Блокировка Encrypted ClientHello (ECH) на Cloudflare

Internet censorship all around the world Russia
1

Только релевантная информация. Без обсуждений, мнений, оценочных суждений. Обсуждение: Обсуждение: Блокировка (замедление) ECH Cloudflare

5 ноября произошла блокировка соединений, использующих TLS Encrypted ClientHello (ECH).

Cloudflare использует один и тот же внешний (скрывающий SNI) домен cloudflare-ech.com для всех сайтов, которые включили поддержку ECH.
Блокировка осуществляется, если в пакете ClientHello установлен SNI = cloudflare-ech.com и есть ECH extension
Только лишь SNI = cloudflare-ech.com без ECH extension не блокируется, как и ECH grease без SNI = cloudflare-ech.com.

Фильтр применяется к HTTP2 (TCP) и HTTP3 (QUIC)-соединениям.

ТСПУ «замораживает» соединение сразу после получения ClientHello, а не разрывает его на уровне TCP или каким-то более подходящим образом. Из-за этого браузер понимает, что соединение сломано, только спустя примерно минуту.

Спецификация ECH вроде как запрещает переустанавливать соединение с нешифрованным SNI в случае ошибок, но в Firefox 131 сайты с ECH открываются без ECH через минуту «загрузки» — открывается новое соединение с plain SNI, а старое закрывается. Причину не знаю, возможно, это из-за того, что у меня отключён DNS-over-HTTPS, но ECH всё равно используется.

2

The 2025 FOCI paper “Encrypted Client Hello (ECH) in Censorship Circumvention” documents a third necessary condition: the destination IP address must be in one of Cloudflare’s IP address ranges. See Section 5:

Russian TSPU devices directly block ECH by dropping the ClientHello message containing the ECH extension (cf. Figure 5. To trigger the blocking, the ClientHello message has to contain the ECH extension and the hostname cloudflare-ech.com in the SNI extension—other hostnames do not trigger the ECH-specific blocking. The blocking affects both TLS and QUIC traffic. These properties of Russian ECH censorship were described previously [48]. In addition to these previously known properties, we detected that the blocking only occurs in connections to Cloudflare’s IP ranges. Notably, TSPU devices do not block ECH connections to servers supporting ECH through Cloudflare but are outside Cloudflare’s IP ranges. We confirmed this behavior by sending ECH ClientHello messages to 1’500 additional servers located at distinct IP addresses; only messages to IP addresses in Cloudflare’s advertised IP ranges were censored. As Russia only censors ECH to Cloudflare’s advertised IP ranges, Russian ECH censorship can be circumvented by using an IP proxy located outside Russia and Cloudflare’s IP ranges.