Только сейчас обнаружил, что в Win 10 Pro 22H2 x64 в FF 128.6.0 ESR x64, если включено DNS через HTTPS «Защита по умолчанию», то некоторые сайты не открываются. Если конкретно, то не работает https://utomp3.com/en (с другими не стал проверять, т.к. лень их искать, а так не помню). В такой ситуации браузер сообщает «Ошибка при установлении защищённого соединения … Код ошибки: PR_CONNECT_RESET_ERROR». Если выключить DNS через HTTPS или поместить указанный сайт в исключения, проблема исчезает. При чём, в Win 7 Pro SP1 x64 в FF 115.18.0 ESR x64 с той же настройкой указанный сайт работает без проблем. И ещё одна странность. Ведь по умолчанию DNS через HTTPS работает через Cloudeflare и указанный сайт так же проводит проверку через Cloudeflare. Может, Cloudeflare конфликтует сам с собой?

Кстати, выключив DNS через HTTPS у меня даже Ютуб стал подгружать видео как-то более живо (хотя, конечно, глобально проблема всё ещё есть) или это просто совпадение.

Но, и это ещё не всё. Где-то пол года назад попытавшись написать комментарий на одном торрент трекере сайт не дал мне это сделать, сославшись на то, что с моего IP или E-Mail адреса идут атаки или спам (уже не помню какая именно была формулировка). Так же virustotal с определённого момента меня достал проверками. На Хакере была проблема с входом в аккаунт. Даже Avito недавно не пустило меня на сайт сообщив, что с моего IP “слишком много запросов, пытались устроить DDoS-атаку или взламывали профили пользователей”.
Wi-Fi роутер у меня настроен максимально безопасно и прошивку я обновляю по мере появления новой. Так же много чего настраиваю в ОС чтобы защититься от заразы (одно лишь использование «Политики ограниченного использования программ» говорит о многом), все эксперименты провожу на виртуальной ОС, так что полагать, что ОС или УЗ пользователя заражена я пока не могу. Впрочем, как и доказать обратное. На Хакере есть статья «Взломанные сайты на WordPress используют браузеры посетителей для компрометации других ресурсов». Может это у меня было? Но сейчас есть подозрение на глюки с DNS через HTTPS из-за которых и возникла такая репутация у моего IP, ОС и/или браузера.

Всё это я написал в основном для того, чтобы предупредить остальных о возможных проблемах. Посмотрим, что будет дальше. Если проблема решится и я не забуду, то отпишусь здесь.

Из того что нашёл на просторах сети тут и тут: firefox использует разные сервера в зависимости от страны. Cloudflare у них по-умолчанию для США, для других стран хз какие. Но даже если взять cloudflare то из справки видно что запросы идут не на публичные сервера cloudflare, а на mozilla.cloudflare-dns.com. Возможно, для более быстрого отклика лучше использовать свой вариант (публичного сервера), например:

https://cloudflare-dns.com/dns-query
	https://1.1.1.1/dns-query
	https://104.16.249.249/dns-query
	https://104.16.248.249/dns-query
	https://2606:4700::6810:f9f9/dns-query
	https://2606:4700::6810:f8f9/dns-query

Antimalware:
https://security.cloudflare-dns.com/dns-query
	https://1.0.0.2/dns-query
	https://1.1.1.2/dns-query
	https://2606:4700:4700::1002/dns-query
	https://2606:4700:4700::1112/dns-query

Antimalware + adult content:
https://family.cloudflare-dns.com/dns-query
	https://1.1.1.3/dns-query
	https://1.0.0.3/dns-query
	https://2606:4700:4700::1113/dns-query
	https://2606:4700:4700::1003/dns-query

https://dns.google/dns-query
	https://8.8.8.8/dns-query
	https://8.8.4.4/dns-query
	https://2001:4860:4860::8888/dns-query
	https://2001:4860:4860::8844/dns-query

zzzephire, спасибо за идею. Может, как нибудь проверю, хотя, если опять будут проблемы, то меня опять задолбают проверками.
P.S. Я болван, забыл подписаться на тему и мне не пришло уведомление об ответе.

