Najbardziej zaawansowana aplikacja do ochrony cybernetycznej dla Androida - Bitdefender Mobile Security & Antivirus

Pobierz

FAQ – Produkty dla firmy

Jak wyłączyć ClientHello w przeglądarkach internetowych

Arkadiusz K

20 października 2023

W tym artykule opiszemy jak wyłączyć protokół ClientHello uniemożliwiający prawidłowe działanie Kontroli Zawartości.

ClientHello jest składnikiem procesu uzgadniania TLS, który jest inicjowany przez klienta w celu nawiązania połączenia TLS z serwerem. Protokół komunikacyjny zawiera między innymi funkcje Server Name Indication (SNI) i Application-Layer Protocol Negotiation (ALPN) w postaci zwykłego tekstu.

Pozwala to serwerowi odbierającemu zidentyfikować odpowiedni certyfikat serwera (nawet przy użyciu współdzielonego adresu IP) i skierować żądanie do najbardziej odpowiedniego backendu. W erze sprzed szyfrowanego ClientHello ustanowienie szyfrowania tranzytowego nie rozpoczynało się aż do tego konkretnego etapu.

Ważne:

Jedną z konsekwencji maskowania domeny docelowej jest utrata widoczności dla przezroczystych skrzynek pośredniczących, zapór sieciowych, IDS, IPS i podobnych systemów.

Systemy te nie będą już w stanie wykrywać nazw domen w połączeniach wychodzących.

Potencjalne konsekwencje tej sytuacji obejmują potencjalne pogorszenie jakości rejestrowania i zmniejszenie skuteczności kontroli sieci.

Jak wyłączyć ClientHello w Google Chrome

Zaczynając od wersji 117, Encrypted Client Hello będzie automatycznie włączone.  Może to wpłynąć na moduł Kontroli Zawartości. 

Wyłączanie ECH w interfejsie Chrome

1. Wpisz chrome://flags w pasku adresu Google Chrome.

2. Wyszukaj Encrypted ClientHello.

3. Zmień wartość na Disabled

Wyłączanie ECH przy użyciu Edytora Rejestru

1. Otwórz Edytor Rejestru i zmień wartość klucza Software\Policies\Google\Chrome\EncryptedClientHelloEnabled na 0.

2. Jeżeli ścieżka nie istnieje, użyj poniższego skryptu:

$PATH = "HKLM:\\Software\Policies\Google\Chrome\"$NAME = "EncryptedClientHelloEnabled"if (-not(Test-Path $PATH)) {New-Item -Path $PATH -Force}New-ItemProperty -Path $PATH -Name $NAME -Value 0x0 -Force

Dokumentacja Chrome dotycząca ECH: https://chromeenterprise.google/policies/#EncryptedClientHelloEnabled

Jak wyłączyć ClientHello w Mozilla Firefox

Aby wyłączyć ECH w Firefox musisz w następujący sposób zmienić poniższe wartości:

  • network.dns.echconfig.enabled – false

  • network.dns.http3_echconfig.enabled – false

  • security.tls.ech.grease_http3 – false

  • security.tls.ech.grease_probability – 0

Aby zmiany były permanentne i nie wracały do domyślnych po wyłączeniu przeglądarki, musisz wprowadzić zmiany w pliku prefs.js:

1. Otwórz Firefox i wpisz about:profiles w pasku adresu.

2. Odnajdź domyślny profil i otwórz główny katalog.

Obok profilu który należy edytować wyświetla się informacja Profil jest obecnie używany i nie może zostać usunięty.

3. Otwórz plik prefs.js bez żadnych numerów za pomocą notatnika i edytuj go. 

4. Dodaj poniższe linie na końcu pliku i zapisz go. 

    • user_pref(„network.dns.echconfig.enabled”,false);

    • user_pref(„network.dns.http3_echconfig.enabled”, false);

    • user_pref(„security.tls.ech.grease_http3”, false);

    • user_pref(„security.tls.ech.grease_probability”, 0);

 

Uwaga: Firefox musi być całkowicie wyłączony podczas edycji tego pliku.

Po następnym uruchomieniu Firefoxa Kontrola Zawartości powinna już działać prawidłowo.

Artykuł Mozilli dotyczący ECH: https://support.mozilla.org/pl/kb/faq-encrypted-client-hello

Źródło: https://www.bitdefender.com/business/support/en/77211-343065-network-protection.html


Autor


Arkadiusz K

Starszy serwisant, zajmuję się obsługą zgłoszeń serwisowych klientów indywidualnych i biznesowych. Zajmuję się również tłumaczeniami związanymi z interfejsem programu Bitdefender. Po godzinach pasjonat sprzętu komputerowego i nowinek ze świata technologii.

Zobacz posty autora


Artykuły które mogą Ci się spodobać

    Formularz kontaktowy

    Wybierz odpowiednią opcję aby przejść do formularza kontaktowego. Odpowiemy najszybciej jak to możliwe!

    klient-indywidualnyklient-biznesowyreseller

    Dane kontaktowe




    stalynowy