Быстро, доступно, безопасно!
Магазин готовых сайтов

РКН рекомендовал веб-мастерам отказаться от Cloudflare из-за TLS ECH

Роскомнадзор призвал владельцев российских интернет-ресурсов внимательно отнестись к использованию CDN-сервиса Cloudflare, в котором с октября 2024 года по умолчанию активирован протокол TLS ECH (Encrypted Client Hello).

Как отмечается в сообщении ведомства, данная технология затрудняет техническое исполнение ограничений доступа к запрещённой информации и может нарушать российское законодательство.

Протокол ECH шифрует домен (имя запрашиваемого сайта - SNI1) на этапе установления HTTPS-соединения, что делает невозможным его фильтрацию стандартными средствами. При этом отключение TLS ECH в пользовательской панели Cloudflare не предусмотрено, так как технология активируется автоматически в зависимости от сертификатов, настроек проксирования и поддержки со стороны браузеров.

Что можно и нужно сделать владельцам сайтов:

1. Оценить целесообразность использования Cloudflare в текущей ситуации, особенно если ваш проект ориентирован на российскую аудиторию и критичен к вопросам стабильности доступа.

2. Временно отключить проксирование (оранжевое облако) в настройках DNS Cloudflare — это переведёт трафик в режим прямого соединения без участия CDN-инфраструктуры, что устранит использование ECH, но также отключит защиту от DDoS и кэширование.

3. Рассмотреть переход на CDN-платформы, работающие в российской юрисдикции, и не использующие протоколы, препятствующие фильтрации. Такие решения обеспечивают надёжную защиту и соответствие национальным требованиям в области безопасности.

4. Следить за техническими публикациями РКН и обновлениями Cloudflare, чтобы своевременно адаптировать конфигурацию ресурсов под изменения в правилах и технологиях.

Также напомним, что в феврале 2025 года Cloudflare была включена в реестр организаторов распространения информации. Это влечёт за собой дополнительные юридические и технические обязательства для владельцев сайтов, использующих данный сервис.

Протокол TLS ECH невозможно отключить вручную, однако владельцы ресурсов могут принять разумные меры по снижению риска блокировки — от временного перевода домена в прямой режим до выбора альтернативного CDN. Такие шаги помогут обеспечить стабильную доступность ресурса для российской аудитории при сохранении нормативного соответствия.

Примечание: 1 SNI (Server Name Indication) — это расширение протокола TLS, которое передаёт доменное имя сервера в открытом виде при установлении HTTPS-соединения, чтобы сервер мог выбрать правильный SSL-сертификат.

Метки: ркн; роскомнадзор; cloudflare; блокировка; cdn; ddos

Копировать в блог


Опрос

Адаптирован ли ваш сайт для смартфонов и планшетов? (голосов: 35)

  • Да - 4 (11%)
  • Нет - 2 (6%)
  • Не знаю - 1 (3%)
  • Нет сайта - 28 (80%)