vaspvort
Ночной дозор
Команда форума
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Migalki Club
Меценат💰️
На прошлой неделе известная сеть доставки контента (CDN) Cloudflare активировала поддержку расширения TLS
на своих серверах. ECH - современная реализация идеи eSNI (Encrypted SNI), предназначенная для сокрытия от сторонних наблюдателей с помощью шифрования метаданных при установлении TLS-соединения, таких как имя сайта (SNI) к которому подключается клиент. В 2023 году Cloudflare на короткий срок уже включала ECH на своих серверах, а с октября 2024 года он доступен снова, в том числе для сайтов, использующих бесплатный тариф.
Чтение и анализ SNI использует в том числе Роскомнадзор для выборочных блокировок сайтов на своем оборудовании "ТСПУ", и таким образом активный ECH делает невозможными точечные блокировки сайтов, расположенных за CDN Cloudflare (если у вас есть сайт, который по каким-то причинам заблокирован, вы можете прикрыть его Cloudflare - базовый тариф у них бесплатный и не требует привязки карты).
Проверить, доступен ли ECH для подключения к конкретному сайту можно используя : введя имя домена и выбрав HTTPS, в выданных данных должна быть строчка типа "ech=XXXXX", где XXXXX это ключ шифрования для ECH.
Поскольку для работы ECH важно наличие определенных данных в DNS-информации, рекомендуется в браузерах активировать DoH (DNS-over-HTTP) или DoT (DNS-over-TLS) для того, чтобы защитить их от подмены.
Проверить работу ECH (при отключенных средствах обхода DPI типа GoodbyeDPI и без прокси/VPN) можно, например, на сайте известного русскоязычного СМИ из 6 букв в зоне .io
Теперь же нам остается наблюдать, что будет дальше. Весьма вероятно РКН будет пробовать подменять нешифрованные DNS-ответы, чтобы сломать работу ECH, заблокировать популярные DoH/DoT-провайдеры (он уже это делал), и пытаться подключения с ECH. Либо возможен более радикальный и менее ресурсоемкий вариант - полная блокировка любых HTTPS/TLS-подключений, для которых не удалось достоверно прочитать SNI.
Чтение и анализ SNI использует в том числе Роскомнадзор для выборочных блокировок сайтов на своем оборудовании "ТСПУ", и таким образом активный ECH делает невозможными точечные блокировки сайтов, расположенных за CDN Cloudflare (если у вас есть сайт, который по каким-то причинам заблокирован, вы можете прикрыть его Cloudflare - базовый тариф у них бесплатный и не требует привязки карты).
Проверить, доступен ли ECH для подключения к конкретному сайту можно используя : введя имя домена и выбрав HTTPS, в выданных данных должна быть строчка типа "ech=XXXXX", где XXXXX это ключ шифрования для ECH.
Поскольку для работы ECH важно наличие определенных данных в DNS-информации, рекомендуется в браузерах активировать DoH (DNS-over-HTTP) или DoT (DNS-over-TLS) для того, чтобы защитить их от подмены.
Проверить работу ECH (при отключенных средствах обхода DPI типа GoodbyeDPI и без прокси/VPN) можно, например, на сайте известного русскоязычного СМИ из 6 букв в зоне .io
Теперь же нам остается наблюдать, что будет дальше. Весьма вероятно РКН будет пробовать подменять нешифрованные DNS-ответы, чтобы сломать работу ECH, заблокировать популярные DoH/DoT-провайдеры (он уже это делал), и пытаться подключения с ECH. Либо возможен более радикальный и менее ресурсоемкий вариант - полная блокировка любых HTTPS/TLS-подключений, для которых не удалось достоверно прочитать SNI.
