В сентябре 2024 года американская компания Cloudflare активировала на своих серверах расширение TLS ECH (Encrypted Client Hello). Расширение шифрует часть данных при установлении HTTPS-соединения, что затрудняет идентификацию посещаемых пользователем сайтов.
Введение ECH помешало планам Роскомнадзора (РКН) по контролю и блокировке доступа к запрещенным ресурсам. В ответ на это ночью с 5 на 6 ноября РКН начал блокировать подключения к Cloudflare, использующие ECH. Пользователи в России стали сообщать о проблемах с доступом к сайтам, обслуживаемым через Cloudflare с включенным TLS 1.3 и ECH. Сайты, использующие TLS 1.2 и более ранние версии, работают без перебоев. При этом доступ через VPN оставался возможным, что указывает на целенаправленные действия РКН по ограничению доступа к таким ресурсам.
Кроме того, РКН рекомендовал владельцам интернет-ресурсов отказаться от использования CDN-сервиса Cloudflare или отключить ECH, чтобы избежать блокировок. Ведомство подчеркнуло, что использование расширения нарушает российское законодательство и ограничивается техническими средствами противодействия угрозам (ТСПУ).
Что такое ECN?
ECH (Encrypted Client Hello) — это расширение протокола TLS (Transport Layer Security), которое обеспечивает дополнительный уровень конфиденциальности при установлении защищенных соединений в Интернете. Оно разработано для защиты содержимого так называемого "Client Hello" — начального сообщения клиента серверу при установке TLS-соединения, которое обычно передаётся открытым текстом.
Как работает ECN: При обычном TLS-соединении в процессе обмена данными через "Client Hello" раскрываются некоторые метаданные, такие как:
- Имя хоста, к которому пользователь пытается подключиться (через поле Server Name Indication, SNI);
- Поддерживаемые версии TLS и криптографические параметры клиента.
Такие данные потенциально могут быть перехвачены злоумышленниками или использованы для отслеживания активности пользователя в сети.
Суть ECH: ECH защищает эти данные, шифруя содержимое "Client Hello". В этом случае внешнему наблюдателю не удается увидеть имя сайта, к которому пользователь обращается, а также остальные детали, которые обычно отправляются в незашифрованном виде. Шифрование происходит с использованием публичного ключа, предоставленного сервером, что обеспечивает дополнительную приватность.
Зачем нужен ECH: ECH актуален в эпоху возросших требований к приватности, так как позволяет защитить информацию о запросах и усилить защиту конфиденциальных данных в Интернете.
Реакция пользователей
Пользователи в России отреагировали на ситуацию по-разному. Некоторые заметили улучшение доступа к ранее ограниченным ресурсам, таким как YouTube, что связано с затруднением работы систем блокировки Роскомнадзора из-за шифрования трафика с помощью ECH.
В соцсетях и на форумах сразу же закипели дискуссии. Пользователи обсуждали технические аспекты блокировки и анализировали, как именно Роскомнадзор осуществляет блокировку. Особое негодование вызвало то, что под удар попали не только запрещённые ресурсы, но и легальные сайты, использующие Cloudflare, что доставило массу неудобств.
Многие считают, что регулятор явно перегнул палку. В соцсетях, комментариях и новостях не стеснялись в выражениях: люди писали, что такие действия нарушают их права на свободный интернет и доступ к информации. В ход пошли язвительные шутки о том, что доступ был закрыт к погоде и сайтам с мангой. Не обошлось и без упоминаний способов обхода блокировок.
В результате блокировка TLS ECH обернулась для РКН новым витком пользовательского недовольства. Люди не только ищут пути обхода, но и, похоже, всерьёз задумались о том, как защитить свои права в интернете.
Перспективы и возможные последствия
Активация ECH и последующие действия РКН поднимают вопросы о балансе между конфиденциальностью пользователей и возможностями государства по контролю интернет-трафика. С одной стороны, ECH обеспечивает более высокий уровень защиты данных пользователей, с другой — затрудняет выполнение государственных функций по обеспечению информационной безопасности.
Остаётся вопрос – будет ли РКН предпринимать дальнейшие меры, включая более жесткие блокировки или разработку новых технических решений для контроля трафика?
