В России начали блокировать сайты, которые используют шифрование ECH от Cloudflare

2024-11-06 6439 комментарии
В России начали блокировать сайты, использующие шифрование ECH от Cloudflare, затрудняющее традиционные методы фильтрации. Это усложняет контроль над доступом к запрещенным ресурсам и может привести к более радикальным мерам, таким как полная блокировка HTTPS/TLS-подключений без явного SNI

Обновлено: 07.11.2024Роскомнадзор рекомендует отключить шифрование ECH от Cloudflare или перейти на отечественные CDN. Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) предложил владельцам российских сайтов отказаться от Cloudflare из-за шифрования ECH, мешающего блокировке запрещённого контента, и рассмотреть переход на отечественные CDN-сервисы

В октябре 2024 года компания Cloudflare активировала поддержку расширения TLS ECH (Encrypted Client Hello) на своих серверах, что позволило скрывать от посторонних наблюдателей метаданные, такие как имя сайта (SNI), при установлении TLS-соединения. Новая функция затрудняет работу Роскомнадзора по блокировке запрещенных ресурсов, так как традиционные методы фильтрации, основанные на анализе SNI и DPI (Deep Packet Inspection), стали менее эффективными.

С 6 ноября пользователи из России стали сообщать о проблемах с доступом к ресурсам, работающим через инфраструктуру Cloudflare, особенно при использовании TLS 1.2 и шифрования ECH. Это может быть связано с мерами Роскомнадзора по блокировке сайтов, применяющих Encrypted Client Hello (ECH). Анализ трафика показал, что блокируются подключения к IP-адресам Cloudflare при определенных условиях, что свидетельствует о возможных экспериментах с блокировкой по TLS fingerprint.

Технология ECH направлена на повышение конфиденциальности пользователей, скрывая метаданные соединений и затрудняя отслеживание посещаемых ресурсов. Однако ее использование создает сложности для государственного ведомства, которое по закону должно блокировать запрещенные сайты. В результате контролирующие органы могут прибегнут и к более радикальным мерам, таким как полная блокировка HTTPS/TLS-подключений, для которых не удалось достоверно определить SNI.

© .
Комментарии и отзывы

Нашли ошибку?

Новое на сайте