Как я и предполагал, проблема была именно в этом (DNS через HTTPS). Сейчас даже VirusTotal перестал ко мне придираться и проверять меня на человечность при каждой отправке объекта на проверку.

Andrey_Vladimirovich
Уже надоело этот бред читать, не от вас, а вообще.
Проблема не в doh, а в doh провайдере. Нормально все открывается, начинаются проблемы при переключении на cloudflare. Понимаете? Проблема не в doh как таковом.

Так я с вами и не спорю, а просто описываю ситуацию как есть. Сам я DoH не настраивал. Включаю - проблемы, выключаю - проблемы ушли. Так что все эти претензии не к пользователям, а к разработчикам. И, кстати, в Win7 на предыдущей версии FF этой проблемы нет.

Есть вероятность, что и не к разработчикам, а к РКН и ТСПУ, которые блокируют в настоящий момент частично работу DoH в России.
В большинстве стран и на большинстве провайдеров ничего не ломается.
Если что, это претензия в таком случае и не к провайдерам, ибо они обязаны включить в свою инфраструктуру ТСПУ, которыми управляет РКН

Тогда как вы можете объяснить тот факт, что в одной версии FF и под Win 7 проблем нет, а в другой и под Win 10 есть? В обоих вариантах DoH работает через Cloudeflare (так указывает сам браузер).

Ну, самое простое, оно же очевидноэ: W10 упоротая по части т.н. "прав доступа". И есть вероятность, что что-то где-то, кому-то чему-то, недостает этих=самых "прав". Запусти в W10 от 0дмена\System FF и попробуй. Если да, то копай в эту сторону...
Второйе - файреволл, который в Ц10 тоже много дотошней чем в Ц7.

Смотри в Журнал OS, в Консоль FF, медитируй надо ашЫпками.

Ну, и DoH как таковой появился совсем недавно.

Mainstream End Date для Win7 наступил Jan 13, 2015, а RFC 8484 - DNS Queries over HTTPS (DoH) опубликован в October 2018.

Так что сетевая подсистема Win7 может что-то необходимое для работы DoH и не иметь.

Провёл эксперимент в VirtualBox. На ту же Win10, где с FF 128 х64 ESR и включённым DoH указанный выше сайт не открывался, установил FF 115.22.0 х64 ESR, предварительно удалив папки браузера из профиля пользователя. Странно, но с настройкой по умолчанию (первый вариант) браузер сообщал "Состояние: Отключено". Почему, я так и не понял. Тогда я выбрал "Максимальную защиту" (третий вариант) и вставил адрес "https://mozilla.cloudflare-dns.com/dns-query" (он указан в параметре "doh-rollout.uri" FF 128), т.к. пункта cloudflare там почему-то нет. Браузер сообщил "Состояние: Активно". Так вот, на FF 115 в Win10 проблемный сайт открывается. Когда я вернулся к FF 128 и так же выбрал 3-й вариант и дал ему тот же адрес, сайт как и прежде открываться не стал.

Andrey_Vladimirovich
Думаю, что всё же связано больше с вашим провайдером, чем с багом Fx. Проверил сейчас на Fx 138.0b5, правда, под Ubuntu 24.10 - ну, открывается же с настройками по умолчанию.
Что, если на этом же компьютере в варианте, когда не работает, подключиться к инету через другого провайдера, например, через точку доступа с телефона? Будет открываться? Если да, дело не в браузере.

Если ситуация сохранится, попробуйте тоже через другого провайдера, но не ESR, а последнюю релизную версию (137.0.1). Если и там работать не будет, тогда стоит оформить баг. Если будет, повод поразбираться всё же с особенностями вашего провайдера.

Thunderer
Попробовал на виртуалке FF 137.0.1 на той же Win10 и на Debian 11 - в обоих случаях проблемный сайт открывается. А вот на Debian 11 с FF 128.9.0esr нет.

Насчёт провайдера.
А что я ему скажу? После описания ситуации он мне сразу ответит, что виноват браузер, раз предыдущая и последующая версии работают, а одна нет. Я бы им написал на форуме (может, ещё кто подключился бы из пользователей), но они его прикрыли, т.к. боятся высказываний пользователей, видимо, по поводу происходящего в стране.

Теперь насчёт другого провайдера.
Мобильным интернетом не пользуюсь вовсе, да и дорогой он без  доп. опций. К тому же всё это придётся как-то подключать, чего я раньше не делал. Честно, скажу, нет желания с этим возиться. С тем, чтобы к кому-то сходить так же проблема (я уж не говорю о том, чтобы попросить провести эксперимент), да и не хочется нести свой ноут.

У вас на FF 128.9.0esr есть подобная проблема или нет? Я живу в СПб и мой провайдер INFO-LAN.

Thunderer
Если будете пробовать с FF 128.9.0esr, поменяйте настройки DoH на максимальную защиту с использованием Cloudeflare и перезапустите браузер (потом можно вернуть обратно). А то я с удалением настроек переустановил эту версию на Win 10 и сайт открылся. Оказалось, что сразу после установки браузера DoH почему-то может не работать.

Andrey_Vladimirovich
Попробуйте network.dns.echconfig.enabled = false
   
Еще вспомнил - Firefox использует системный DNS для определения IP сервера DoH. Возможно, что в других браузерах/версиях это не так.
Другими словами DoH-у инициироваться надо, есть скрытый преф network.trr.bootstrapAddr, но туда IP писать надо. Можете поэкспериментировать.

Спасибо. Это помогло.
Вот только осталось понять, это влияет только на открытие указанного сайта или на всю ситуацию, с которой я столкнулся? Как это определить не понятно. Видимо, только опытным путём, но делать этого не хочется.

Andrey_Vladimirovich
Как выше говорилось - виноват ваш провайдер, это он блокирует ECH Cloudflare. Это затронет все сайты использующие эту технологию. Сколько их? Незнаю, наверное много и как раз самые обслуживаемые.
   
У меня просто пометка стоит, что это для 129+, а оказывается и для 128 актуально.

Давайте определимся, кого вы называете провайдером? Ведь, если кто и блокирует подобное в России, то очевидно, что это государственная структура, которая подмяла под себя всех провайдеров в стране. Это я к тому, что с подобной проблемой обращаться некуда, если считать, что это дело рук "провайдера". Самому провайдеру, которому я плачу деньги, подобная блокировка даром не нужна.

Давайте. )

Ага, и именно поэтому в одном доме у одного провайдера это блокируется, а у другого нет. Все от рвения сотрудников зависит. А провайдеру, если подразумевать собственника, вообще фиолетово как там у него и что работают, главное что б проблем не было и деньги капали. И , со своим небольшим процентом пользователей, сильно на это повлиять не может.
   
Вообще, при использовании DoH, по умолчанию сначала обращаться к системному DNS, решение, мягко выражаясь, странное.

_zt
1. Провайдер может подключаться к Интернету уже через гос. структуру и вся нужная государству фильтрация будет производится помимо желания и действий провайдера.
2. У провайдеров в принудительном порядке давно уже установлено оборудование, через которое гос. структуры контроллируют трафик. Опять же провайдер не может с этим что-либо сделать.
3. У вас лично открывается проблемный сайт на FF 128 ESR (если вы живёте в России и для данной цели не используете обходные пути)? А то, я подобный вопрос задал пользователю Thunderer, но, он то ли пропал куда-то, то ли просто решил на него не отвечать.

Провёл ещё один эксперимент присвоив во всех случаях параметру network.dns.echconfig.enabled значение true. Ситуация осталась прежней. На Win 7 FF 115 ESR, Win 10 FF 115 ESR и Win 10 FF 137 проблемный сайт открывается. Единственное отличие, что на 137 это происходит ОЧЕНЬ долго.
Как вы можете это объяснить?

