- Друг форума
- Программист
- Автор темы
- Администратор
- Модер.
- Команда форума
- #1
Если ваш сайт подключен к Cloudflare, и вдруг перестал открываться в РФ, то ниже вы найдете решение, как восстановить доступность ресурса для посетителей из России. Не отключая при этом сам Cloudflare.
Если вас это утешит - вы такой не один / одна. В России огромное число сайтов (десятки, а то и сотни тысяч сайтов) используют защиту Cloudflare (для АнтиДДОС и фильтрации поведенческих ботов), и большинство из них вдруг перестали открываться. Это же касается миллионов зарубежных сайтов, использующих Cloudflare. Считайте, РКН в один клик заблокировал половину Интернета.
Две недели назад Cloudflare принудительно включил для сайтов, использующих проксирование Cloudflare, протокол Encrypted Client Hello (TLS ECH). Протокол ECH с прошлого года поддерживается всеми последними версиями браузеров, и позволяет надежно зашифровать трафик между браузером и сервером, с которого сайт собственно говоря загружается. Все бы хорошо, но это позволило снова стать доступными из России сайтам, заблокированным Роскомнадзором.
Информация
Так как Cloudflare на контакт с РКН не идет, последний просто заблокировал протокол ECH. Вместе со всеми сайтами, подключенными к Cloudflare.
Блокировал ли РКН Cloudflare ранее?
Многие олды помнят примерно похожую ситуацию, несколько лет назад, когда РКН уже блокировал Cloudflare. Многие ни в чем не повинные сайты тогда точно также перестали открываться. Это затронуло слишком многих, и Роскомнадзор тогда отступил.
Ну или нашумевшая история с блокировкой Telegram.
Будут ли проблемы с Яндекс, если сайт с Cloudflare был долгое время недоступен
Скорее нет, чем да. Краулер Яндекса ходит без браузера. Без того самого, в котором и вшит тот самый, заблокированный РКН протокол TLS ECH. Проверка ответа сервера через инструменты Яндекс Вебмастер показала, что бот поисковой системы спокойно открывает те сайты, на которые на тот момент невозможно было зайти через браузер из России.
Что делать, если у вас PRO тариф Cloudflare (25$ в месяц)
Зайти в настройки Cloudflare для своего сайта. SSL/TLS -& Edge Certificates. Убедиться в том, что отключена опция Encrypted Client Hello. Если включена - нажать на зеленый переключатель, сделать его серым. На всякий случай, сбросить кэш Cloudflare. Caching - Configuration - purge everything. Подождать несколько минут.
Что делать, если у вас Free тариф Cloudflare, и сайт недоступен из РФ
SSL/TLS - Edge Certificates
Minimum TLS Version - TLS 1.2
TLS 1.3 - деактивировать опцию, галочка должна быть серой.
Сбросить кэш. Caching - Configuration - purge everything. Подождать несколько минут.
Ну и ниже немного теории, для тех, кто любит читать.
Что за ЕСН такой
Технология ECH добавляет в соединение между браузером и сервером дополнительное шифрование, Server Name Indication (SNI) для протокола TLS 1.3. А значит, та информация, которую ранее видели надзорные органы (информация о сайте, с которым совершается соединение), стала им недоступна. Соответственно, списки блокировки Роскомнадзора также становятся неэффективны, так как РКН (или, скорее, ваш провайдер Интернет, с оборудованием фильтрации трафика, синхронизируемым с РКН) не обладает информацией, можно ли запретить создание защищенного соединения с тем или иным сайтом, или нет.
Также из-за шифрования стала недоступна аналитическая информация из запросов DPI (Deep Pocket Inspection). Т.е. возможность анализировать все пакеты вашего трафика, ну и при необходимости их блокировать или фильтровать.
Свободный Интернет и вот это вот все, это осталось в тех временах, когда нужно было занять телефонную линию и слушать противный писк модема, долго и упорно пытающегося выйти в тот самый Интернет.
Павел Дуров не даст соврать, он лично проверил, точёные ли пики во французской кутузке.
Ресурсы, питающиеся грантами за все хорошее против всего плохого, на что покажет спонсор, продажа разной запрещенки, экстремизм, мошенничество, терроризм и прочее подобное, давно уже блокируется именно на уровне пакетов интернет-соединения. Поэтому владельцы различных, внесенных в реестр РКН, сайтов, - очень обрадовались нововведению.
Информация
Но как видите, радость их оказалась недолгой, и через 2 недели после наступления новой эры шифрования трафика, все сайты Cloudflare с включенным ECH стали недоступны. Вне зависимости своей белости и пушистости.
Что делать, если вы не можете зайти на сайты с Cloudflare и ECH
На примере Google Chrome. Настройки - Конфиденциальность и безопасность - Дополнительные - Использовать безопасный DNS-сервер. Снять синюю галочку.
Либо, поиграться с поставщиками услуг DNS.
Также, можно поставить себе какую-нибудь старую версию браузера, без всех этих новомодных штучек. И не обновлять его.
