The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Как отключить TLS-расширение ECH для решения проблем с Cloudflare в РФ
Роскомнадзор начал блокировать в РФ  соединения к сайтам, использующим
TLS-расширение ECH (Encrypted Client Hello). Блокировка привела к массовым
проблемам с сайтами, работающими через сеть доставки контента Cloudflare,
которую используют примерно 19% всех сайтов в интернете (по другим данным
16%  (31 млн) активных сайтов или 23.83% из миллиона самых популярных сайтов).

О масштабе сбоев можно судить хотя бы по тому, что из-за блокировки ECH была
нарушена работа сайта самого Роскомнадзора, на котором для загрузки шрифтов
использовался сервис webfontfree.com, работающий через Cloudflare (первая
попытка открытия rkn.gov.ru приводила к минутному зависанию до истечения таймаута).


ECH продолжает развитие TLS-расширений SNI и ESNI (Encrypted Server Name
Indication) и предназначен для шифрования информации о параметрах TLS-сеансов,
таких как запрошенное доменное имя. Если без ECH на стороне интернет-провайдера
можно выборочно фильтровать HTTPS-трафик и анализировать какие сайты открывает
пользователь, то ECH позволяет добиться полной конфиденциальности при
применении HTTPS при обращении к сайтам, использующим сети доставки контента с
поддержкой ECH. После включения поддержки ECH в Cloudflare Роскомнадзор потерял
возможность блокировать сайты, использующие данную сеть доставки контента, и
поэтому просто начал блокировать HTTPS-запросы с ECH (судя по всему блокировка
ECH  пока ограничивается отдельными подсетями Cloudflare).

На стороне пользователя в Firefox доступ к сайтам, работающим через Cloudflare,
можно решить двумя путями:

* отключить настройки network.dns.echconfig.enabled и
network.dns.http3_echconfig.enabled на странице about:config

* отключить использование протокола TLS 1.3 выставив в about:config параметр
security.tls.version.max  в значение "3". При этом может быть нарушена работа с
серверами, поддерживающими только протокол TLS 1.3 и отключившими поддержку TLS 1.2.

В Chrome раньше ECH можно было отключить через параметр 
chrome://flags#encrypted-client-hello, но с февраля этого года он удалён и ECH
всегда включён по умолчанию. Для отключения ECH в Chrome обходным путём можно
создать файл /etc/opt/chrome/policies/managed/conf.json c содержимым:

   {
     "EncryptedClientHelloEnabled": false
   }



Владельцы сайтов, использующих Cloudflare, могут отключить ECH в личном
кабинете dash.cloudflare.com в секции "SSL > Edge Certificates > Encrypted
ClientHello (ECH)".

Если тарифный план не предусматривает возможность изменения данной настройки
через web-интерфейс, для отключения ECH можно использовать API:

   curl -X PATCH "https://api.cloudflare.com/client/v4/zones/ID_ZONE/settings/ech" -H "X-Auth-Key: YOUR_GLOBAL_API_KEY" -H "X-Auth-Email: YOUR_EMAIL" -H "Content-Type: application/json" --data '{"id":"ech","value":"off"}'
 
07.11.2024
Ключи: tls, ech, block, cloudflare, firefox, chrome / Лицензия: CC-BY
Раздел:    Корень / Пользователю / Работа с Web и Ftp

Обсуждение [ Линейный режим | Показать все | RSS ]
  • 1.4, дАнон (?), 14:19, 08/11/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +15 +/
    наконец интернет без сайтов
    только верните аську
     
     
  • 2.6, Аноним (6), 16:40, 08/11/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > наконец интернет без сайтов
    > только верните аську

    Gopher protocol и irc. И достаточно

     
     
  • 3.7, Аноним (7), 17:39, 08/11/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А как же Gemini ?
     
  • 3.17, bvgdas (?), 12:18, 10/11/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    ещё FTP для файлов. Многопоточный, с докачкой.
     
     
  • 4.26, Abra (?), 17:40, 13/11/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    alt.binaries?
     
  • 2.21, ABATAPA (ok), 14:33, 12/11/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И FIDO.
     
     
  • 3.27, Аноним (27), 09:33, 14/11/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    И молодость! Ах как звучали модемы на 4800...
     
     
  • 4.41, Аноним (41), 00:54, 28/11/2024 [^] [^^] [^^^] [ответить]  
  • +/
    на 1200, когда даже текст тормозил.
     
  • 2.28, Аноним (28), 17:27, 14/11/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Дуров, верни стену.
     