P.S. Для корректности эксперимента необходимо следующее.
1. После установки браузера проверить состояние DoH, если необходимо, переключить на максимальную защиту и при отсутствии в раскрывающемся списке упоминания Cloudeflare использовать адрес https://mozilla.cloudflare-dns.com/dns-query .
2. Включить параметр network.dns.echconfig.enabled .
3. Перезагрузить браузер.
4. Проверить доступность страницы https://utomp3.com/en открыв её в новой вкладке. А ещё лучше ещё и дав ей адрес из Ютуба.
Иначе, DoH может не включится (несмотря на то, что вам будет указывать браузер) или он подгрузит страницу проблемного сайта из кэша. Вот с такими особенностями я сталкивался.

Andrey_Vladimirovich
Я тоже сейчас пропаду. Вам уже все выше сказали.
Я doh использую уже много лет, еще тогда когда он в скрытых был и о нем мало кто знал и всегда с network.trr.mode=3.
Что вы уперлись в этот cloudflare? Других doh провайдеров нет что ли?
DNS over HTTPS · curl/curl Wiki · GitHub

Так вы же оба говорите, что в этом виноват мой провайдер. Вот я и спрашиваю вас обоих, работает ли это у вас на FF 128 ESR. Что не правильного в этом вопросе? А если вы не можете ответить на простой вопрос, значит с вашей позицией что-то не так и вы это скрываете.

Это не я в него упёрся, это разработчик FF. К нему вопросы. Я лишь показываю то, что дело, скорее всего, в версии браузера.

Скажем, я не прибит гвоздями к этому форуму, но почитываю, потому что пользуюсь продуктами Mozilla с 2005 и около 10 лет занимаюсь русской локализацией продуктов и сервисов Mozilla. Но делаю это pro bono, у меня есть какая-то работа и какая-то личная жизнь и интересы помимо Mozilla В данном случае у меня нет времени на подробное исследование данного вопроса. Мы определили, что браузер не виноват. У меня данный сайт открывается. А что оно там делает на особых строгих настройках - это уже выходит за пределы академического интереса Если бы меня интересовал данный вопрос - я бы не ограничился только этим форумом и искал бы возможности для самостоятельного исследования, отталкиваясь от того, что уже известно.

Andrey_Vladimirovich
Читайте мое первое сообщение в этом топике до просветления. И смените уже системный dns на что то вменяемое в текущей ситуации, желательно не просто адрес поменять, а, например, DNSCrypt, тогда возможно и network.dns.echconfig.enabled переключать не придется.

18-04-2025 20:44:39
о_О
Забыл переключить network.dns.echconfig.enabled и пошел на rutracker, и меня не пустило. Проверил на 138 там тоже самое. Ваш сайт и так и этак работает.

и

Странное заявление. Вообще-то, одно другому противоречит. Мои эксперименты предварительно указывают на обратное.

Зачем? Я просто это выключил и всё.

Было бы странно, если бы он не работал, ведь на 137 работает.

Andrey_Vladimirovich
В фоксе по умочанию включено ECH , которое заблокированно в России . На сайты его использующие зайти не сможете (без средств обхода) .
Но если отключен DoH - оно так же отключается .
В виндусне 10 и 11 возможно включение системного DoH . Файрфокс последних версий будет его использовать даже при отключении в самом браузере .
С хромом не срвнивайте - в нём менее строгие настройки безопасности .

Вы точно читали, что я писал (подсказка - пост №20)?

Мой ответ соответствует этому:

К посту 20 относится так же . Вы сами ответы не читаете что ли ?

Читаю, конечно. Может, я чего напутал?

Тогда объясните, как написанное вами

соотносится с написанным мной

?

Andrey_Vladimirovich
Читать то вы читаете, да только интерпретируете по своему.

Обоснование будет?

Andrey_Vladimirovich
Выше смотрите.

Я такого не видел. Где именно? Или вы имеете в виду как бы обоснование? Такое есть, но какой в нём толк?

У меня на Firefox последних версий проблемный сайт открывается на двух провайдерах. Значит, дело не в браузере, а в его настройках или другой специфике, не связанной непосредственно с браузером. Так что ничего не противоречит.

21-04-2025 10:03:54

Значит, пользуйтесь 137. Это актуальная версия. Вряд ли ради российских провайдеров будут что-то бэкпортировать в ESR в плане DoH (наверняка этот модуль находится в движении у разработчиков, ибо тема актуальная)

Какое отношение это имеет к обсуждаемой версии браузера? Как можно судить об одной версии браузера проводя эксперименты на другой? Неужели вы не видите ошибки в своих рассуждениях?

Это имеет отношение к вопросу о том, зачем вам необходимо использовать именно 128 ESR, когда известно, что на актуальной версии 137 всё работает. Перейдите на актуальную версию и всё будет работать.
Если необходимо использовать ESR, потерпите на релизе до 27 июля, когда выйдет 140 ESR.
Если честно, я не знаю, зачем именно мы решаем проблему для ESR 128, когда есть актуальная версия, в которой ваша проблема отсутствует.
Это имеет какую-то практическую значимость для вас или это просто хотелка?

21-04-2025 17:39:26
Ну, например, вот это может влиять, что в 128 не работает, а в 137 работает:

Вероятно, с таким проксированием DNS-запросов у вас работает, а без него нет. А в 115 работает, потому нет той функциональности, связанной с DoH, которая появилась к 128-ой версии.
Мы можем это исследовать более подробно. Но вопрос "зачем" остаётся.
Если "в принципе" - из-за того, что функциональность в плане DoH развивается.
Mozilla балансирует между развитием технологий конфиденциальности и их работоспособностью в странах, где применяются ограничения в использовании таких технологий.
Это и понятно, учитывая цели Mozilla по глобальной доступности интернета и учитывая, что Mozilla один из разработчиков стандарта DoH

А теперь вопрос. Вам шашечки или ехать?

Согласен. Но, в данной теме речь идёт именно о том, как работает 128 ESR и, косвенно, кто в этом виноват.

Тема была написано мной для того, чтобы поделиться информацией о том, что может быть причиной ухудшающейся репутации IP пользователя. Решать эту проблему или нет, у меня точного ответа нет. Но, ведь люди ей пользуются и, возможно, у них имеются такие же проблемы.

Для меня нет, т.к. я просто выключил DoH и проблема ушла. Что касается новой версии, то я предпочитаю использовать ESR, т.к. предполагаю, что на ней меньше экспериментирует разработчик, нежели на обычной версии. А стабильность для меня важнее нового функционала.

Ну, тогда расскажу, какие есть каналы обновления.

ESR - это больше корпоративная тема. Когда вы используете политики, связанные с настройками браузеров. Когда у вас много софта в инфраструктуре и вам не очень удобно отслеживать изменения, которые происходят раз в месяц. Но при этом вы в течение примерно года не получаете новую функциональность. Как вы видите, бывают нюансы, такие, как с DoH. И на ESR они будут решены только в конце июля. Корпоративщикам, кстати, на DoH пофиг - обычно такие функции в корпоративных сетях отключаются политиками, чтобы контролировать потоки информации средствами защиты информации. Именно поэтому вашу проблему с DoH вряд ли будут исследовать в ESR, даже если напишете баг. Не приоритетно и в релизе всё работает.

Релиз - стабильная ветка обновлений, рекомендуемая всем. Баланс между внедрением новых функций и стабильностью. Тестирование "на кошечках" происходит на следующих двух ветках. Да, их целых две перед релизом.

Бета - в течение четырёх недель пользователи тестируют готовую функциональность, которая разрабатывалась в течение предыдущих четырёх недель. Бета-выпусков обычно выходит 8-12 в зависимости от версии, по моим наблюдениям. И на них вылизывается новая функциональность. Потом выходит release candidate. И затем (плавно, кстати, не по всем пользователям сразу) распространяется релиз.

Nightly - это альфа-версия, куда добавляется в ежедневном режиме разрабатываемая функциональность. Для тех, кто помогает разработке, для разработчиков дополнений и пр.

Оптимальнее всего на личных устройствах использовать релиз.

Я на работе использую релиз, дома бету (напомню, ибо занимаюсь локализацией, и частенько приходится переводить статьи по функциональности следующей версии).

И вот как я могу оценить стабильность релизной ветки. По стабильности бета-ветки.

За 10 лет нахождения на бете Firefox и Thunderbird я лишь однажды поймал серьёзный баг, причём не на Firefox, а на Thunderbird. В одной из бет отвалился протокол POP3 (проводили рефакторинг). В следующей бете это исправили. Всё

Применительно к вашей проблеме. Ну, допустим, в 128 существовал какой-то баг с DoH. Но заниматься никто им объективно не будет. Потому что влияет примерно на одного пользователя, он не корпоративный и в релизе всё работает. Finita la comedia. Никто не будет из академического интереса разбираться, что там у вас случилось в 128 в функции, которая корпоративщиками не используется

Потрясающий подход. Ведь, если бы не проблемный сайт, я бы так и чесал репу, почему всё больше сайтов считают, что репутация моего IP плохая. Такие ситуации и уничтожают репутацию разработчиков, которым важны только цифры и статистика. Это тупик. Я понимаю, что это не ваша вина, но как-то вы слишком спокойно относитесь к такой ситуации.

А как вы доказали, что репутация вашего IP связана с этой проблемой в 128?
Я видел это предположение, но есть такая распространённая логическая ошибка, которая называется "после - не значит, вследствие".
Вот у вас возникло предположение. Вы его как-то подтвердили? Например, обращались к держателям тех сервисов, которые вам писали, что с вашего IP идут атаки, спрашивали, из-за чего они так решили?

Если говорить о доказательствах - никак (и я не утверждал, что могу это доказать). Но, проблема появилась и начала усугубляться после перехода на FF 128. А после выключения DoH она ушла.

Нет. Некоторым писать бессмысленно, т.к. это нужно делать на английском языке, а я его не знаю. Другим собирался, но в итоге проблема решилась.

Т.е. по факту мы не знаем, что влияло это. Возможно, это были временные проблемы провайдера. Например, в вашем сегменте IP (у вашего провайдера) в это время кто-то занимался неправомерной деятельностью.

Thunderer
Вы приколист. Если бы вы и другие участники данной темы проверили проблемную версию у себя (неужели вы не пользуетесь виртуалками и это так сложно сделать???), то вопрос, скорее всего был бы снят. Зачем гадать, если можно проверить?

Я ленивый, как все айтишники, но также за справедливость.
Вы проверяли один раз или несколько?

Thunderer
Ещё добавлю.

Сомнительно, т.к. проблемы с открытием проблемного сайта совпали с этим промежутком, но никуда не делись на обсуждаемой версии FF.

Что именно имеется в виду?

Именно это и имеется в виду. Воспроизводимость проблемы. Только вы пытаетесь это перекинуть на других.
У вас один раз упала репутация IP (по некоторым признакам) и затем восстановилась.
Пытались ли вы воспроизвести проблему ещё раз?

Вчера 22:33:24

Вот вы сами пишете, что совпали. Но мы пока что не знаем, эти события просто совпали по времени или есть какая-то корреляция, а не просто точечное совпадение.

То есть, я должен исходить из того, что проблемы во мне, так? Потрясающий подход. Сразу видно подход бизнесмена.

Вы предлагаете мне опять включить DoH и получить проблемы? Нет, спасибо, мне и первого раза хватило. И зачем это проверять, если у нас есть сайт с которым проблемы из-за DoH? Его как пример не хватает?

Так с сайтом то проблемы до сих пор с версией 128. Это проверяемо.