애드블럭을 제거하거나 잠시 꺼주세요.


※ 자료설명 ※

최근 정부에서 https 차단으로 Encrypted SNI에 대한 관심이 높습니다.

기존의 아이피 차단이나, 도메인 차단보다 훨씬 강력한 방식인데 이를 무력화할 수 있는 방법을 알아겠습니다.

 

Encrypted SNI이란 접속하려는 도메인 정보와 개인정보(DNS 쿼리)를 통신사에서 가로채서 검열하는 것입니다. 이는 목적이나 의도가 분명히 불순하기 때문에 차단때문이 아니더라도 암호화 하여 중간에서 가로챌 수 없도록 하는게 필요합니다.

 

먼저, 자신의 DNS 이용정보를 확인해보겠습니다.

 

https://www.cloudflare.com/ssl/encrypted-sni/

screenshot-www.cloudflare.com-2019.02.12-22-09-56.png

 

Secure DNS

DNSSEC

TLS 1.3

Encrypted SNI

 

같은 암호화 방식이 있는데, 이를 모두 통과하면 안전하겠죠.

그중에서 Encrypted SNI는 브라우저가 지원해야만 가능하기 때문에 극히 많은 사람들은 검열을 당할 수 밖에 없습니다.

 

그리고 지금까지는 Firefox에서만 이를 지원합니다.

Encrypted SNI Comes to Firefox Nightly

TL;DR: Firefox Nightly now supports encrypting the TLS Server Name Indication (SNI) extension, which helps prevent attackers on your network from learning your browsing history. ...

blog.mozilla.org




1. 우선 Firefox Nightly 빌드 버젼을 다운로드후 설치해주세요.

신규 기능 테스트를 위한 새로운 브라우저 | Firefox

신 기능을 미리 체험해 볼 수 있는 안드로이드용 베타 브라우저: Firefox Beta, Firefox Aurora 및 Firefox Nightly. 지금 다운로드하세요!

www.mozilla.org


2. Firefox를 실행하고 주소창에 about:config  라고 적어주세요.

3. 주소창 아래에 검색창이 있는데 그곳에 network.security.esni.enabled 라고 치면 해당 메뉴가 필터링 되어서 보일겁니다.
network.security.esni.enabled 항목을 더블 클릭하여 true로 바꿔주세요.
 


4. 주소창에 network.trr.mode 를 입력하여 해당 메뉴를 검색하여 값을 2나 3으로 바꿔주세요. (권장사항은 2 이지만, 설정이 모두 끝나고 Cloudflare ESNI Checker 웹사이트에서 브라우저 테스트시 DNSSEC 항목이 실패로 나오면 3으로 바꿔주세요)
 


메뉴 값들에 대한 좀 더 자세한 설명은 아래 모질라 사이트에서 직접 확인하셔도 됩니다.

Trusted Recursive Resolver - MozillaWiki

Trusted Recursive Resolver Firefox provides an optional resolver mechanism using a dedicated DNS-over-HTTPS server. DNS-over-HTTPS (DOH) allows DNS resolves with enhanced privacy, secure transfers and improved performance. Setting DNS-over-HTTPS in Firefox Set `network.trr.mode` to 2 to make DNS Ove...

wiki.mozilla.org


5. network.trr.uri 항목도 원래는 바꿔줘야하는데 Nightly 빌드 버젼에는 기본적으로 https://mozilla.cloudflare-dns.com/dns-query 값으로 설정되어 있네요.
 



혹시 network.trr.uri의 값이 비어있다면, 아래 3개 링크중 하나를 카피해서 적어주세요.
https://mozilla.cloudflare-dns.com/dns-query
https://cloudflare-dns.com/dns-query
https://dns.google.com/experimental

5-1 (추가 사항)
예전 문서에는 network.trr.bootstrapAddress 값을 1.1.1.1 로 설정하는 것도 있었는데 이번 문서에는 빠져있네요.
설정 다 했는데도 잘 안된다 싶으면 network.trr.bootstrapAddress 의 값도 1.1.1.1 로 바꿔서 테스트 해보세요.
기본값은 비어있습니다.
이 설정은 앞에서 설정한 network.trr.uri에 넣은 도메인 주소값을 통신사 DNS에서 막으면 IP주소를 못받아와 무용지물이 되니 통신사 DNS가 아닌 1.1.1.1 에서 network.trr.uri값의 IP주소를 직접 가져오게 하는 목적입니다.
 



6. 여기까지 다 설정하셨으면 Firefox를 종료하고 다시 실행후 아래 사이트를 들어가 Check my browser 버튼을 클릭해봅니다.

Cloudflare ESNI Checker | Cloudflare

Secure DNS Transport using DoH (DNS over HTTPS) or DoT (DNS over TLS)

www.cloudflare.com


네가지 항목 모두 초록색으로 표기되면 성공한겁니다.

7. 이제 안전한 인터넷 서핑을 즐기세요~


이렇게 https 패킷까지 다 까봐서 사용자가 어느 사이트를 가는지까지 보는 기술적인 방법으로 차단하기보다는 불법 사이트를 제도적으로 막고 교육을 통해서 사용자들이 범죄라고 느끼게 하는게 우선 아닐까 생각합니다.


기술과 제도는 창과 방패의 개념이라 소모적인 싸움만 있을것 같으니까요.



※ 자료현황 ※
등록일 : 2019-02-12 22:18:48 / 문서노출 : 1130 / 다운로드 0


※ 파일 다운로드 ※
파일 이름 : MDAxNTM5OTU1ODA4MTgy.URng7Y3VpihgjwtwOhkFY2V37zs1WRqOKdoOeaUouV4g.ks8lVZXygj1fCGRzforZPjIgHp_DSiH8SkkwJbMSxbMg.PNG (19.9KB)