В России начали блокировать сайты, которые используют шифрование ECH от Cloudflare

В октябре 2024 года компания Cloudflare активировала поддержку расширения TLS ECH (Encrypted Client Hello) на своих серверах, что позволило скрывать от посторонних наблюдателей метаданные, такие как имя сайта (SNI), при установлении TLS-соединения. Новая функция затрудняет работу Роскомнадзора по блокировке запрещенных ресурсов, так как традиционные методы фильтрации, основанные на анализе SNI и DPI (Deep Packet Inspection), стали менее эффективными.

С 6 ноября пользователи из России стали сообщать о проблемах с доступом к ресурсам, работающим через инфраструктуру Cloudflare, особенно при использовании TLS 1.2 и шифрования ECH. Это может быть связано с мерами Роскомнадзора по блокировке сайтов, применяющих Encrypted Client Hello (ECH). Анализ трафика показал, что блокируются подключения к IP-адресам Cloudflare при определенных условиях, что свидетельствует о возможных экспериментах с блокировкой по TLS fingerprint.

Технология ECH направлена на повышение конфиденциальности пользователей, скрывая метаданные соединений и затрудняя отслеживание посещаемых ресурсов. Однако ее использование создает сложности для государственного ведомства, которое по закону должно блокировать запрещенные сайты. В результате контролирующие органы могут прибегнут и к более радикальным мерам, таким как полная блокировка HTTPS/TLS-подключений, для которых не удалось достоверно определить SNI.