AdguardTeam
ERR_ECH_FALLBACK_CERTIFICATE_INVALID error on 5.doramatv.one
Issue URL (Incorrect Blocking)
https://5.doramatv.one/vasha_chest
Comment
Не показывают закладки на сайте, при выключения расширения закладки появляются.
Username:@DimonPro242
Screenshots
Screenshot 1
Screenshot 1 with AdGuard disabled
System configuration
| Information | Value |
|---|---|
| AdGuard product: | AdGuard for Mac v2.15.1.1731 release |
| System version: | MacOS Somona 14.6.1 |
| Browser: | Яндекс Браузер |
| License type: | paid |
| Tracking protection options: | Block Push API, Block Location API, Block Java, Strip URLs from tracking parameters, Hide your search queries, Send Do-Not-Track header, Hide your Referrer from third-parties, Hide your User-Agent, Remove X-Client-Data header from HTTP requests, Self-destructing third-party cookies (180), Block trackers |
| DNS filtering: | disabled |
| Filters: | Ad Blocking: AdGuard Base Privacy: AdGuard Tracking Protection, AdGuard URL Tracking, EasyPrivacy, Peter Lowe's Blocklist Annoyances: AdGuard Annoyances, AdGuard Cookie Notices Language-specific: AdGuard Russian |
| Browsing Security: | enabled |
| Browsing Security statistics: | disabled |
| Userscripts: | Web of Trust (url: https://userscripts.adtidy.org/release/adguard-wot/1.0/wot.user.js) AdGuard Popup Blocker (url: https://userscripts.adtidy.org/release/popup-blocker/2.5/popupblocker.user.js) AdGuard Extra (url: https://userscripts.adtidy.org/release/adguard-extra/1.0/adguard-extra.user.js) |
| Userstyles: | disabled |
@DimonPro242 Не повторяется. Какая версия базового фильтра?
Отключение антитрекинга помогает? Если да, то какая опция приводит к проблеме?
Не знаю вам это поможет или нет. Отключил Автоматически фильтровать трафик приложений и сайт заработал ну только и появилась реклама, Режим там стоит Сетевое Расширения. Теперь по пробывал в Режим Фильтрации поменять на Автомотически прокси, помогло реклама пропала и сайт заработал.
Нет, это нам не поможет) А удалённо нельзя глянуть? Виртуальная машина тоже подойдёт, если повторится на ней.
Можно через AnyDest. Аналог TeamViewer https://anydesk.com/ru/downloads/mac-os
Если такой вариант подходит - напишите в https://t.me/Alex302_AdGuard
Если нет - попробуйте добавить api.rmr.rocks в исключения HTTPS
Details
@sfionov the problem is with Encrypted Client Hello it seems, but I cannot reproduce it so far.
The domain in question is api.rmr.rocks.
So far I am unable to reproduce the issue, but I've only tried it with Chrome.
Cloudflare indeed serves a ECH configuration for that domain:
dig -t https api.rmr.rocks. @1.1.1.1 +short
1 . alpn="h3,h2" ipv4hint=104.21.76.145,172.67.196.31 ech=AEX+DQBBuQAgACCSfpCSUjXkbXXOhe+gOQwJ/TxWDFR3gxXYYO43HNmnewAEAAEAAQASY2xvdWRmbGFyZS1lY2guY29tAAA= ipv6hint=2606:4700:3030::ac43:c41f,2606:4700:3033::6815:4c91
Столкнулся с такой же проблемой. Выяснил, что это происходит при включенной фильтрации HTTPS и использовании системного сервера DNS. После выбора сервера AdGuard DNS сайты вновь заработали
Причём чтобы точно всё заработало, нужно сначала отключить фильрацию, зайти на сайт и несколько раз обновить страницу, после включать фильтрацию и менять сервер DNS. Но сработать может не сразу, поэтому нужно пробовать несколько раз
У меня похожая ошибка с другими сайтами. Проблема именно с открытием страниц в Яндекс Браузере. В других браузерах (например chrome и edge) в то же время всё нормально работает
Стабильно вылетает ошибка ERR_ECH_FALLBACK_CERTIFICATE_INVALID на одной из следующих страниц:
- https://aiming.pro
- https://zzz.rng.moe
- https://schaledb.com
- https://justin163.com
Реже:
- https://shikimori.one
Указанный в шапке сайт также показывает упомянутую ошибку
Способ воспроизведения:
- Включить фильтрацию HTTPS в AdGuard
- Проверить что выключен Encrypted Client Hello (без неё стабильнее воспроизводится. Если включить, то несколько вкладок всё же загрузит, а остальные - нет)
- ИЛИ установить Яндекс Браузер начистую. После открыть каждую из указанных страниц (при чистой установке первая же падала)
- ИЛИ в уже установленном Яндекс Браузере поочерёдно открыть указанные страницы (падает стабильно на одной из них)
- При открытии страниц рекомендуется несколько раз перезагрузить их (Ctrl+R)
Временное решение: Обнаружил, что указанные сайты начинают работать, не показывая ошибки, если выключить настройку "Фильтрация HTTPS"
P.s.: При включенной HTTPS фильтрации пробовал добавлять сайт, на котором вылезла ошибка, в исключение с помощью расширения браузера "Браузерный помощник AdGuard". Не помогает
P.s.s: Если необходимо, вот мои настройки из AdGuard
https://drive.google.com/file/d/1byRPh6n7SfRe6LpgTjp0xXhSKix2OdY9/view?usp=sharing
Версия ЯБ: 24.7.3.1250 (64-bit) ОС: Windows 11 Pro Версия ОС: 23H2 Сборка ОС: 22631.4169
Выглядит так, будто проблема связана не с ECH, а с тем, что браузер не принимает сертификат: https://source.chromium.org/chromium/chromium/src/+/main:net/socket/ssl_client_socket_impl.cc;l=1162?q=ERR_ECH_FALLBACK_CERTIFICATE_INVALID%20&ss=chromium
Однако, мне не удалось повторить ни на одном из сайтов из данного обсуждения.
@dDmioko Не могли бы вы, пожалуйста, записать лог браузера:
- Открыть
chrome://net-export. Start Logging to Disk.- Воспроизвести проблему.
Stop Logging.- Отправить лог на [email protected] (со ссылкой на задачу)
Решается добавлением в исключения https фильтрации домена cloudflare-ech.com
Решается добавлением в исключения https фильтрации домена cloudflare-ech.com
Да, действительно помогло. Благодарю, добрый человек
Ну это решение по сути отключит фильтрацию для всех доменов, на которых используется ECH, а их со временем будет становиться больше.
Нам бы до причины докопаться.
Добрый день, присоединяюсь к обсуждению, аналогичная проблема, только ноут у меня на Windows 11. Не открывает сайт с документацией FastAPI, ошибка ERR_ECH_FALLBACK_CERTIFICATE_INVALID.
Мы изучили данную проблему:
Проблема возникает из-за того, как Яндекс.Браузер обрабатывает сертификат для HTTPS-фильтрации.
Сначала они получают код ошибки -215 (ERR_CERT_ISSUED_BY_UNKNOWN_ROOT) при валидации на встроенном хранилище сертов, далее они переключаются на системное хранилище. Это позволяет предупредить юзера, показав "разомкнутый" замок, если используется MITM-серт, и "зелёный", если серт оригинальный.
Однако эта схема не очень совместима с нарастающим внедрением ECH.
Т.к. получив эту ошибку, код ECH заменит её на ERR_ECH_FALLBACK_CERTIFICATE_INVALID, на чём обработка соединения завершится, и будет показана ошибка.
В хроме же это работает, т.к. он успешно валидирует сертификат cloudflare-ech.com, понимает, что доверенное соединение произошло, но зашифрованная часть ClientHello не была обработана сервером. Этого достаточно, чтобы не использовать ECH для этого сайта.
Воркэраунд
В качестве воркэраунда необходимо включить Расширенную настройку Адгарда, созданную специально на случай подобных проблем - dns.proxy.block.encrypted.client.hello.response.parameters и перезапустить Яндекс.Браузер.
В Adguard для Windows расширенная настройка называется "Block ECH" и находится среди настроек DNS (почти в самом конце списка Advanced-настроек)
Что делать, если ECH мне нужен?
Если вам всё-таки нужен ECH, кроме настройки выше, необходимо так же включить расширенную настройку
network.https.ech.enabled в мак-версии.
В Windows-версии это следующая настройка:
Тогда AdGuard сам будет заботиться о шифровании ClientHello при обращении к сайтам.
Проблему отрепортили в Яндекс, надеюсь исправят, пусть задача пока открытая висит.
В Adguard для Windows расширенная настройка называется "Block ECH" и находится среди настроек DNS (почти в самом конце списка Advanced-настроек)
#### Что делать, если ECH мне нужен? Если вам всё-таки нужен ECH, кроме настройки выше, необходимо так же включить расширенную настройку `network.https.ech.enabled` в мак-версии.
В Windows-версии это следующая настройка:
Тогда AdGuard сам будет заботиться о шифровании ClientHello при обращении к сайтам.
Помогло, спасибо, только перезагрузка Яндекс Браузера не помогла, как и убийство процесса. Только после перезагрузки ПК заработало конкретно у меня.