ECH dan DPI filtering

[neneeen]

Cloudflare sudah aktifin lagi ECH, implikasinya untuk situs yang pakai Cloudflare bisa tembus DPI filtering tanpa harus pakai GoodbyeDPI/Intra/GreenTunnel dll. Confirmed work di Telkomsel, berikut situs bokep yang diblok saat DoH mati (karena sebagian besar browser harus enable DoH di setting browser untuk pakai ECH)

dan bisa diakses saat DoH aktif

FYI DoH nya bisa apapun, nggak harus Cloudflare, jadi tetep pake AdGuard/ControlD/Google/NextDNS ya hayuk

Cuman, efeknya masih terbatas karena

• Nggak semua situs pakai Cloudflare.

Ini bikin rada susah waktu mau testing situs apa yang diblok Kominfo dan pakai Cloudflare. Yang di SS gua pakenya xxxaddict [dot] com (NSFW obv), saat gua ketik post ini https://opensubtitles.org berfungsi normal (diblok saat pake Telkomsel tanpa DoH di browser, jalan dengan DoH di browser) tapi kadang DPI filtering Telkomsel cuma ngeblok situs NSFW (dan Reddit). Reddit g pake Cloudflare, pakenya Fastly, dan Fastly belum support ECH, gua sampe sekarang belum ketemu situs apa yang konsisten diblok Telkomsel, pakai Cloudflare, dan SFW wat nunjukin ke orang tanpa harus buka bokep.

Benere walau situsnya NSFW pun nggak harus sampai keliatan nenen untuk test sih, path /cdn-cgi/trace bisa dipakai sekalian konfirm ECH aktif, seperti https://opensubtitles.org/cdn-cgi/trace (sni=encrypted kalo aktif, sni=plaintext otherwise), cuman ya ditengah mindset "blokir situs itu menghentikan bokep" rada gimana gitu kalo nunjukin teknologi anti blokir lalu pake contoh situs bokep.

• Yang pakai Cloudflare gratisan otomatis pake ECH, tapi yang berbayar harus toggle dulu di setting.

Gua bisa konfirm situs gua yang pakai zone gratisan semuanya langsung aktif ECH g usah diapa-apain, sementara yang domain kantor pake zone berbayar ada toggle dan harus diaktifin. Saat gua nulis ini, https://medium.com/cdn-cgi/trace masih sni=plaintext. Jadi makin serba salah kan, misal mau nunjukin "ini nih ECH aktif" tapi malah situs-situs populer yang dah pakai Cloudflare pun belum toggle itu.

• Situs diluar Cloudflare jarang banget yang udah pake ECH.

Ini karena CDN lain lom support, dan kalo self-hosting g bisa pake nginx dsj karena masih lom support di main branch.

• Browser buah udah konfirm akan support ECH, tapi lom ada timeline kapan support. Di platform lain nggak masalah toh tinggal pake browser turunan Chromium/Firefox, tapi di iOS semua browser kecuali di EU tetep aja pake WebKit.

• ISP tinggal blokir TLS 1.3 entirely kalo Kominfo sakit pantat dengan ECH, dan efeknya minimal karena sebagian besar situs dan server aplikasi yang support TLS 1.3 masih bisa fallback ke TLS 1.2 (kadang wat support legacy atau wat skenario visitor pake ISP yang blokir TLS 1.3)

So, ECH mungkin bisa dibahas sebagai salah satu cara melubangi blokiran DPI, praktis karena nggak perlu install apapun, tinggal enable DoH (harus di browser langsung, di level device/router g ngefek) di Chromium atau Firefox di macOS (Firefox di platform lain g perlu DoH untuk ECH), cuman yang udah implement masih dikit, dan mungkin tinggal tunggu waktu sebelum Kominfo bikin tagar #tolakTLS1.3 saat mereka sadar mendadak banyak situs g bisa diblokir dengan mudah.

Bacaan pengenalan untuk ECH https://developers.cloudflare.com/ssl/edge-certificates/ech/

Pembahasan teknis ECH di Firefox dan statusnya di web server https://wiki.mozilla.org/Security/Encrypted_Client_Hello

Spec draft https://datatracker.ietf.org/doc/draft-ietf-tls-esni/

[merdekaid]

Akhirnya dienable secara default juga.

Semoga aja Kominfo gak ngide buat blok TLS 1.3 kedepan nya