새로 쓰기 귀찮으니 걍 블로그에 썼던거 복붙해야지

황달님 이거 왜 지우신거임

 

우리의 원쑤 방송통신심의위원회가 불법 사이트를 차단하기 위해 https를 사용하는 사이트들을 검열한다고 발표했다. 그리고 몇달뒤 SNI 검열을 실시한다고 밝혔다.

 

그러나 다행히 차단 기술이 나오기도 전에 벌써 무력화되었다. 근 5개월 동안, 애플을 비롯한 4개의 IT 기업이 합동으로 우회 기술을 개발했다. 현재 시범 적용 중이다.

 

아무튼 이 글은 미국에서 개발된 Encrypted SNI(암호화된 SNI)를 사용하는 방법을 기술한다.

ESNI를 사용하기 위해서는 몇가지 조건이 있다.


1) 접속하려는 사이트가 클라우드플레어를 사용할 것
https://checkforcloudflare.selesti.com

여기서 https://(사이트 주소)로 검색하면 사용 여부를 알 수 있다. 반드시 3개 부문 모두 사용 중이라 나와야 한다.

현재는 서버 측에서 ESNI를 지원하는 DNS가 클라우드플레어 밖에 없다. 거기서 개발을 주도하기 때문이다.

사이트에서 ESNI를 지원하기 위해서는 클라우드플레어 CDN을 사용하고 그곳에서 제공하는 보안 인증서를 사용하면 된다.
그러니까 Let' Encrypt 같은거 쓰지말고 SSL 설정을 Full로 하라고

클라우드플레어를 사용하는 사이트는 모두 ESNI가 자동으로 적용되는 시범 대상이다.


2) 파이어폭스를 사용할 것

아직 표준화도 안된 따끈따끈한 신기술이라 지원하는 곳이 파이어폭스 밖에 없다. 개발에 파이어폭스를 개발하는 모질라 재단이 참여하고 있기 때문에 테스트도 그쪽에서 이루어 지고 있다.

 

다른 브라우저가 지원하게 되면 그때 다시 포스팅 하겠다.

 

 

https://www.mozilla.org/ko/firefox/channel/

※ beta 말고 아래에 있는 보라색꺼

여기서 Firefox Nightly를 다운받아 설치한다. PC/안드로이드/ios를 지원한다. 모바일은 앱스토어에서 설치할 수 있다.

일종의 베타 테스트 버전인데 신기술을 미리 체험해볼 수 있는 대신 안전성은 떨어진다.

※ 가끔 "이 연결은 신뢰할 수 없습니다." 라는 에러 페이지가 뜨는데 오류니까 그냥 새로고침 하면 정상적으로 접속된다.

참고로 정식 버전에 ESNI가 도입되는 건 12월이라고 한다.

Nightly는 안정된 버전이 아니라 잘되다 갑자기 ESNI가 작동하지 않을 수 있다.

너무 걱정하지 말고 최소 베타 버전 때까지는 기다린다고 생각해야 마음이 편하다.

잘 작동되다 갑자기 작동이 안되더니 플레이 스토어에 올라온 업데이트를 적용했더니 또 잘되고 그런다.

 

 

 

설치가 끝났으면 파이어폭스를 켜고 주소창에 about:config라고 치고 들어간다.

 

 

가끔 PC에서는 이런 창이 뜨기도 하는데 무시하고 파란 버튼을 눌러주자.

 

 

 

이런 설정 페이지가 나온다. 여기서 각종 기능들을 켜고 끌 수 있다.

ESNI를 켜기 전에 먼저 DNS over https(줄여서 Doh)를 켜야 한다. ESNI는 DNS를 사용하기 때문에 DNS 암호화가 없다면 반쪽짜리 기술이 된다. 그리고 겸사겸사 DNS 차단도 뚫어준다. 

 

https://rootblog.tistory.com/m/95

 

여기 있는 방법을 Firefox Nightly에서 똑같이 따라하면 된다. 한가지 주의해야 할 점은 network.trr.mode 은 3이 아니라 2로 설정해주자.

Doh 적용이 끝났다면 이제 ESNI를 켤 시간이다. 

 

 

 

설정 페이지 검색창에 esni로 검색한다.

그러면 network.security.esni.enabled 라는게 나온다. 저렇게 false 로 되어 있는 걸

 

 

 

클릭해서 켜기 버튼을 누르고 이렇게 true로 바꿔주자. 이제 ESNI가 파이어폭스에 적용되었다.

마지막으로 ESNI가 제대로 작동하는지 시험해봐야 한다.

 

https://www.cloudflare.com/ssl/encrypted-sni/

 

파이어폭스로 클라우드플레어가 제공하는 체크 페이지에 접속한다.

 

 

 

만약 테스트 결과에서 저렇게 뜨면 축하한다. 이제 아무도 네가 유해사이트에 들어가는 걸 막을 수 없다. 귀찮게 VPN이나 프록시 처럼 아이피를 우회하지 않고도 그 망할 파란 사이트를 보지 않아도 된다. 

 

 

만약 ESNI가 제대로 실행이 안된다면?

이걸 한번 점검해보자.

1)내가 설치한 파이어폭스가 Nightly가 맞는가?

2)Doh를 적용했는가?

3)혹시 Nightly의 업데이트가 올라왔는가?

잠깐 또 안되다가 플레이 스토어에 올라온 업데이트를 받았더니 제대로 작동한다.

PC는 브라우저에서 바로 업데이트를 할 수 있다.

4)ESNI가 정말 true로 설정되어 있는가?

5)Adguard를 사용 중인가?

 

※어제 누가 딴지 걸던데 내 말은 광고 차단을 하지 말란 소리가 아니다. Adguard 프록시가 보안 인증서를 바꿔치기 때문에 최신 기술이 적용되지 않는다. 대신 파이어폭스의 애드블록 애드온을 사용하자.

 

 

누가 그냥 VPN 쓰면 되는거 아니냐고 했는데 대다수의 일반인은 아이피 우회가 뭔지도 모른다. 게다가 제대로 속도가 나오려면 유료를 사용해야 하기 때문에 그냥 이 방법을 쓰는게 돈도 아끼고 편하다.