Отключение SNI
Решение по проблеме блокировки Cloudflare Роскомнадзором
С некоторых пор Cloudflare ввел обязательное шифрование заголовков SNI (Server Name Indication) для всех своих пользователей, что делает невозможным определение, к какому сайту идет подключение через HTTPS. Роскомнадзор оперативно отреагировал на это и заблокировал эту технологию.
В результате многие сайты, использующие Cloudflare, стали недоступны для части пользователей.
1) Для пользователей ПЛАТНОГО тарифа, чтобы отключить SNI, выполните следующие действия:
- Перейдите в настройки SSL/TLS на панели Cloudflare.
- В разделе "Edge Certificates" найдите опцию "Encrypted ClientHello (ECH)" и выберите "Disabled", если хотите отключить шифрование.
2) Для пользователей БЕСПЛАТНОГО тарифа отключить SNI невозможно. Однако можно деактивировать более новый протокол шифрования TLS 1.3, на котором внедрен SNI:
Обратите внимание, что старые версии TLS менее защищены, а современные браузеры могут начать некорректно работать. Это временное решение, которое может устранить проблему, но вам нужно следить за тем, как оно влияет на пользователей с новыми браузерами.
Еще один вариант — отказаться от использования Cloudflare, но это требует внимательного анализа всех преимуществ и недостатков этого решения.
Также можно отключить ECH на платных тарифах или через API для бесплатных пользователей - для этого достаточно выполниить следующий запрос:
curl -X PATCH "https://api.cloudflare.com/client/v4/zones/ID_ZONE/settings/ech" \
-H "X-Auth-Key: YOUR_GLOBAL_API_KEY" \
-H "X-Auth-Email: YOUR_EMAIL" \
-H "Content-Type: application/json" \
--data '{"id":"ech","value":"off"}'
Или просто заполните эту форму: