Cloudflare как отключить ECH (TLS 1.3)?

4 1 699

Недавно Cloudflare ввела защиту ECH на свои сервера.. Эта защита дополнительно шифрует трафик, что не даёт возможности DPI блокировать сайты. РКН это не понравилось и в ночь с 5 на 6 ноября РКН заблокирован все шифрование целиком. В результате не работает половина интернета.

Пострадали все сайты (даже локальные), которые защищены Cloudflare.

Что такое ECH, можно узнать тут: Cloudflare активировала ECH на своих серверах

Надеемся, что изменения будут откатаны, но на данный момент проблему можно решить тремя путями:

  1. Использовать зарубежные адреса для входа;
  2. Отключить защиту ECH (TLS 1.3) для сайта (об этом чуть ниже);
  3. Отключить TLS 1.3 в браузере;

В данном случае мы TLS отключим в самом cloudflare для вашего сайта, чтобы он заработал у всех.


Как отключить Cloudflare ECH?

Отключение TLS 1.3 может быть не совсем безопасным способом. Если блокировки снимут, рекомендую его включить.

Заходим на сайт cloudflare: https://dash.cloudflare.com/

Нажимаем на домен;

Переходим слева во вкладку SSL/TLS, выбираем пункт Edge Certificates:Ищем пункт TLS 1.3 и снимаем галочку:

Находим пункт Minimum TLS version. Ставим значение 1.2 

После этого сайт должен начать открываться.

Так как DNS обновляется не сразу, то в зависимости от провайдера, внесенные изменения могут примениться в течение 24 часов. Соответственно, сайт может начать открываться не сразу. Но обычно это происходит быстро.


UPD: через API можно отключить не TLS 1.3, а сам ECH. Об этом рассказали мои друзья с форума openode в статье: Cloudflare как отключить ECH (TLS 1.3)?

Комментарии (4)
  1. Avatar Владимир

    спасибо, помогли

    1. Avatar igor5841

      Спасибо за отзыв)

  2. Avatar Сергей

    Очень ценная и своевременная статья. Помогло. Спасибо.

    1. Avatar igor5841

      Благодарю)