting

주소창에 about:config 입력하여 환경 설정 페이지 진입 후 trr 검색해서 값 변경

 

 클라우드플레어(Cloudflare)

구글(Google)

network.trr.bootstrapAddress

1.1.1.1

8.8.8.8

network.trr.mode

0 : DoH 사용 안함

1 : DNS Over HTTPS the browser’s first choice but use regular DNS as a fallback

2 : lets Firefox pick whichever is faster ( 추천 )

3 : DoH 만 사용

* 저의 경우 3으로 하면 접속안되는 사이트가 있어서 2로 사용중입니다.

network.trr.uri

https://cloudflare-dns.com/dns-query

https://mozilla.cloudflare-dns.com/dns-query

https://dns.google.com/experimental

참고 : https://wiki.mozilla.org/Trusted_Recursive_Resolver

 

ping_cloudflare_google

구글보다 클라우드플레어 ping이 빨라서 클플로 사용 중

 

firefox_esni_setting

esni 도 true로 설정

 

firefox_cloudflare_security_check

https://www.cloudflare.com/ssl/encrypted-sni/ 접속해서 잘 설정됐나 확인.

 

 

** Encrypted SNI, DNSSEC 설정 안되고, network.trr.mode “3” 으로 설정 했을 때 사이트 접속 안되는 문제 해결 방법 **

Firefox_DoH_not_set

Firefox DoH 설정해도 위처럼 적용이 안되는 경우

 

Firefox_DoH_set

network.trr.bootstrapAddress 는 아무것도 입력하지 않고 공백으로 설정해두고,

network.trr.mode => 3 (혹시 접속 안되면 2로,,, DNSSEC은 X 표시 뜰 수도 있지만 ESNI는 적용됨)

network.trr.uri => 기본설정 ( https://mozilla.cloudflare-dns.com/dns-query ) or https://cloudflare-dns.com/dns-query

*포인트는 network.trr.bootstrapAddress 에 1.1.1.1 입력했던 것을 공백으로 놔두는 것.

 

Firefox_DoH_TRR

about:networking#dnslookuptool

 

1.1.1.1_app

폰에서는 cloudflare 1.1.1.1 앱 사용하면 된다.

https://itunes.apple.com/kr/app/1-1-1-1-faster-internet/id1423538627

https://play.google.com/store/apps/details?id=com.cloudflare.onedotonedotonedotone&hl=ko

사이트 및 브라우저가 ESNI를 지원해야 우회된다.


22 COMMENTS

  1. DNSSEC 항목에서 X표 나오시는 분들은 network.trr.mode 항목을 3으로 수정해보세요 DoH연결을 사용하면 DNSSEC이 적용되는듯하나 파폭이 빠른거 선택하라고 하면 DNSSEC이 빠지는듯합니다. 실제로 속도를 비교해봐도 DNSSEC을 뺀쪽이 더 빠르고요. 보안을 중요시하시고 속도가 느려도 괜찮으신 분들은 network.trr.mode 을 3으로 설정하시고, 그냥 빠른게 좋으신 분들은 2로 설정하셔도 됩니다 둘다 https 검열은 뚫리는듯하네요

    • 저기만 안들어가지는 건가요..?

      다른 곳도 접속 안되면 network.trr.mode를 2로 설정해야됩니다.

      저는 3으로 하면 접속 안되서..

      그 외의 경우는 잘 모르겟네요 ㅠㅠ

      • network.trr.mode를 2로 설정하고 했는데도 그렇네요…ㅜ.ㅜ

  2. 모바일에서 하라는데로 다 했는데 검사해보면 enscrypted sni만 빨간불 뜨네요.
    해결방법이 있나요?.
    한가지 특이점이 있었는데 esni설정이 원래부터 true 였습니다.

    • 파폭 설정은 버전에 따라 기본값이 다를수 있는데, esni 적용은 공유기나 어댑터 설정에서도 바꿔야 될 수도 있습니다.

  3. 다똑같이 했는데 TLS 1.3은 됬고 Secure DNS는 물음표로 떠있고 나머지 2개는 X뜹니다.

LEAVE A REPLY

Please enter your comment!
Please enter your name here