РКН заблокировал ECH [SNI]: пользователи Cloudflare под ударом, что дальше?
Cloudflare неожиданно включил всем своим пользователям шифрование заголовка SNI (Server Name Indication). Это значит, что теперь невозможно узнать, к какому сайту происходит подключение через HTTPS. В результате многие сайты, заблокированные в России, стали снова доступны, если они используют Cloudflare.
Но не все так просто: шифрование SNI — это всего лишь один из способов маскировки данных, и его не делает подключение полностью невидимым. Роскомнадзор быстро среагировал и заблокировал эту технологию. Подобные меры уже давно применяются в таких странах, как Иран и Китай, где доступ к интернету сильно ограничен.
Как отключить Encrypted SNI (ECH) на Cloudflare?
Если вы используете бесплатный тариф Cloudflare, отключить Encrypted Client Hello (ECH) не получится — такая опция отсутствует. Однако для пользователей платных тарифов есть такая возможность:
Зайдите в настройки SSL/TLS на панели Cloudflare.
В разделе «Edge Certificates» найдите «Encrypted ClientHello (ECH)» и выберите «Disabled», если хотите отключить шифрование.
Отключение TLS 1.3 — поможет ли это?
Можно попробовать отключить TLS 1.3, ведь именно эта версия протокола поддерживает ECH. Однако есть серьезные минусы: старые версии TLS менее безопасны, а современные браузеры могут начать некорректно работать. Это рискованный шаг, который не всегда оправдан.
Печальные последствия для интернет-свободы
Борьба с технологиями защиты данных — это выстрел себе в ногу. Вместо поиска новых способов определения доменов, Роскомнадзор прибегает к радикальным мерам, что приносит вред не только пользователям, но и бизнесам, использующим Cloudflare.
Есть ли решение?
Cloudflare действительно позволяет отключить ECH через панель управления, но только на платных тарифах. Стоит ли оно того? Вопрос сложный. Возможно, российским сайтам стоит рассмотреть альтернативные CDN и защиту от DDoS, чтобы минимизировать риски конфликтов с Роскомнадзором. Полностью избежать проблем, вероятно, не получится, но можно попытаться снизить их последствия.
Мой личный выбор — использование WAF от aeza.net. На данный момент aeza справляется с DDoS-атаками даже лучше, чем Cloudflare
Всем свободного интернета!