Вчера в России заблокировали версию TLS 1.3 с ECH
Что такое TLS?
TLS это протокол защищенного соединения с сайтом. Мы его называем в обыденной жизни SSL, хотя “SSL” на самом деле давно устарел и не используется. Вот, посмотрите на годы создания протоколов:
TLS является важным компонентом для обеспечения конфиденциальности и безопасности в Интернете. Он помогает защитить конфиденциальную информацию, такую как учетные данные для входа, платежные данные и личные сообщения, от перехвата третьими сторонами.
А ECH – это Encrypted Client Hello (шифрованное клиентское приветствие). По сути, это версия 1.3 протокола с дополнительным шифрованием SNI (с помощью которого замедляют Ютуб). Ну или не версия даже, просто дополнительная надстройка.
Почему заблокировали TLS 1.3 ECH
ECH заблокировали потому что она сделана для приватности. А именно она скрывает SNI, где можно прочитать какой домен вы посещаете. Так как она теперь зашифрована это затрудняет распознавание запрашиваемого домена.
Российские органы пытаются контролировать доступ к ряду сайтов, и, так как с TLS 1.3 + ECH это нельзя сделать, ECH стал блокироваться весь.
Какие последствия блокировки
Уменьшение конфиденциальности: Пользователи, вынужденные использовать старые версии TLS (например, TLS 1.2 или 1.3 без ECH), теряют некоторые преимущества защиты, что делает соединение менее безопасным.
Влияние на производительность: Если у вас нет возможности использовать TLS 1.3 без ECH и вы перешли на 1.2, то вы теперь используете устаревший протокол, и ваш сайт будет грузиться чуть медленнее.
Проблемы в будущем
Основная проблема — это то, что ECH добавили в 1.3, а не поменяли название на 1.4. Поэтому в будущем все зарубежные сайты включат ECH, что приведет к невозможности их открытия без ВПН, даже если они не содержат информации нарушающей закон РФ.
Многие сайты уже не поддерживают 1.2 и в будещем Windows вообще отключит его поддержку. Например, поддержку версий 1.0 (1999) и 1.1 (2006) Windows в конце 2023 уже отключила.
Какие шаги предпринять?
Для вашего сайта
Вам необходимо проверить включен ли у вас TLS 1.3. Если включен, то отключить ECH. А если последнее не возможно, то сменить 1.3 на 1.2 (или просто отключить 1.3)
В Cloudflare по умолчанию включен TLS 1.3 а в нем, с недавнего времени включен ECH. Который на бесплатных тарифах отключить через интерфейс нельзя. Но его можно отключить либо через АПИ либо в целом отключить TLS 1.3 на вкладке SSL/TLS → Edge Certificates и потом блок TLS 1.3:
В идеале нужно сделать чтобы TLS 1.3 был включен, а ECH отключен. Так как 1.3 пошустрее.
Для персонального доступа
Слышал что в Яндекс браузере сайты работали. Сам не уверен в этом, но можно попробовать. Ну и, конечно, помогает то, что запрещено популяризировать. Это в Хроме вроде сделать нельзя, но можно в Firefox:
Firefox
- Открываете в адресной строке браузера
about:config
- Потом в поиске вбиваете network.dns.echconfig.enabled и переключаете в false.
Кстати, по идее вы можете отключить TSL 1.3 в вашем браузере. Тогда часть сайтов которые поддерживают 1.2 начнут использовать 1.2, даже если у них 1.3 по умолчанию. Но есть много сайтов в которых 1.2 уже отключен и вы потеряете к ним доступ. Например, Твич и ВК и куча других сайтов.
Поэтому делать это стоит в крайнем случае, но, вдруг как раз для того сайта, что вам нужен, этот способ подойдет?
В хроме это делается так: нужно добавить аргумент для запуска браузера к пути в ярлыке: -ssl-version-min=tls1.2
Погуглите, как это делать. Я сам всегда по чужим инструкциям делал, поэтому не буду писать свою.
Заключение
В будущем я рекомендовал бы гос-ву сделать прослушку внутри российских браузеров, в этом случае можно будет разрешить использование протокола в них. Передайте Путину плз.