Судя по всему, Роскомнадзор начал блокировку CloudFlare с использованием Encrypted Client Hello (сокращенно ECH).
Если кратко объяснить: без ECH все промежуточные узлы, включая Роскомнадзор, могут отслеживать доменные имена сайтов, на которые пользователь заходит через HTTPS. С включением ECH эта информация скрыта от них. Напомним, что CloudFlare внедрил поддержку ECH всего 2 месяцев назад.
С полуночи в нескольких российских регионах наблюдается следующая ситуация:
В браузере Chrome пользователи сталкиваются с тайм-аутами при попытке зайти на сайты, защищённые через CloudFlare с активированным TLS 1.3 (ECH является расширением для этой версии протокола). Однако те же сайты можно загрузить с помощью утилиты wget, которая не поддерживает ECH. После отключения TLS 1.3 на стороне CloudFlare сайты становятся доступными через несколько минут (так как отключение TLS 1.3 автоматически отключает и ECH).
Сайты, использующие TLS 1.2 и старее, продолжают работать без изменений.
Эта проблема воспроизводится в нескольких регионах и у разных интернет-провайдеров на более чем сотне сайтов.
Через VPN сайты работают без сбоев.
В список пострадавших вошли, в частности, следующие ресурсы:
- OpenStreetMap
- Diary.ru
- KopilkaUrokov.ru
- Uchitelya.com
- OpenSubtitles.org
Из 10 000 самых посещаемых сайтов по версии Alexa около 2 500 работают через CloudFlare, из которых примерно 700 поддерживают ECH, что отражается в их DNS-записях.
