SeoPoisk

Отключение SNI

Решение по проблеме блокировки Cloudflare Роскомнадзором

С некоторых пор Cloudflare ввел обязательное шифрование заголовков SNI (Server Name Indication) для всех своих пользователей, что делает невозможным определение, к какому сайту идет подключение через HTTPS. Роскомнадзор оперативно отреагировал на это и заблокировал эту технологию.

В результате многие сайты, использующие Cloudflare, стали недоступны для части пользователей.

1) Для пользователей ПЛАТНОГО тарифа, чтобы отключить SNI, выполните следующие действия:

  • Перейдите в настройки SSL/TLS на панели Cloudflare.
  • В разделе "Edge Certificates" найдите опцию "Encrypted ClientHello (ECH)" и выберите "Disabled", если хотите отключить шифрование.

2) Для пользователей БЕСПЛАТНОГО тарифа отключить SNI невозможно. Однако можно деактивировать более новый протокол шифрования TLS 1.3, на котором внедрен SNI:

Обратите внимание, что старые версии TLS менее защищены, а современные браузеры могут начать некорректно работать. Это временное решение, которое может устранить проблему, но вам нужно следить за тем, как оно влияет на пользователей с новыми браузерами.

Еще один вариант — отказаться от использования Cloudflare, но это требует внимательного анализа всех преимуществ и недостатков этого решения.

Также можно отключить ECH на платных тарифах или через API для бесплатных пользователей - для этого достаточно выполниить следующий запрос:

curl -X PATCH "https://api.cloudflare.com/client/v4/zones/ID_ZONE/settings/ech" \
-H "X-Auth-Key: YOUR_GLOBAL_API_KEY" \
-H "X-Auth-Email: YOUR_EMAIL" \
-H "Content-Type: application/json" \
--data '{"id":"ech","value":"off"}'

Или просто заполните эту форму:

Заходите в Cloudflare > My Profile > Api Tokens и на строчке Global API Key жмете View. Копируете глобальный ключ.
Открываете ваш сайт в Cloudflare > вкладка Overview > копируете справа внизу Zone ID вашего сайта.