Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Раздел полезных советов: Как отключить TLS-расширение ECH для решения проблем с Cloudflare в РФ"	+/–
Сообщение от auto_tips (?), 08-Ноя-24, 09:43
Роскомнадзор начал блокировать в РФ  соединения к сайтам, использующим TLS-расширение ECH (Encrypted Client Hello). Блокировка привела к массовым проблемам с сайтами, работающими через сеть доставки контента Cloudflare, которую используют примерно [[https://w3techs.com/technologies/details/cn-cloudflare 19% всех сайтов]] в интернете (по [[https://www.netcraft.com/blog/october-2024-web-server-survey/ другим данным]] 16%  (31 млн) активных сайтов или 23.83% из миллиона самых популярных сайтов). О масштабе сбоев можно судить хотя бы по тому, что из-за блокировки ECH была нарушена работа сайта самого Роскомнадзора, на котором для загрузки шрифтов использовался сервис webfontfree.com, работающий через Cloudflare (первая попытка открытия rkn.gov.ru приводила к минутному зависанию до истечения таймаута). ECH [[https://www.opennet.ru/opennews/art.shtml?num=59869 продолжает развитие]] TLS-расширений SNI и ESNI (Encrypted Server Name Indication) и предназначен для шифрования информации о параметрах TLS-сеансов, таких как запрошенное доменное имя. Если без ECH на стороне интернет-провайдера можно выборочно фильтровать HTTPS-трафик и анализировать какие сайты открывает пользователь, то ECH позволяет добиться полной конфиденциальности при применении HTTPS при обращении к сайтам, использующим сети доставки контента с поддержкой ECH. После включения поддержки ECH в Cloudflare Роскомнадзор потерял возможность блокировать сайты, использующие данную сеть доставки контента, и поэтому просто начал блокировать HTTPS-запросы с ECH (судя по всему блокировка ECH  пока ограничивается отдельными подсетями Cloudflare). На стороне пользователя в Firefox доступ к сайтам, работающим через Cloudflare, можно решить двумя путями: * отключить настройки network.dns.echconfig.enabled и network.dns.http3_echconfig.enabled на странице about:config * отключить использование протокола TLS 1.3 выставив в about:config параметр security.tls.version.max  в значение "3". При этом может быть нарушена работа с серверами, поддерживающими только протокол TLS 1.3 и отключившими поддержку TLS 1.2. В Chrome раньше ECH можно было отключить через параметр chrome://flags#encrypted-client-hello, но с февраля этого года он удалён и ECH всегда включён по умолчанию. Владельцы сайтов, использующих Cloudflare, могут отключить ECH в личном кабинете dash.cloudflare.com в секции "SSL > Edge Certificates > Encrypted ClientHello (ECH)". Если тарифный план не предусматривает возможность изменения данной настройки через web-интерфейс, для отключения ECH можно использовать API:    curl -X PATCH "https://api.cloudflare.com/client/v4/zones/ID_ZONE/settings/... -H "X-Auth-Key: YOUR_GLOBAL_API_KEY" -H "X-Auth-Email: YOUR_EMAIL" -H "Content-Type: application/json" --data '{"id":"ech","value":"off"}' URL: Обсуждается: https://www.opennet.ru/tips/info/3258.shtml
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

4. "Как отключить TLS-расширение ECH для решения проблем с Cloudflare в РФ"	+10 +/–
Сообщение от дАнон (?), 08-Ноя-24, 14:19
наконец интернет без сайтов только верните аську
Ответить | Правка | Наверх | Cообщить модератору

	6. "Как отключить TLS-расширение ECH для решения проблем с Cloudflare в РФ"	+2 +/–
	Сообщение от Аноним (6), 08-Ноя-24, 16:40
	> наконец интернет без сайтов > только верните аську Gopher protocol и irc. И достаточно
	Ответить | Правка | Наверх | Cообщить модератору

	7. "Как отключить TLS-расширение ECH для решения проблем с Cloudflare в РФ"	+/–
	Сообщение от Аноним (7), 08-Ноя-24, 17:39
	А как же Gemini ?
	Ответить | Правка | Наверх | Cообщить модератору

	17. "Как отключить TLS-расширение ECH для решения проблем с Cloudflare в РФ"	+2 +/–
	Сообщение от bvgdas (?), 10-Ноя-24, 12:18
	ещё FTP для файлов. Многопоточный, с докачкой.
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

	26. "Как отключить TLS-расширение ECH для решения проблем с Cloudflare в РФ"	–1 +/–
	Сообщение от Abra (?), 13-Ноя-24, 17:40
	alt.binaries?
	Ответить | Правка | Наверх | Cообщить модератору

	21. "Как отключить TLS-расширение ECH для решения проблем с Cloudflare в РФ"	–1 +/–
	Сообщение от ABATAPA (ok), 12-Ноя-24, 14:33
	И FIDO.
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	27. "Как отключить TLS-расширение ECH для решения проблем с Cloudflare в РФ"	–2 +/–
	Сообщение от Аноним (27), 14-Ноя-24, 09:33
	И молодость! Ах как звучали модемы на 4800...
	Ответить | Правка | Наверх | Cообщить модератору

	28. "Как отключить TLS-расширение ECH для решения проблем с Cloudflare в РФ"	–2 +/–
	Сообщение от Аноним (28), 14-Ноя-24, 17:27
	Дуров, верни стену.
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

8. "Как отключить TLS-расширение ECH для решения проблем с Cloudflare в РФ"	+6 +/–
Сообщение от InuYasha (??), 08-Ноя-24, 19:57
Cloudflare is the cancer that is killing the internet. Отключать ECH - ну, такое себе. Если когда-нибудь изберусь в РФ, то первым законом сделаю запрет запрещать.
Ответить | Правка | Наверх | Cообщить модератору

	12. "Как отключить TLS-расширение ECH для решения проблем с Cloudflare в РФ"	–3 +/–
	Сообщение от OpenEcho (?), 09-Ноя-24, 02:51
	> Если когда-нибудь изберусь в РФ, то первым законом сделаю запрет запрещать. И как же тогда паству АКА followers /направлять/обяснять... они ж за все, что в тренде, "блястнуть умом" перед себе подобными на что угодно пойдут и обойдут (проверенно историей). Отмена запретов может очень быстро превратиться в анархию...
	Ответить | Правка | Наверх | Cообщить модератору

	23. "Как отключить TLS-расширение ECH для решения проблем с Cloudflare в РФ"	+/–
	Сообщение от Аноним (23), 12-Ноя-24, 16:24
	Может роскомпозор?
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

	29. "Как отключить TLS-расширение ECH для решения проблем с Cloudflare в РФ"	–2 +/–
	Сообщение от пох. (?), 15-Ноя-24, 18:04
	ну роскомпозор-то вредит только рассеянам, а не всем подряд (хотя, к сожалению, приходится признать, что эти подряд быстро учатся плохому. Впрочем, не было бы роскомпозора - у китайцев бы напрямую учились, чего уж там) Но от клаудшмары, внезапно, оказывается есть и польза. Почитай что такое warp. (от роскомпозора в принципе-то тоже есть, раньше на националпредателя с прокси смотрели очень косо и сразу на карандаш брали, а нынче если у тебя нет парочки проксей - собеседование завалено, "как он вообще работать-то собирался?!")
	Ответить | Правка | Наверх | Cообщить модератору

	39. "Как отключить TLS-расширение ECH для решения проблем с Cloudflare в РФ"	+/–
	Сообщение от InuYasha (??), 20-Ноя-24, 12:13
	> Может роскомпозор? да, но это довольно локальная опухоль.
	Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

13. "Как отключить TLS-расширение ECH для решения проблем с Cloudflare в РФ"	+/–
Сообщение от Abyss777 (?), 09-Ноя-24, 07:21
Тут говорят что эта опция для Хрома не работает https://support.google.com/chrome/thread/260299990/cannot-di...
Ответить | Правка | Наверх | Cообщить модератору

18. "Как отключить TLS-расширение ECH для решения проблем с Cloudflare в РФ"	+/–
Сообщение от Аноним (18), 10-Ноя-24, 21:11
Как обновить Garuda Linux через Firefox у него репо на Cloudflare
Ответить | Правка | Наверх | Cообщить модератору

19. "Как отключить TLS-расширение ECH для решения проблем с Cloudflare в РФ"	+2 +/–
Сообщение от Аноним (19), 11-Ноя-24, 07:23
>доступ к сайтам, работающим через Cloudflare, можно решить двумя путями: На самом деле одним, но верным: дурением DPI. Просто добавить в список хостов cloudflare-ech.com (можно еще a.nel.cloudflare.com)
Ответить | Правка | Наверх | Cообщить модератору

	25. "Как отключить TLS-расширение ECH для решения проблем с Cloudflare в РФ"	–1 +/–
	Сообщение от Pahanivo (ok), 13-Ноя-24, 16:59
	> можно решить двумя путями: > На самом деле одним, но верным: дурением DPI. Просто добавить в список > хостов cloudflare-ech.com (можно еще a.nel.cloudflare.com) Остается мелочь - донести это до ВСЕХ КЛИЕНТОВ! Делов то ....
	Ответить | Правка | Наверх | Cообщить модератору

	31. "Как отключить TLS-расширение ECH для решения проблем с Cloudflare в РФ"	–1 +/–
	Сообщение от пох. (?), 15-Ноя-24, 18:17
	> Остается мелочь - донести это до ВСЕХ КЛИЕНТОВ! Делов то .... если у тебя клиенты в рф - тебе на wildberries, сайт можешь выключить и сэкономить на хостинге. Ну дань заплатишь, конечно, истиным хозяевам страны, без этого никак.
	Ответить | Правка | Наверх | Cообщить модератору

22. "Как отключить TLS-расширение ECH для решения проблем с Cloudflare в РФ"	+3 +/–
Сообщение от Аноним123 (?), 12-Ноя-24, 16:11
Думаю скоро будет совет, как добавить сертификат для дешифровки, который не добавляется из-за блэклиста браузера
Ответить | Правка | Наверх | Cообщить модератору

	30. "Как отключить TLS-расширение ECH для решения проблем с Cloudflare в РФ"	+/–
	Сообщение от пох. (?), 15-Ноя-24, 18:06
	> Думаю скоро будет совет, как добавить сертификат для дешифровки, который не добавляется > из-за блэклиста браузера в нашем скрепном яндекс-браузере нет никакого блэклиста! А за неправильные браузеры скоро пятерочку будут выписывать!
	Ответить | Правка | Наверх | Cообщить модератору

33. "Как отключить TLS-расширение ECH для решения проблем с Cloudflare в РФ"	+/–
Сообщение от 123 (??), 16-Ноя-24, 20:37
можно сделать проще, добавляйте домены cloudflare-ech.com a.nel.cloudflare.com в файл например /opt/zapret/lists/cf.txt вставляйте в блокчек эти домены, копируйте предложенную блокчеком стратегию к конфиг при установке в виде строки --filter-tcp=443 ПРЕДЛОЖЕННАЯ_БЛОКЧЕКОМ_СТРАТЕГИЯ --hostlist=/opt/zapret/lists/cf.txt и загнивающие деградирующие сервера клаудфлары удалённо починятся.
Ответить | Правка | Наверх | Cообщить модератору

34. "Как отключить TLS-расширение ECH для решения проблем с Cloudflare в РФ"	+/–
Сообщение от КО (?), 17-Ноя-24, 07:12
Это был намёк РКН что он и не против заблокировать себе это самое ещё с первых блокировок
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема