Роскомнадзор рекомендовал владельцам сайтов отказаться от Cloudflare. Начался новый виток блокировок?
Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) Роскомнадзора посоветовал владельцам российских сайтов отказаться от использования CDN-сервиса компании Cloudflare. А вместо него использовать отечественные аналоги. Что это все значит — разбираемся в материале.
«Американская компания CloudFlare, поставщик услуг CDN, включила в октябре применение по умолчанию на своих серверах расширение TLS ECH (Encrypted Client Hello). Эта технология — средство обхода ограничений доступа к запрещенной в России информации. Его использование нарушает российское законодательство и ограничивается техническими средствами противодействия угрозам (ТСПУ)», — заявили в центре.
Роскомнадзор рекомендовал владельцам сайтов отключить расширение TLS ECH или использовать отечественные CDN-сервисы.
Что такое CDN и TLS ECH? Объясняем простыми словами
Cloudflare — американская компания, предоставляющая услуги по ускорению и защите сайтов в интернете. Ее глобальная сеть серверов (CDN) помогает сайтам быстрее загружаться, распределяя контент по серверам, расположенным ближе к пользователям.
CDN (Content Delivery Network) — это сеть серверов, которая помогает сайтам загружаться быстрее и стабильно работать. Она копирует контент сайта (картинки, видео, страницы) и хранит его на нескольких серверах, размещенных в разных точках мира. Когда пользователь заходит на сайт, CDN направляет его к ближайшему серверу с копией нужного контента. Это уменьшает задержки и ускоряет загрузку страниц, особенно если пользователь далеко от основного сервера сайта.
Услуги CDN — это как раз такие сервисы, которые занимаются ускорением доставки контента и защитой сайтов от перегрузок (например, от DDoS-атак).
TLS ECH (Encrypted Client Hello) — это технология, которая усиливает защиту конфиденциальности при подключении к сайтам. Когда пользователь заходит на сайт, первое, что делает браузер, — посылает сообщение, которое называется Client Hello. Оно сообщает серверу, к какому домену человек хочет подключиться. Обычно это сообщение передается открытым текстом, и любой, кто отслеживает трафик, может увидеть, на какой сайт заходит пользователь.
ECH шифрует Client Hello, так что посторонние не видят, к какому домену человек подключается. По сути, это закрывает «первую дверь» и делает невозможным отследить, на какие конкретно сайты заходит пользователь, даже на уровне доменного имени.
Из-за этого TLS ECH позволяет обходить блокировки — если домен зашифрован, то техническим системам труднее понять, что человек посещает заблокированный ресурс.
Начались новые блокировки?
6 ноября издание «Код Дурова» писал, что в данный момент с российских IP-адресов наблюдается проблема с доступом ко многим сайтам, которые используют новейшую защиту CloudFlare.
Hi-Tech Mail сообщал, что 5 ноября РКН «начал блокировку всех сайтов с шифрованием ECH». Таковых, по данным издания, «сотни тысяч», и пользователи интернета «уже заметили, что многие сайты перестали открываться».
Издание отмечает, что Роскомнадзор использует чтение и анализ SNI для выборочных блокировок сайтов на своем оборудовании «ТСПУ». SNI (Server Name Indication) — это метод, который позволяет видеть, к какому конкретному сайту пытается подключиться пользователь, даже если само соединение шифруется.
«Так как активный ECH делает невозможными точечные запреты сетевых ресурсов, расположенных за CDN Cloudflare, в РКН решили полностью заблокировать подключение к Cloudflare», — пишет Hi-Tech Mail.
По словам экспертов, из десяти тысяч самых посещаемых в мире сайтов (по версии рейтинга Alexa) сервис CloudFlare используют примерно 2,5 тысячи. И вряд ли иностранные ресурсы будут следовать рекомендациям Роскомнадзора.
