ERR_ECH_FALLBACK_CERTIFICATE_INVALID error on 5.doramatv.one #1913
Comments
|
@DimonPro242 Не повторяется. Какая версия базового фильтра? Отключение антитрекинга помогает? Если да, то какая опция приводит к проблеме? |
|
Базовый фильтр 2.3.51.27 |
|
Я пробую все отключить по отдельности не чего не помогло |
|
Не знаю вам это поможет или нет. Отключил Автоматически фильтровать трафик приложений и сайт заработал ну только и появилась реклама, Режим там стоит Сетевое Расширения. Теперь по пробывал в Режим Фильтрации поменять на Автомотически прокси, помогло реклама пропала и сайт заработал. |
|
Нет, это нам не поможет) |
|
у меня макбук и я незнаю как вам помочь |
|
Можно через AnyDest. Аналог TeamViewer Если такой вариант подходит - напишите в https://t.me/Alex302_AdGuard Если нет - попробуйте добавить Details
|
|
api.rmr.rocks сделал я это и не помогло |
Alex-302
changed the title
|
@sfionov the problem is with Encrypted Client Hello it seems, but I cannot reproduce it so far. The domain in question is So far I am unable to reproduce the issue, but I've only tried it with Chrome. Cloudflare indeed serves a ECH configuration for that domain: |
|
@DimonPro242 А в обычном Хроме или Firefox повторяется? |
|
в Safari закладки запускаються |
|
в Опере так же все запускаеться |
|
Столкнулся с такой же проблемой. Выяснил, что это происходит при включенной фильтрации HTTPS и использовании системного сервера DNS. После выбора сервера AdGuard DNS сайты вновь заработали |
|
@JIiCeHoK а какой у вас системный DNS сервер? |
Cloudflare. |
|
Причём чтобы точно всё заработало, нужно сначала отключить фильрацию, зайти на сайт и несколько раз обновить страницу, после включать фильтрацию и менять сервер DNS. Но сработать может не сразу, поэтому нужно пробовать несколько раз |
|
У меня похожая ошибка с другими сайтами. Проблема именно с открытием страниц в Яндекс Браузере. В других браузерах (например chrome и edge) в то же время всё нормально работает Стабильно вылетает ошибка ERR_ECH_FALLBACK_CERTIFICATE_INVALID на одной из следующих страниц: Реже: Указанный в шапке сайт также показывает упомянутую ошибку Способ воспроизведения:
Временное решение: |
|
P.s.: При включенной HTTPS фильтрации пробовал добавлять сайт, на котором вылезла ошибка, в исключение с помощью расширения браузера "Браузерный помощник AdGuard". Не помогает P.s.s: Если необходимо, вот мои настройки из AdGuard |
|
А можете еще точную версию ЯБраузера и ОС сказать? |
|
Версия ЯБ: 24.7.3.1250 (64-bit) |
|
Выглядит так, будто проблема связана не с ECH, а с тем, что браузер не принимает сертификат: https://source.chromium.org/chromium/chromium/src/+/main:net/socket/ssl_client_socket_impl.cc;l=1162?q=ERR_ECH_FALLBACK_CERTIFICATE_INVALID%20&ss=chromium Однако, мне не удалось повторить ни на одном из сайтов из данного обсуждения. @dDmioko Не могли бы вы, пожалуйста, записать лог браузера:
|
|
Решается добавлением в исключения https фильтрации домена cloudflare-ech.com |
Да, действительно помогло. Благодарю, добрый человек |
|
Ну это решение по сути отключит фильтрацию для всех доменов, на которых используется ECH, а их со временем будет становиться больше. Нам бы до причины докопаться. |
|
Добрый день, присоединяюсь к обсуждению, аналогичная проблема, только ноут у меня на Windows 11. Не открывает сайт с документацией FastAPI, ошибка ERR_ECH_FALLBACK_CERTIFICATE_INVALID. |
|
Мы изучили данную проблему: Проблема возникает из-за того, как Яндекс.Браузер обрабатывает сертификат для HTTPS-фильтрации. Сначала они получают код ошибки -215 (ERR_CERT_ISSUED_BY_UNKNOWN_ROOT) при валидации на встроенном хранилище сертов, далее они переключаются на системное хранилище. Это позволяет предупредить юзера, показав "разомкнутый" замок, если используется MITM-серт, и "зелёный", если серт оригинальный. Однако эта схема не очень совместима с нарастающим внедрением ECH. Т.к. получив эту ошибку, код ECH заменит её на ERR_ECH_FALLBACK_CERTIFICATE_INVALID, на чём обработка соединения завершится, и будет показана ошибка. В хроме же это работает, т.к. он успешно валидирует сертификат cloudflare-ech.com, понимает, что доверенное соединение произошло, но зашифрованная часть ClientHello не была обработана сервером. Этого достаточно, чтобы не использовать ECH для этого сайта. ВоркэраундВ качестве воркэраунда необходимо включить Расширенную настройку Адгарда, созданную специально на случай подобных проблем - |
|
В Adguard для Windows расширенная настройка называется "Block ECH" и находится среди настроек DNS (почти в самом конце списка Advanced-настроек) 
Что делать, если ECH мне нужен?Если вам всё-таки нужен ECH, кроме настройки выше, необходимо так же включить расширенную настройку В Windows-версии это следующая настройка: |
|
Указанный способ помог, спасибо |
|
Проблему отрепортили в Яндекс, надеюсь исправят, пусть задача пока открытая висит. |
Помогло, спасибо, только перезагрузка Яндекс Браузера не помогла, как и убийство процесса. Только после перезагрузки ПК заработало конкретно у меня. |
|
У меня лично снова начал проявляться этот баг, настройки не менял. |
|
I switched to the Yandex browser and encountered the same bug. |
Аналогично, не помогают опции выше. |
|
Я так понимаю про Adguard приложение для Windows можно забыть и не ждать новостей? |
|
@JusticeWay Подскажите, включена ли у вас DNS-фильтрация? |
Стоит Adguard Home (ваш же) на VPS и использую DOH протокол. |
|
@JusticeWay А в самом приложении AdGuard включена DNS-фильтрация? |
Нет конечно, в этом же смысла нет никакого при наличии собственного сервера Adguard Home |
|
К сожалению, имеющийся воркэраунд требует включенную фильтрацию DNS, чтобы убрать ECH-информацию из ответов на DNS-запросы яндекс-браузера, в том числе когда браузер использует DoH. Если предположить, что ЯБ не использует DoH, то блокирование запросов типа Если использует, то поможет только локальная DNS-фильтрация |
Куда именно вписать правило? Я с приложением в плане DNS не работал |
|
@Noatitauaggi Если включена DNS-фильтрация в приложении, должно быть достаточно галки выше, если используется AG Home, то это правило для него |
Issue URL (Incorrect Blocking)
https://5.doramatv.one/vasha_chest
Comment
Screenshots
Screenshot 1
Screenshot 1 with AdGuard disabled
System configuration
Block Location API,
Block Java,
Strip URLs from tracking parameters,
Hide your search queries,
Send Do-Not-Track header,
Hide your Referrer from third-parties,
Hide your User-Agent,
Remove X-Client-Data header from HTTP requests,
Self-destructing third-party cookies (180),
Block trackers
AdGuard Base
Privacy:
AdGuard Tracking Protection,
AdGuard URL Tracking,
EasyPrivacy,
Peter Lowe's Blocklist
Annoyances:
AdGuard Annoyances,
AdGuard Cookie Notices
Language-specific:
AdGuard Russian
AdGuard Popup Blocker (url: https://userscripts.adtidy.org/release/popup-blocker/2.5/popupblocker.user.js)
AdGuard Extra (url: https://userscripts.adtidy.org/release/adguard-extra/1.0/adguard-extra.user.js)
The text was updated successfully, but these errors were encountered: