Как отключить ECH для вашего домена на Cloudflare

[rsashka]

Лучше расскажите, как отключить РКН для нашего интернета :-(

[Goron_Dekar]

Тут на сайте полно инструкций, тащемта. Отключай - нехочу.

Но, конечно, самая рабочая, но не очень популярная, так как ведёт к издержкам и стрессу - сменить юрисдикцию.

[Nyase]

Сто бед - один ответ. Люди готовы бежать куда угодно, лишь бы не брать на себя ответственность по формированию своей страны.

[AlexTroshkin]

А говорят, что все "мозги" утекают на запад

[peterpro]

Знаете, руль, педаль газа и тормоза - хорошие инструменты для управления машиной, но если она уже пробила отбойник и летит вниз - ничего из этого не сработает.

[semenovs]

ECH  нужная технология. Она увеличивает уровень безопасности. Ее отключение нежелательно.

[mrdandomi]

тоже так думаю

[Rorg]

Решим эту проблему!

Мне кажется, не ту проблему решаете…

[MountainGoat]

Ну теперь тогда уж пишите инструкцию, как отключить ECH для не вашего домена, когда некий сервер нужен твоим клиентам, но на сервере ничего делать не будут.

[dartraiden]

Показать клиентам, как отключить ECH в браузере, либо, как использовать DNS-серверы, которые не поддерживают HTTPS RR (без этого ECH не работает).

[lioncub]

Отключаешь TLS 1.3 в браузере (max ставишь 1.2).

Либо как выше отметили отключаешь ECH:
firefox - network.dns.echconfig.enabled: false

Либо пускаешь их через прокси

[ligor]

Многим помогает отключение TLS 1.3 только на стороне Клаудфларе.

[Mongolor]

Понизить версию tls в браузере клиентов до 1.2, например, если вы админ

[dartraiden]

За инструкцию, конечно, плюс, но, вспоминая комменты хабравчан к постам прошлых лет про eSNI и ECH...

Хабравчане: вот все сайты начнут использовать ECH и тогда РКН соснёт!

Cloudflare: включает ECH клиентам

РКН: блокирует все сайты, сидящие за Cloudflare

Хабравчане: вот инструкция, как отключить ECH для вашего сайта

И смешно, и грустно

[Alexchexes]

Если возможность убрали в бесплатных тарифах, и доступна она только через API, не окажется ли так, что в какой-то момент для бесплатных её всем включат назад, по умолчанию?

P.S. Для себя пока просто отключили TLS 1.3 в настройках клауда, делается в панели, без API

[YegorVin]

Если клауд следит за новостями то они сами добавят возможность включения/выключения ECH в панели управления.

[selivanov_pavel]

Кому лениво руками вынимать из веб-морды кучу zone id для кучи аккаунтов - держите скриптик, выключит ECH для всех зон на аккаунте: https://gist.github.com/selivan/f053008964128fea0dc913c803062263

[TonyClifton]

Простите за тупой вопрос, а где эту команду вводить? Это мне как-то надо с помощью php выполнить на своём сайте?

[anton99zel]

ReqBin is an online API

[enabokov]

Security не by default теперь :(

Давайте тогда перейдём на http.

[Okloks]

Переходите если надо. Довольно глупо в крайности бросаться

[Flyingfolds]

Гугл и другие поисковики, а не пора ли снижать место в поиске для сайтов не исспользуюших ECH

Ну и браузеры, пора начинать выводить предупреждения, что сайт небезопасен

[NetBUG]

Нет, им важнее Google's Manifest V3 протолкнуть, конечно же.

[AVikont]

Ждём инструкцию, как отключить SSL и перейти с HTTPS на HTTP.

[YoungKirill]

Еще вариант для PowerShell который мне помог

PowerShell в Windows обрабатывает команду curl иначе, чем традиционные терминалы, так как curl в PowerShell выполняется как Invoke-WebRequest. Чтобы команда сработала корректно, нужно немного изменить синтаксис.

Invoke-RestMethod -Uri "https://api.cloudflare.com/client/v4/zones/id_zone/settings/ech" -Method Patch -Headers @{ "X-Auth-Email"="Почта аккаунта"; "X-Auth-Key"="Global API Key"; "Content-Type"="application/json" } ` -Body '{"id":"ech","value":"off"}'

После чего будут сообщение:

result success errors messages

@{id=ech; value=off; modified_on=; editable=True} True {} {}

[LostNightRain]

Спасибо добрый человек. Сработало. Вариант из статьи в CMD не работает, сервер ругается на не верный формат json тела...

[ipalex]

Шаг 1: Проверка включен ли ECH - как это должно выглядеть?

1. В разделе "Edge Certificates" найдите "Encrypted ClientHello (ECH)" и выберите "Disabled", если хотите отключить шифрование. - В данном разделе нет Encrypted ClientHello (ECH) , может как то по другому сейчас называется ?

[Gattala]

Спасибо за инструкцию, сделал через Postman. Если хотите проверить статус, то переключите на метод GET и в ответе посмотрите result->value

[Saix]

Спасибо за инструкцию!
Сегодня внезапно перестал откликаться мой небольшой интернет-магазин. Домашний провайдер не причем, прислал статью на ЦМУ ССОП, а там цитата:

"Американская компания CloudFlare, поставщик услуг CDN, включила в октябре применение по умолчанию на своих серверах расширение TLS ECH (Encrypted Client Hello). Эта технология – средство обхода ограничений доступа к запрещенной в России информации. Его использование нарушает российское законодательство и ограничивается техническими средствами противодействия угрозам (ТСПУ)."

Благодаря вашей инструкции вернул все на место за 5 минут.

{"result":{"id":"ech","value":"off","modified_on":null,"editable":true},"success":true,"errors":[],"messages":[]}%     

А CloudFlare был выбран еще в те времена, когда альтернатив не было - удобство и относительная бесплатность для пет-проектов. Есть ли сейчас альтернативы ему?

[HakerHelp]

Для PowerShell, сразу на всех доменах меняет

$authEmail = "EXAMPLE@mail.ru" $authKey = "163a6c90561ad53eda604b04f20192c4f3855"$headers = @{ "X-Auth-Email" = $authEmail "X-Auth-Key" = $authKey "Content-Type" = "application/json" }$zonesResponse = Invoke-RestMethod -Uri "https://api.cloudflare.com/client/v4/zones" -Method Get -Headers $headersif ($zonesResponse.success) { $zones = $zonesResponse.resultforeach ($zone in $zones) { $zoneId = $zone.id $zoneName = $zone.name $body = @{ "id" = "ech" "value" = "off" } | ConvertTo-Json $response = Invoke-RestMethod -Uri "https://api.cloudflare.com/client/v4/zones/$zoneId/settings/ech" -Method Patch -Headers $headers -Body $body if ($response.success) { Write-Output "ECH успешно отключен для зоны: $zoneName" } else { Write-Output "Не удалось отключить ECH для зоны: $zoneName" } } } else { Write-Output "Не удалось получить список зон." }

[koltykov]

У меня ответ такой выдает:
{"Status":0,"TC":false,"RD":true,"RA":true,"AD":false,"CD":false,"Question":[{"name":"****.net.","type":65}],"Authority":[{"name":"****.net.","type":6,"TTL":1800,"data":"alex.ns.cloudflare.com. dns.cloudflare.com. 2356654911 10000 2400 604800 1800"}],"Comment":"Response from *.55.66.111."}

Тариф бесплатный. В настройках edge certificate отключил TLS1.3. Настроек ECH не нахожу для домена.

Но много пользователей пишет, что все равно не могут попасть на сайт.
При этом в статистике cloud видно, что немало пользователей заходят через TLS 1.3

[DmitryKuzmenko]

"Шаг 1...
Если в результатах видно, что ECH включен..."
Поясните пожалуйста, как это должно быть видно, например.

[MindPhaser34]

Должна быть строчка "ech="

[iksrman]

Принципиально отключать на своих не буду. Благо основной трафик не из РФ. А кому надо - найдут как обойти. Для себя добавил домены CF в лист zapreta.

[FazziCLAY]

Скрипты для отключения через API
Windows: https://gist.github.com/FazziCLAY/38f56ab423a0e0a2f864985cf3ce21be
Linux: https://gist.github.com/FazziCLAY/75f72acc8b728530a637121fdee4dfb5

[lipatovroman]

Отключение ECH ничего не дало. Как блокировался сайт, так и продолжает. Выход - нажать на кнопку Pause site on Cloudflare, то есть отключить сервис вообще.