The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Раздел полезных советов: Как отключить TLS-расширение ECH для решения проблем с Cloudflare в РФ"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Раздел полезных советов: Как отключить TLS-расширение ECH для решения проблем с Cloudflare в РФ"  +/
Сообщение от auto_tips (?), 08-Ноя-24, 09:43 
Роскомнадзор начал блокировать в РФ  соединения к сайтам, использующим TLS-расширение ECH (Encrypted Client Hello). Блокировка привела к массовым проблемам с сайтами, работающими через сеть доставки контента Cloudflare, которую используют примерно [[https://w3techs.com/technologies/details/cn-cloudflare 19% всех сайтов]] в интернете (по [[https://www.netcraft.com/blog/october-2024-web-server-survey/ другим данным]] 16%  (31 млн) активных сайтов или 23.83% из миллиона самых популярных сайтов).

О масштабе сбоев можно судить хотя бы по тому, что из-за блокировки ECH была нарушена работа сайта самого Роскомнадзора, на котором для загрузки шрифтов использовался сервис webfontfree.com, работающий через Cloudflare (первая попытка открытия rkn.gov.ru приводила к минутному зависанию до истечения таймаута).


ECH [[https://www.opennet.ru/opennews/art.shtml?num=59869 продолжает развитие]] TLS-расширений SNI и ESNI (Encrypted Server Name Indication) и предназначен для шифрования информации о параметрах TLS-сеансов, таких как запрошенное доменное имя. Если без ECH на стороне интернет-провайдера можно выборочно фильтровать HTTPS-трафик и анализировать какие сайты открывает пользователь, то ECH позволяет добиться полной конфиденциальности при применении HTTPS при обращении к сайтам, использующим сети доставки контента с поддержкой ECH. После включения поддержки ECH в Cloudflare Роскомнадзор потерял возможность блокировать сайты, использующие данную сеть доставки контента, и поэтому просто начал блокировать HTTPS-запросы с ECH (судя по всему блокировка ECH  пока ограничивается отдельными подсетями Cloudflare).

На стороне пользователя в Firefox доступ к сайтам, работающим через Cloudflare, можно решить двумя путями:

* отключить настройки network.dns.echconfig.enabled и network.dns.http3_echconfig.enabled на странице about:config

* отключить использование протокола TLS 1.3 выставив в about:config параметр security.tls.version.max  в значение "3". При этом может быть нарушена работа с серверами, поддерживающими только протокол TLS 1.3 и отключившими поддержку TLS 1.2.

В Chrome раньше ECH можно было отключить через параметр
chrome://flags#encrypted-client-hello, но с февраля этого года он удалён и ECH всегда включён по умолчанию.

Владельцы сайтов, использующих Cloudflare, могут отключить ECH в личном кабинете dash.cloudflare.com в секции "SSL > Edge Certificates > Encrypted ClientHello (ECH)".

Если тарифный план не предусматривает возможность изменения данной настройки через web-интерфейс, для отключения ECH можно использовать API:

   curl -X PATCH "https://api.cloudflare.com/client/v4/zones/ID_ZONE/settings/... -H "X-Auth-Key: YOUR_GLOBAL_API_KEY" -H "X-Auth-Email: YOUR_EMAIL" -H "Content-Type: application/json" --data '{"id":"ech","value":"off"}'

URL:
Обсуждается: https://www.opennet.ru/tips/info/3258.shtml

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

4. Сообщение от дАнон (?), 08-Ноя-24, 14:19   +7 +/
наконец интернет без сайтов
только верните аську
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #21

6. Сообщение от Аноним (6), 08-Ноя-24, 16:40   +2 +/
> наконец интернет без сайтов
> только верните аську

Gopher protocol и irc. И достаточно

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #7, #17

7. Сообщение от Аноним (7), 08-Ноя-24, 17:39   +1 +/
А как же Gemini ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

8. Сообщение от InuYasha (??), 08-Ноя-24, 19:57   +4 +/
Cloudflare is the cancer that is killing the internet.

Отключать ECH - ну, такое себе.
Если когда-нибудь изберусь в РФ, то первым законом сделаю запрет запрещать.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12, #23

12. Сообщение от OpenEcho (?), 09-Ноя-24, 02:51   +/
> Если когда-нибудь изберусь в РФ, то первым законом сделаю запрет запрещать.

И как же тогда паству АКА followers /направлять/обяснять... они ж за все, что в тренде, "блястнуть умом" перед себе подобными на что угодно пойдут и обойдут (проверенно историей).

Отмена запретов может очень быстро превратиться в анархию...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

13. Сообщение от Abyss777email (?), 09-Ноя-24, 07:21   +/
Тут говорят что эта опция для Хрома не работает

https://support.google.com/chrome/thread/260299990/cannot-di...

Ответить | Правка | Наверх | Cообщить модератору

17. Сообщение от bvgdas (?), 10-Ноя-24, 12:18   +1 +/
ещё FTP для файлов. Многопоточный, с докачкой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #26

18. Сообщение от Аноним (18), 10-Ноя-24, 21:11   +/
Как обновить Garuda Linux через Firefox у него репо на Cloudflare
Ответить | Правка | Наверх | Cообщить модератору

19. Сообщение от Аноним (19), 11-Ноя-24, 07:23   +2 +/
>доступ к сайтам, работающим через Cloudflare,

можно решить двумя путями:

На самом деле одним, но верным: дурением DPI. Просто добавить в список хостов cloudflare-ech.com (можно еще a.nel.cloudflare.com)

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25

21. Сообщение от ABATAPA (ok), 12-Ноя-24, 14:33   +/
И FIDO.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

22. Сообщение от Аноним123 (?), 12-Ноя-24, 16:11   +3 +/
Думаю скоро будет совет, как добавить сертификат для дешифровки, который не добавляется из-за блэклиста браузера
Ответить | Правка | Наверх | Cообщить модератору

23. Сообщение от Аноним (23), 12-Ноя-24, 16:24   +1 +/
Может роскомпозор?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

25. Сообщение от Pahanivo (ok), 13-Ноя-24, 16:59   +/
> можно решить двумя путями:
> На самом деле одним, но верным: дурением DPI. Просто добавить в список
> хостов cloudflare-ech.com (можно еще a.nel.cloudflare.com)

Остается мелочь - донести это до ВСЕХ КЛИЕНТОВ! Делов то ....

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

26. Сообщение от Abra (?), 13-Ноя-24, 17:40   +/
alt.binaries?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру