Представим: вы владелец небольшого интернет-магазина. Арендуете VDS у FirstVDS. Всё шло своим чередом, заказы сыпались. А в одно утро – тишина. Вы проверяете: сервер отвечает на ping, в панели управления FirstVDS всё зелёное, а сам сайт не грузится. Знакомая история?
После 5 июня 2026 года такое случилось с тысячами проектов на firstvds.ru. И я сразу скажу: FirstVDS здесь не злодей. Злодей – это Роскомнадзор, который научил свои фильтры ТСПУ блокировать не конкретные IP, а технологию ECH. Рассказываю, как это работает, как понять, что проблема именно в этом, и что можно сделать, не переходя на другой хостинг.
Краткий ликбез: что за зверь такой ECH и почему ТСПУ на него взъелось
Технические средства противодействия угрозам (ТСПУ) – это аппаратно-программные комплексы, которые РКОН ставит у операторов связи. Они занимаются глубокой инспекцией пакетов (DPI). Раньше они могли спокойно прочитать SNI – имя сайта, которое ваш браузер передаёт серверу в открытую. Но придумали ECH (Encrypted Client Hello) – расширение, которое шифрует SNI. Теперь ТСПУ не видит, куда вы идёте, но зато заметило, что сам процесс рукопожатия оставляет уникальные «отпечатки пальцев». И с весны 2026 года РКНОМНАДЗОР приказал блокировать любые соединения, где эти отпечатки обнаруживаются. Всё равно, что вы положили паспорт в непрозрачный конверт, а охранник на входе конверт не вскрывает, но знает, что у такого конверта есть особый штампик – и разворачивает вас. Вот так и ваш сайт на FirstVDS: сервер живой, но при первой же попытке установить TLS-соединение ТСПУ сбрасывает его.
Почему FirstVDS оказался под прицелом
FirstVDS даёт своим клиентам полную свободу: ставь любой софт, обновляй, когда хочешь. И многие ставят новые версии Nginx (начиная с 1.29.4), OpenSSL 4.0 и выше – потому что это правильно и безопасно. Но в этих версиях поддержка ECH включена по умолчанию. Вы даже не заметите, как ваш VPS начнёт анонсировать ECH. А ТСПУ это видит. И блокирует. Именно поэтому проблема массово проявилась именно на VDS-провайдерах, где клиенты активнее обновляют софт. На дешёвом shared-хостинге с древними версиями Nginx такого бы не случилось. Но там свои минусы.
Как проверить, что ваш сайт на FirstVDS страдает именно от ECH
Не нужно гадать на кофейной гуще. Для тех, кто любит командную строку (если есть доступ к свежей OpenSSL), можно выполнить:
openssl s_client -connect ваш_домен:443 -ech_config_list
Если после этого появляется длинная шестнадцатеричная строка, а не пустой вывод – всё подтверждается. Ещё вариант:
curl -v --ech true https://ваш_домен 2>&1 | grep -i ech
Признаюсь, эти команды требуют определённой квалификации.
Почему смена IP на FirstVDS не решает проблему (или решает, но на день)
Вы пишете в техподдержку: «Смените IP, меня блокируют». Вам любезно меняют. Сайт открывается. Вы выдыхаете. Но проходит 24-48 часов – и снова тишина. Что произошло? ТСПУ запоминает не только IP, но и поведение: ваш веб-сервер продолжает посылать те же самые ECH-приветствия. Фильтры видят знакомый почерк и банят новый адрес. Иногда новый IP лежит в той же подсети /24, которая уже засвечена, и бан происходит сразу. Так вы попадаете в бесконечный цикл: смена IP – радость – разочарование. Некоторые пробуют переехать на другой VDS-хостинг (Timeweb, Beget, Selectel), но там история та же, потому что на вашем сервере по-прежнему включён ECH. Дело не в провайдере, а в конфигурации.
Три направления для атаки на проблему
Направление первое: выключить ECH на своём сервере (если вы хозяин VPS)
Если у вас VPS от FirstVDS и вы можете зайти по SSH, это самый прямой путь. Для Nginx версии 1.29.4 и выше открываете конфигурационный файл вашего сайта (обычно в /etc/nginx/sites-available/) и в блоке server добавляете строчку
ssl_ech off;
Для Apache (с поддержкой ECH) добавляете
SSLECH off
в VirtualHost. После этого перезагружаете веб-сервер. Вуаля. Ваш сайт перестаёт «светиться» запрещёнными отпечатками. Но если у вас не VPS, а виртуальный хостинг (shared) без доступа к конфигам, этот фокус не пройдёт. Тогда либо просите поддержку FirstVDS отключить ECH на их сервере (обратитесь вежливо, с техническим обоснованием), либо переходите к третьему варианту.
Направление второе: DNS-балансировка как подушка безопасности (но после отключения ECH)
Закажите дополнительный IP-адрес у FirstVDS (около 150 руб/мес). Желательно, чтобы он был из другого диапазона, не из той же подсети /24. Обязательно сначала отключите ECH (см. выше). Затем в настройках DNS вашего домена (у регистратора) создайте для одного и того же имени (например, @ и www) две A-записи с разными IP. Поставьте TTL 60-120 секунд. Браузеры благодаря механизму Happy Eyeballs будут пытаться соединиться с обоими IP. Если какой-то из них попадёт под блокировку (например, по IP-фильтру, не связанному с ECH), клиент переключится на работающий. Это повышает отказоустойчивость, но бесполезно, если вы не выключили ECH – тогда блокироваться будут оба IP одновременно.
Направление третье: обернуть сайт в прокси с отключённым ECH (например, Killbot)
Это вариант для тех, кто не хочет возиться с конфигами или сидит на shared-хостинге.
Вы не трогаете свой сервер (пусть даже с включённым ECH). Вы находите сервис, который предоставляет свои прокси-серверы с принудительно выключенным ECH.
Подключаете свой домен к этому сервису, он даёт вам свои IP. Эти IP вы прописываете в A-записях вместо прямых адресов FirstVDS. Весь трафик идёт на прокси, а прокси – на ваш реальный сервер. Поскольку на прокси ECH нет, ТСПУ не видит раздражающих отпечатков.
Один из известных таких сервисов в России – Killbot. Он, кстати, ещё и ботов фильтрует. Вы регистрируетесь, добавляете сайт, указываете реальный IP FirstVDS, получаете два IP, меняете A-записи – и всё. Стоимость: несколько тысяч рублей в месяц. Для бизнеса это копейки по сравнению с днём простоя.
Что ещё можно попробовать – но без особой надежды
Существует портал ЛК ВТС. Там легальные владельцы сайтов могут подать заявку на исключение из блокировок. Указываете домен, IP, доказываете, что не нарушаете закон. Процесс долгий, ответа ждать неделями. И если блокировка из-за ECH, а не из-за IP, то с вероятностью 90% откажут, потому что ECH считается средством обхода. Но если у вас крупный проект с господдержкой – можно попробовать.
Ошибки, которые совершают почти все (и вы не исключение)
Не надо переносить сайт на порт 8443, 4443 или любой другой нестандартный. ТСПУ сканирует все порты, а не только 443. И нестандартный порт только привлечёт внимание: «О, а здесь что-то прячут». Не надо каждые два дня просить новый IP – вы лишь замучаете себя и поддержку. Не надо надеяться, что «само пройдёт». РКН не откатывает обновления по первому требованию. И не надо кричать на техподдержку FirstVDS. Они не виноваты в политике государства. Вежливое обращение с просьбой отключить ECH на их стороне (если у вас shared) сработает лучше, чем мат.
Что будет дальше с FirstVDS и подобными сервисами
Скорее всего, FirstVDS в ближайшее время добавит в свою панель управления простой тумблер «Отключить ECH» для каждого VPS. Некоторые провайдеры уже начали это делать. Также возможно появление официальных прокси-решений «из коробки». Но пока этого нет, ответственность за доступность лежит на вас. Не ждите милостей от природы – берите дело в свои руки.
Коротко о главном (чтобы не потерять нить)
Ваш сайт на FirstVDS не открывается? Скорее всего, включён ECH. Если ECH есть – либо отключайте его (если есть доступ к конфигам), либо используйте прокси-сервис с выключенным ECH (Killbot). DNS-балансировка поможет только как дополнение к отключению ECH. Не тратьте время на бесконечную смену IP и переезды к другим хостам – проблема в вашем софте, не в провайдере. Действуйте, и ваш сайт снова будет жить.