  • 1.8, InuYasha (??), 19:57, 08/11/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    Cloudflare is the cancer that is killing the internet.

    Отключать ECH - ну, такое себе.
    Если когда-нибудь изберусь в РФ, то первым законом сделаю запрет запрещать.

     
     
  • 2.12, OpenEcho (?), 02:51, 09/11/2024 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > Если когда-нибудь изберусь в РФ, то первым законом сделаю запрет запрещать.

    И как же тогда паству АКА followers /направлять/обяснять... они ж за все, что в тренде, "блястнуть умом" перед себе подобными на что угодно пойдут и обойдут (проверенно историей).

    Отмена запретов может очень быстро превратиться в анархию...

     
  • 2.23, Аноним (23), 16:24, 12/11/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Может роскомпозор?
     
     
  • 3.29, пох. (?), 18:04, 15/11/2024 [^] [^^] [^^^] [ответить]  
  • –3 +/
    ну роскомпозор-то вредит только рассеянам, а не всем подряд (хотя, к сожалению, приходится признать, что эти подряд быстро учатся плохому. Впрочем, не было бы роскомпозора - у китайцев бы напрямую учились, чего уж там)


    Но от клаудшмары, внезапно, оказывается есть и польза. Почитай что такое warp.
    (от роскомпозора в принципе-то тоже есть, раньше на националпредателя с прокси смотрели очень косо и сразу на карандаш брали, а нынче если у тебя нет парочки проксей - собеседование завалено, "как он вообще работать-то собирался?!")

     
  • 3.39, InuYasha (??), 12:13, 20/11/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Может роскомпозор?

    да, но это довольно локальная опухоль.

     

  • 1.13, Abyss777 (?), 07:21, 09/11/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Тут говорят что эта опция для Хрома не работает

    https://support.google.com/chrome/thread/260299990/cannot-disable-encrypted-cl

     
  • 1.18, Аноним (18), 21:11, 10/11/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как обновить Garuda Linux через Firefox у него репо на Cloudflare
     
  • 1.19, Аноним (19), 07:23, 11/11/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    >доступ к сайтам, работающим через Cloudflare,

    можно решить двумя путями:

    На самом деле одним, но верным: дурением DPI. Просто добавить в список хостов cloudflare-ech.com (можно еще a.nel.cloudflare.com)

     
     
  • 2.25, Pahanivo (ok), 16:59, 13/11/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > можно решить двумя путями:
    > На самом деле одним, но верным: дурением DPI. Просто добавить в список
    > хостов cloudflare-ech.com (можно еще a.nel.cloudflare.com)

    Остается мелочь - донести это до ВСЕХ КЛИЕНТОВ! Делов то ....

     
     
  • 3.31, пох. (?), 18:17, 15/11/2024 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Остается мелочь - донести это до ВСЕХ КЛИЕНТОВ! Делов то ....

    если у тебя клиенты в рф - тебе на wildberries, сайт можешь выключить и сэкономить на хостинге.
    Ну дань заплатишь, конечно, истиным хозяевам страны, без этого никак.


     

  • 1.22, Аноним123 (?), 16:11, 12/11/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Думаю скоро будет совет, как добавить сертификат для дешифровки, который не добавляется из-за блэклиста браузера
     
     
  • 2.30, пох. (?), 18:06, 15/11/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Думаю скоро будет совет, как добавить сертификат для дешифровки, который не добавляется
    > из-за блэклиста браузера

    в нашем скрепном яндекс-браузере нет никакого блэклиста! А за неправильные браузеры скоро пятерочку будут выписывать!


     

  • 1.33, 123 (??), 20:37, 16/11/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    можно сделать проще, добавляйте домены
    cloudflare-ech.com
    a.nel.cloudflare.com
    в файл например /opt/zapret/lists/cf.txt
    вставляйте в блокчек эти домены, копируйте предложенную блокчеком стратегию к конфиг при установке в виде строки
    --filter-tcp=443 ПРЕДЛОЖЕННАЯ_БЛОКЧЕКОМ_СТРАТЕГИЯ --hostlist=/opt/zapret/lists/cf.txt
    и загнивающие деградирующие сервера клаудфлары удалённо починятся.
     
  • 1.34, КО (?), 07:12, 17/11/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это был намёк РКН что он и не против заблокировать себе это самое ещё с первых блокировок
     
     
  • 2.40, Аноним (40), 12:00, 22/11/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Так уже блокировали же.
     

  • 1.42, анонимус (??), 05:07, 29/11/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как это сделать под Windows?
     


     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру