Cloudflare активировала ECH на своих серверах

На прошлой неделе известная сеть доставки контента (CDN) Cloudflare активировала поддержку расширения TLS ECH (Encrypted Client Hello) на своих серверах. ECH - современная реализация идеи eSNI (Encrypted SNI), предназначенная для сокрытия от сторонних наблюдателей с помощью шифрования метаданных при установлении TLS-соединения, таких как имя сайта (SNI) к которому подключается клиент. В 2023 году Cloudflare на короткий срок уже включала ECH на своих серверах, а с октября 2024 года он доступен снова, в том числе для сайтов, использующих бесплатный тариф.

Чтение и анализ SNI использует в том числе Роскомнадзор для выборочных блокировок сайтов на своем оборудовании "ТСПУ", и таким образом активный ECH делает невозможными точечные блокировки сайтов, расположенных за CDN Cloudflare (если у вас есть сайт, который по каким-то причинам заблокирован, вы можете прикрыть его Cloudflare - базовый тариф у них бесплатный и не требует привязки карты).

Проверить, доступен ли ECH для подключения к конкретному сайту можно используя сервис Google DNS: введя имя домена и выбрав HTTPS, в выданных данных должна быть строчка типа "ech=XXXXX", где XXXXX это ключ шифрования для ECH.

Поскольку для работы ECH важно наличие определенных данных в DNS-информации, рекомендуется в браузерах активировать DoH (DNS-over-HTTP) или DoT (DNS-over-TLS) для того, чтобы защитить их от подмены.

Проверить работу ECH (при отключенных средствах обхода DPI типа GoodbyeDPI и без прокси/VPN) можно, например, на сайте известного русскоязычного СМИ из 6 букв в зоне .io

Теперь же нам остается наблюдать, что будет дальше. Весьма вероятно РКН будет пробовать подменять нешифрованные DNS-ответы, чтобы сломать работу ECH,  заблокировать популярные DoH/DoT-провайдеры (он уже это делал), и пытаться фильтровать подключения с ECH. Либо возможен более радикальный и менее ресурсоемкий вариант - полная блокировка любых HTTPS/TLS-подключений, для которых не удалось достоверно прочитать SNI.