РКН заблокировал ECH [SNI]: пользователи Cloudflare под ударом, что дальше?

Cloudflare неожиданно включил всем своим пользователям шифрование заголовка SNI (Server Name Indication). Это значит, что теперь невозможно узнать, к какому сайту происходит подключение через HTTPS. В результате многие сайты, заблокированные в России, стали снова доступны, если они используют Cloudflare.

Но не все так просто: шифрование SNI — это всего лишь один из способов маскировки данных, и его не делает подключение полностью невидимым. Роскомнадзор быстро среагировал и заблокировал эту технологию. Подобные меры уже давно применяются в таких странах, как Иран и Китай, где доступ к интернету сильно ограничен.

Если вы используете бесплатный тариф Cloudflare, отключить Encrypted Client Hello (ECH) не получится — такая опция отсутствует. Однако для пользователей платных тарифов есть такая возможность:

Зайдите в настройки SSL/TLS на панели Cloudflare.

В разделе "Edge Certificates" найдите "Encrypted ClientHello (ECH)" и выберите "Disabled", если хотите отключить шифрование.

Можно попробовать отключить TLS 1.3, ведь именно эта версия протокола поддерживает ECH. Однако есть серьезные минусы: старые версии TLS менее безопасны, а современные браузеры могут начать некорректно работать. Это рискованный шаг, который не всегда оправдан.

Борьба с технологиями защиты данных — это выстрел себе в ногу. Вместо поиска новых способов определения доменов, Роскомнадзор прибегает к радикальным мерам, что приносит вред не только пользователям, но и бизнесам, использующим Cloudflare.

Cloudflare действительно позволяет отключить ECH через панель управления, но только на платных тарифах. Стоит ли оно того? Вопрос сложный. Возможно, российским сайтам стоит рассмотреть альтернативные CDN и защиту от DDoS, чтобы минимизировать риски конфликтов с