Почему при заходе на сайт https://core.telegram.org возникает ошибка: «Ошибка при установлении защищённого соединения»?

Question

[idin]

Есть debian9 c firefox 60. когда захожу на сайт пишет ошибку

Ошибка при установлении защищённого соединения

дергаю curl:

curl https://core.telegram.org/ --verbose
*   Trying 5.3.3.17...
* TCP_NODELAY set
* Connected to core.telegram.org (5.3.3.17) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
*   CAfile: /etc/ssl/certs/ca-certificates.crt
  CApath: /etc/ssl/certs
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* Unknown SSL protocol error in connection to core.telegram.org:443 
* Curl_http_done: called premature == 1
* stopped the pause stream!
* Closing connection 0
curl: (35) Unknown SSL protocol error in connection to core.telegram.org:443

подключаюсь к openvpn захожу на сайт пишет ошибку:

При соединении с core.telegram.org произошла ошибка. SSL получило запись, длина которой превышает максимально допустимую. Код ошибки: SSL_ERROR_RX_RECORD_TOO_LONG

дергаю curl:

*   Trying 5.3.3.17...
* TCP_NODELAY set
* Connected to core.telegram.org (5.3.3.17) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
*   CAfile: /etc/ssl/certs/ca-certificates.crt
  CApath: /etc/ssl/certs
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol
* Curl_http_done: called premature == 1
* stopped the pause stream!
* Closing connection 0
curl: (35) error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol

хромиум в принцепе тоже не заходит , думаю что может какие библиотеки не доставил?
openssl version OpenSSL 1.1.0j 20 Nov 2018
пакет ca-certificates установлен самой новой версии (20161130+nmu1+deb9u1).

На Окнах в этой же сети при подключение к openvpn заходит на сайт нормально.

Comments

[stratosmi]

Какая страна?

[idin]

stratosmi, норвегия vpn, а сам из России великой))

[Владислав]

idin, попробуйте зайти через http. У меня было такое, что через socks прокси DPI блочил телеграм... Может и тут где-то утечка мимо vpn. Через http может показать баннер запрета.

[idin]

Владислав Фурсов, странно при заходе через core.telegram.org у меня доступ закрыт

Доступ к информационному ресурсу ограничен на основании ФЗ от 27.07.2006 г. №149-ФЗ "Об информации, информационных технологиях и о защите информации"

притом c ip все номр Norway Oslo, да и реклама на youtube Норвежская

[Владислав]

idin, DNS сервер, который используется в системе выдал ваш интернет провайдер, даже за VPN вы будете обращаться к нему(если правильно не настроить).
Проще всего, сменить DNS сервера в настройках системы, например на 1.1.1.1 (CloudFlare) или 8.8.8.8 (Google).

[idin]

Владислав Фурсов, у меня есть вопрос. Я пытался прописать днем dns в файле: /etc/resolv.conf

nameserver 192.168.1.1
nameserver 8.8.8.8

и вопрос он сразу применяется как сохраняется или после перезагрузки.
ибо если я сохраню фай и попробую зайти на сайт то ошибка та же остается.
а если я перезагружу системник, то файл /etc/resolv.conf обновится и мои прописанные dns исчезнут. притом программы resolvconf у меня нету (как я понял она может переписать файл resolv.conf) а дальше я просто не успел еще понять почему так происходит и файл /etc/resolv.conf перезаписывается на дефолтный.

[Владислав]

Всё верно, у вас ведь есть графическая оболочка и network-manager

Через графический интерфейс это можно сделать так:

Systems menu > Preferences > Network Connections.
Выберете соединение (на вкладке Wired(проводное) или Wireless(беспроводное) ) и нажмите Edit.
На вкладке IPv4 Settings измените метод получения адреса “Automatic (DHCP)” на какой-нибудь другой. Например, “Automatic (DHCP) addresses only” is likely to be appropriate.
Введите через пробел адреса DNS серверов в поле “DNS servers”.
Нажмите “Apply.”

Источник

обязательно убирайте 192.168.1.1 из ДНС серверов, так как это IP вашего роутера, а роутер получает DNS от провайдера.
Я бы рекомендовал прописать DNS сервера прямо на роутере, чтобы никогда не пользоваться подменными ответами от провайдера.

[idin]

Владислав Фурсов, Спасибо большое. разобрался. Даже прочитал чуть чуть про DPI.

[Константин ™]

Так же хочу добавить, что некоторые провайдеры даже при смене dns-сервера, модифицируют ваш dns-трафик. Помогает от этого настройка dnscrypt на роутере. Либо dns-over-ssl (dns-over-https). Так же, если пользуетесь vpn, можете настроить обращение к dns-серверам своего vpn-провайдера через vpn-туннель.

Answer 1

[idin]

Решением было прописать DNS в /etc/resolv.conf. Сохранить и потом сделать так чтобы после перезагрузки компа файл resolv.conf остался не измененным. Спасибо большое Владислав Фурсов . Более подробнее про решение в комментариях к вопросу

Answer 2

[Владислав]

IP 5.3.3.17 российский, если верить сервису https://ipinfo.io/5.3.3.17
значит, у вас подменили DNS ответ и заменили в нём настоящий IP.
В таком случае не поможет и VPN, так как у вас уже подменили IP.

Вам нужно или заменить DNS провайдера, например на 1.1.1.1 (CloudFlare) или 8.8.8.8 (Google), или, если ваш провайдер перехватывает и подменяет любые DNS ответы, то использовать уже DNSSec.

Вот ответ от DNS у меня:

$ dig core.telegram.org
...

;; ANSWER SECTION:
core.telegram.org.	600	IN	A	149.154.167.99

...

Answer 3

[Константин ™]

core.telegram.org забанен РКН. Подключение к нему с территории РФ только через vpn или прокси.