Что такое ECH можно почитать здесь : https://habr.com/ru/news/851994/
Если коротко: без ECH все промежуточные узлы, включая Роскомнадзор, видят доменные имена тех сайтов, на которые клиент ходит по HTTPS. А с ECH — не видят. CloudFlare включил ECH там у себя буквально пару месяцев назад.
С полуночи сразу в нескольких российских локациях наблюдается следующая ситуация:
Chrome отваливается по таймауту при попытке зайти на любой из множетсва сайтов, проксируемых через CloudFlare с включенным TLS 1.3 (ECH это расширение TLS 1.3). При этом те же самые сайты с той же самой машины можно скачать с использованием wget, который не поддерживает ECH. После выключения TLS 1.3 на стороне CloudFlare сайты становятся доступны через несколько минут (отключение TLS 1.3 отключает и ECH тоже).
Сайты с TLS 1.2 и ниже работают как обычно.
Воспроизводится из нескольких локаций у разных операторов на примерно сотне сайтов.
Через VPN те же сайты всё это время работают нормально.
Среди попавших под раздачу оказались:
https://openstreetmap.org
https://diary.ru
https://kopilkaurokov.ru
https://uchitelya.com
https://opensubtitles.org
Из 10000 самых трафиковых сайтов по версии рейтинга alexa.com на CloudFlare заведены примерно 2500. Из них примерно 700 имеют в DNS запись, информирующую о поддержке ECH.
ссылка на оригинал статьи https://habr.com/ru/articles/856342/
Добавить комментарий