На прошлой неделе известная сеть доставки контента (CDN) Cloudflare активировала поддержку расширения TLS ECH (Encrypted Client Hello) на своих серверах. ECH — современная реализация идеи eSNI (Encrypted SNI), предназначенная для сокрытия от сторонних наблюдателей с помощью шифрования метаданных при установлении TLS-соединения, таких как имя сайта (SNI) к которому подключается клиент. В 2023 году Cloudflare на короткий срок уже включала ECH на своих серверах, а с октября 2024 года он доступен снова даже для сайтов, испольщующих бесплатный тариф.
Чтение и анализ SNI использует в том числе Роскомнадзор для выборочных блокировок сайтов на своем оборудовании «ТСПУ», и таким образом активный ECH делает невозможными точечные блокировки сайтов, расположенных за CDN Cloudflare (если у вас есть сайт, который по каким-то причинам заблокирован, вы можете прикрыть его Cloudflare — базовый тариф у них бесплатный и не требует привязки карты).
Проверить, доступен ли ECH для подключения к конкретному сайту можно используя сервис Google DNS: введя имя домена и выбрав HTTPS, в выданных данных должна быть строчка типа «ech=XXXXX», где XXXXX это ключ шифрования для ECH.
Поскольку для работы ECH важно наличие определенных данных в DNS-информации, рекомендуется в браузерах активировать DoH (DNS-over-HTTP) или DoT (DNS-over-TLS) для того, чтобы защитить их от подмены. Как это сделать в браузерах на базе Chrome: «Настройки» (Settings) -> «Конфиденциальность и безопасность» (Privacy and security) -> «Безопасность» (Security) -> «Использовать безопасный DNS-сервер» (Use secure DNS) и выбрать любого из доступных провайдеров (возможно придется поэкспериментировать с разными вариантами). Для Firefox: «Настройки» (Settings) -> «Приватность и защита» (Privacy & Security) -> «DNS через HTTPS» (DNS over HTTPS) ->«Повышенная защита» (Increased Protection) или «Максимальная защита» (Max Protection).
Проверить работу ECH (при отключенных средствах обхода DPI типа GoodbyeDPI и без прокси/VPN) можно, например, на сайте известного русскоязычного СМИ из 6 букв в зоне .io
Теперь же нам остается наблюдать, что будет дальше. Весьма вероятно РКН будет пробовать подменять нешифрованные DNS-ответы, чтобы сломать работу ECH, заблокировать популярные DoH/DoT-провайдеры (он уже это делал), и фильтровать подключения с ECH. Либо возможен более радикальный и менее ресурсоемкий вариант — полная блокировка любых HTTPS/TLS-подключений, для которых не удалось прочитать SNI.
ссылка на оригинал статьи https://habr.com/ru/articles/851994/
Добавить комментарий