Cloudflare активировала ECH на своих серверах

vaspvort

Ночной дозор
Команда форума
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Migalki Club
Меценат💰️
Регистрация
10/4/18
Сообщения
5.029
Репутация
9.858
Реакции
15.167
RUB
1.045
Сделок через гаранта
18
На прошлой неделе известная сеть доставки контента (CDN) Cloudflare активировала поддержку расширения TLS на своих серверах. ECH - современная реализация идеи eSNI (Encrypted SNI), предназначенная для сокрытия от сторонних наблюдателей с помощью шифрования метаданных при установлении TLS-соединения, таких как имя сайта (SNI) к которому подключается клиент. В 2023 году Cloudflare на короткий срок уже включала ECH на своих серверах, а с октября 2024 года он доступен снова, в том числе для сайтов, использующих бесплатный тариф.

Чтение и анализ SNI использует в том числе Роскомнадзор для выборочных блокировок сайтов на своем оборудовании "ТСПУ", и таким образом активный ECH делает невозможными точечные блокировки сайтов, расположенных за CDN Cloudflare (если у вас есть сайт, который по каким-то причинам заблокирован, вы можете прикрыть его Cloudflare - базовый тариф у них бесплатный и не требует привязки карты).

Проверить, доступен ли ECH для подключения к конкретному сайту можно используя : введя имя домена и выбрав HTTPS, в выданных данных должна быть строчка типа "ech=XXXXX", где XXXXX это ключ шифрования для ECH.

Поскольку для работы ECH важно наличие определенных данных в DNS-информации, рекомендуется в браузерах активировать DoH (DNS-over-HTTP) или DoT (DNS-over-TLS) для того, чтобы защитить их от подмены.

Как включить DoH
Как это сделать в браузерах на базе Chromium:
«Настройки» (Settings) -> «Конфиденциальность и безопасность» (Privacy and security) -> «Безопасность» (Security) -> «Использовать безопасный DNS-сервер» (Use secure DNS) и выбрать любого из доступных провайдеров (возможно придется поэкспериментировать с разными вариантами).
Для Firefox:
«Настройки» (Settings) -> «Приватность и защита» (Privacy & Security) -> «DNS через HTTPS» (DNS over HTTPS) ->«Повышенная защита» (Increased Protection) или «Максимальная защита» (Max Protection).

Проверить работу ECH (при отключенных средствах обхода DPI типа GoodbyeDPI и без прокси/VPN) можно, например, на сайте известного русскоязычного СМИ из 6 букв в зоне .io

Теперь же нам остается наблюдать, что будет дальше. Весьма вероятно РКН будет пробовать подменять нешифрованные DNS-ответы, чтобы сломать работу ECH, заблокировать популярные DoH/DoT-провайдеры (он уже это делал), и пытаться подключения с ECH. Либо возможен более радикальный и менее ресурсоемкий вариант - полная блокировка любых HTTPS/TLS-подключений, для которых не удалось достоверно прочитать SNI.

 
  • Теги
    cdn cloudflare ech esni tls
  • Сверху Снизу