Вчера в России заблокировали версию TLS 1.3 с ECH

Что такое TLS?

TLS это протокол защищенного соединения с сайтом. Мы его называем в обыденной жизни SSL, хотя “SSL” на самом деле давно устарел и не используется. Вот, посмотрите на годы создания протоколов:

TLS является важным компонентом для обеспечения конфиденциальности и безопасности в Интернете. Он помогает защитить конфиденциальную информацию, такую как учетные данные для входа, платежные данные и личные сообщения, от перехвата третьими сторонами.

А ECH – это Encrypted Client Hello (шифрованное клиентское приветствие). По сути, это версия 1.3 протокола с дополнительным шифрованием SNI (с помощью которого замедляют Ютуб). Ну или не версия даже, просто дополнительная надстройка.

Почему заблокировали TLS 1.3 ECH

ECH заблокировали потому что она сделана для приватности. А именно она скрывает SNI, где можно прочитать какой домен вы посещаете. Так как она теперь зашифрована это затрудняет распознавание запрашиваемого домена.

Российские органы пытаются контролировать доступ к ряду сайтов, и, так как с TLS 1.3 + ECH это нельзя сделать, ECH стал блокироваться весь.

Какие последствия блокировки

Уменьшение конфиденциальности: Пользователи, вынужденные использовать старые версии TLS (например, TLS 1.2 или 1.3 без ECH), теряют некоторые преимущества защиты, что делает соединение менее безопасным.

Влияние на производительность: Если у вас нет возможности использовать TLS 1.3 без ECH и вы перешли на 1.2, то вы теперь используете устаревший протокол, и ваш сайт будет грузиться чуть медленнее.

Проблемы в будущем

Основная проблема — это то, что ECH добавили в 1.3, а не поменяли название на 1.4. Поэтому в будущем все зарубежные сайты включат ECH, что приведет к невозможности их открытия без ВПН, даже если они не содержат информации нарушающей закон РФ.

Многие сайты уже не поддерживают 1.2 и в будещем Windows вообще отключит его поддержку. Например, поддержку версий 1.0 (1999) и 1.1 (2006) Windows в конце 2023 уже отключила.

Какие шаги предпринять?

Для вашего сайта

Вам необходимо проверить включен ли у вас TLS 1.3. Если включен, то отключить ECH. А если последнее не возможно, то сменить 1.3 на 1.2 (или просто отключить 1.3)

В Cloudflare по умолчанию включен TLS 1.3 а в нем, с недавнего времени включен ECH. Который на бесплатных тарифах отключить через интерфейс нельзя. Но его можно отключить либо через АПИ либо в целом отключить TLS 1.3 на вкладке SSL/TLS → Edge Certificates и потом блок TLS 1.3:

В идеале нужно сделать чтобы TLS 1.3 был включен, а ECH отключен. Так как 1.3 пошустрее.

Для персонального доступа

Слышал что в Яндекс браузере сайты работали. Сам не уверен в этом, но можно попробовать. Ну и, конечно, помогает то, что запрещено популяризировать. Это в Хроме вроде сделать нельзя, но можно в Firefox:

Firefox

  1. Открываете в адресной строке браузера about:config
  2. Потом в поиске вбиваете network.dns.echconfig.enabled и переключаете в false.

Кстати, по идее вы можете отключить TSL 1.3 в вашем браузере. Тогда часть сайтов которые поддерживают 1.2 начнут использовать 1.2, даже если у них 1.3 по умолчанию. Но есть много сайтов в которых 1.2 уже отключен и вы потеряете к ним доступ. Например, Твич и ВК и куча других сайтов.

Поэтому делать это стоит в крайнем случае, но, вдруг как раз для того сайта, что вам нужен, этот способ подойдет?

В хроме это делается так: нужно добавить аргумент для запуска браузера к пути в ярлыке: -ssl-version-min=tls1.2 Погуглите, как это делать. Я сам всегда по чужим инструкциям делал, поэтому не буду писать свою.

Заключение

В будущем я рекомендовал бы гос-ву сделать прослушку внутри российских браузеров, в этом случае можно будет разрешить использование протокола в них. Передайте Путину плз.