Роскомнадзор рекомендует отключить шифрование ECH от Cloudflare или перейти на отечественные CDN

Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) Роскомнадзора порекомендовал владельцам российских сайтов отказаться от использования CDN-сервиса Cloudflare и рассмотреть переход на отечественные аналоги.

Причина рекомендаций

Рекомендации ЦМУ ССОП связаны с использованием технологии Encrypted Client Hello (ECH), которая была активирована Cloudflare в октябре 2024 года. Данная технология шифрует запросы пользователя, скрывая адрес посещённых сайтов от провайдеров.

«Хабр» сообщает, что обновление Cloudflare включает ECH для всех сайтов, использующих их серверы, что делает посещения пользователей менее отслеживаемыми.

Опасения Роскомнадзора

ЦМУ ССОП отмечает, что ECH может способствовать обходу ограничений на доступ к заблокированным сайтам. Это, по мнению ведомства, усложняет реализацию требований о блокировке контента, находящегося под запретом в России. Вследствие этого, ЦМУ ССОП полагает, что внедрение ECH противоречит техническим средствам противодействия угрозам (ТСПУ), на которые опирается Роскомнадзор.

Рекомендации по использованию отечественных сервисов

• Роскомнадзор советует сайтам, использующим Cloudflare, рассмотреть возможность перехода на отечественные CDN-сервисы.
• Для защиты от DDoS-атак ведомство рекомендует использовать Национальную систему противодействия DDoS-атакам, которая была запущена в марте 2024 года.

Последствия блокировки ECH

Некоторые российские издания, включая «Хабр», «Код Дурова» и «3DNews», 6 ноября сообщили, что Роскомнадзор начал блокировать сайты, использующие шифрование ECH. Это привело к затруднению доступа к ряду ресурсов, подключенных к серверам Cloudflare.

Таким образом, ЦМУ ССОП призывает российских операторов и владельцев сайтов задуматься о смене CDN-провайдера, чтобы избежать потенциальных проблем с доступом и выполнения требований законодательства.

Как отключить ECH для вашего домена на Cloudflare

Если вам нужно отключить Encrypted Client Hello (ECH) для вашего домена на Cloudflare, выполните следующие шаги.

В платных аккаунтах это можно сделать в меню настройки домена SSL/TLS > Edge Certificates >Encrypted Client Hello.

Для бесплатных учетных записей, этот процесс включает проверку текущего статуса ECH, а затем его отключение через API Cloudflare.

Шаг 1: Проверка, включен ли ECH

Сначала необходимо проверить, включен ли ECH для вашего домена. Для этого перейдите по следующей ссылке, заменив [ВАШ_ДОМЕН] на ваш реальный домен:

https://dns.google/resolve?name=[ВАШ_ДОМЕН]&type=HTTPS

Если в результатах видно, что ECH включен, то переходите к следующему шагу.

Шаг 2: Получение данных для API Cloudflare

Чтобы отключить ECH, вам понадобятся Global API Key и Zone ID вашего домена:

• Global API Key. Перейдите на страницу Cloudflare по следующей ссылке и найдите ваш глобальный API-ключ.
• Zone ID. Перейдите в управление вашим доменом на Cloudflare и прокрутите вниз страницу. Найдите строку Zone ID и скопируйте её.

Шаг 3: Отключение ECH через API Cloudflare

Теперь, когда у вас есть Global API Key и Zone ID, вы можете отключить ECH с помощью команды curl. Выполните следующую команду, заменив {ID_ZONE} на ваш Zone ID, а {ACCOUNT_EMAIL} и {GLOBAL_API_KEY} на ваш email и API-ключ соответственно:

curl -X PATCH "https://api.cloudflare.com/client/v4/zones/{ID_ZONE}/settings/ech" \
     -H "X-Auth-Email: {ACCOUNT_EMAIL}" \
     -H "X-Auth-Key: {GLOBAL_API_KEY}" \
     -H "Content-Type:application/json" --data '{"id":"ech","value":"off"}'

После выполнения команды ECH будет отключен для вашего домена, что позволит вам избежать потенциальных проблем с доступом для российских пользователей.