"Россияне лишились доступа ко многим сайтам — это Роскомнадзор заблокировал сайты с шифрованием ECH от Cloudflare. Роскомнадзор начал блокировать серверы, к которым подключается Cloudflare." И т.д.
Такими заголовками начали наполняться интернет сми, форумы, паблики по данной тематике.
Наш сервис пополнения steam – steambot.org с комиссией 10%, также использует Cloudflare и нам удалось найти решение, делимся (также новым читателям нашего блога, напоминаем, что ранее мы рассказывали, как с нуля небольшой командой создали и продолжаем создавать сервис для пополнения стим).
Для начала, мы не сразу понял, что наш сайт блокируется провайдерами (РКН). Мы заметили, что упал трафик, предположили, что влияние сезонности и длительных выходных, на которых была сверх активность по пополнению steam на нашем сайте steambot.org. Решили понаблюдать и в рамках недели посмотреть на метрики, далее действовать по ситуации.
Благо, один из клиентов написал, что у него не заходит на сайт. Стали разбираться в чем причина, так как на наших устройствах – всё работало. Выяснили, что сайт блокировал провайдер (мегафон).
Параллельно с этим, знакомые стали отправлять информацию, что РКН очередной раз блокирует cloudflare. Начался поиск решения.
Делимся вариантами решения:
1й способ. Если у вас тариф Cloudflare PRO:
1. Откройте настройки Cloudflare для вашего сайта.
2. Перейдите в раздел SSL/TLS и выберите Edge Certificates.
3. Убедитесь, что опция Encrypted Client Hello отключена. Если она активна, нажмите на зеленый переключатель, чтобы сделать его серым.
4. На всякий случай выполните очистку кэша: перейдите в Caching - Configuration и выберите Purge Everything.
5. Подождите несколько минут для обновления настроек.
2й способ. Если у вас бесплатный тариф Cloudflare (Free) — (проверено):
1. Зайдите в настройки Cloudflare для вашего сайта.
2. Перейдите в раздел SSL/TLS - Edge Certificates.
3. Установите Minimum TLS Version на значение TLS 1.2, если у вас выбрано другое.
4. Отключите TLS 1.3, чтобы галочка рядом с этой опцией стала серой.
5. Очистите кэш Cloudflare через Caching - Configuration - Purge Everything.
6. Подождите несколько минут, чтобы изменения вступили в силу.
3й способ. Если у вас Free тариф Cloudflare, и вы знаете, что такое Curl и терминал.
Выполняем действия - по аналогии с отлучением IPV6 по API Cloudflare. Обратите внимание, первый код - для Linux, второй для Windows.
Linux
curl -X PATCH "https://api.cloudflare.com/client/v4/zones/_idkey_/settings/ech" \
-H "X-Auth-Email: _email_account_" \
-H "X-Auth-Key: _global_key" \
-H "Content-Type: application/json" \
--data '{"id":"ech","value":"off"}'
Windows
curl -X PATCH "https://api.cloudflare.com/client/v4/zones/_idkey_/settings/ech" -H "X-Auth-Email: _email_account_" -H "X-Auth-Key: _global_key" -H "Content-Type: application/json" --data "{\"id\":\"ech\",\"value\":\"off\"}"
Бонус, для тех кто любит читать.
Что такое ECH? Технология ECH (Encrypted ClientHello) добавляет дополнительный слой шифрования в соединение между браузером и сервером, защищая данные Server Name Indication (SNI) в протоколе TLS 1.3. Это означает, что информация о сайте, с которым пользователь устанавливает соединение, больше не доступна для надзорных органов. В результате, блокировочные списки Роскомнадзора становятся менее эффективными, так как оборудование интернет-провайдеров, синхронизируемое с РКН, больше не может точно определить, разрешено ли установление защищенного соединения с тем или иным сайтом. Шифрование также затрудняет анализ и сбор данных через DPI (Deep Packet Inspection). Теперь у провайдеров и других организаций нет возможности просматривать и блокировать отдельные пакеты вашего трафика. Сайты, внесенные в реестр Роскомнадзора и часто блокируемые на уровне интернет-соединений, такие как ресурсы с экстремистским или запрещенным контентом, увидели в технологии ECH возможность обойти подобные ограничения. Для них новое шифрование стало настоящей находкой.