Потому что цензоров сильно волновал *.googlevideo.com поэтому у него стратегии ну очень спесифичные которые могут ломать уже другие сайты. Другие, более простые стратегии, работают на каком-нибудь сайте запрещенного калькулятора. Плюс я еще думаю что они хотели сделать как можно больше разных стратегий на разных сайтах чтобы было максимально неудобно в конфигах. Лично я решил использовать запрет чисто для гуглвидео, на другое мне он и не нужен был
ну ведь если весь трафик запихнуть то работает ведь
Сам SNI cloudflare-ech.com не блочится, а блочится только, если есть encrypted client hello в составе TLS Client Hello.
То есть курлом дергать напрямую cloudflare-ech.com смысла нет. Он запустится.
Мне потребовалось в zapret-е увеличить количество фейков с 1 до 3, чтобы пробить блок.
Блочится не на всех провайдерах. Пока.
Чтобы восстановить работу неблокируемых сайтов, достаточно отключить ECH в броузере
В ркн работает гораздо меньше людей, чем тех кто пытается восстановить себе конституционное право в свободном доступе к информации. Поэтому математически их победа невозможна, а успех временный.
1 Like
Мне нравится твой энтузиазм, особенно учитывая что для тех же плисов нужны серьезные программисты которые дружат с ассеблером и low-level програмированием, а все уехали сейчас… А тех кого вообще интересует ассемблер это только хоумбрюверов и нишовых геймдевов для старых приставок.
Неужели вы вот на полном серьезе думаете, что богатейшая страна не найдет спецов, пускай даже очень редких и нишевых? 
В крайнем случае приедут “иностранцы”.
Это примерно как рассуждать, откуда в Якутии берутся бананы, ведь они же там не могут расти, там же холодно. 
Не надо надеяться, что государство не добьется поставленной цели. Пусть криво и косо, с сопутствующим ущербом, но сделают как им удобно.
Страна-то найдет, другой вопрос а сможет ли ркн платить такие вилки которые эти спецы за работу запросят
При чем тут ркн. РКН - это исполнительный орган. Он ничего не оплачивает сам, точно так же как сотрудник полиции, например.
Проблема решается изи, путём добавления соответствующего домен в спуфер. Или просто выключением DOH в браузере. Ну да, заблочили, неприятненько… Особенно наверно для тех наивных людей которые помнится рассуждали, что если технология ESNI (ECH) будет везде повсеместно использоваться на всех ресурсах, то короблка (тспу) ослепнет и станет бесполезной, мол грядёт закат этих чёрных ящиков… 
Ага с нИхуевыми идеями Россия создает собственную инфраструктуру интернета. Теперь для проверки маршрутизации IP-адресов - CNews
Чтобы твой трафик на подлете в блэкхол улетал как говорят хостера.
Ну так просто ведомство.
Какая разница если в итоге не работают сайты
Ну а челы куда на работу будут устраиваться? В РКН? И вилки будут обсуждать там же. Я к тому что узкий спец затребует и большую зп, а готовы ему будут столько платить или нет уже другой вопрос
тем временем где-то в ркн
почему рутрекер работает? мы на что 60млрд выделили?)
Спойлер
Кстати, ECH через API можно отключить и на free-тарифе. https://antiddos24.ru/blog/blokirovka-cloudflare-roskomnadzor-seriya-2
Для владельцев сайтов. Вы все еще можете отключить ECH без отключения TLSv1.3 через API.
curl -X PATCH 'https://api.cloudflare.com/client/v4/zones/<zone_id>/settings/ech' -H 'Authorization: Bearer <token>' -H 'Content-Type: application/json' -d '{"value":"off"}'
У токена должны быть права на Zone Settings.
Перед ними поставлена задача и выделены бюджеты. Как они будут решать ее - это уже вопрос десятый. Не решат - полетят головы.
Поэтому так или иначе вопрос будет решен.
Вроде бы софт для DPI Ростелеком поставляет. По кр. мере разработчик ТСПУ rdp.ru был поглощен РТК в свое время.
Спс. Но пока помогает более простой вариант - отключить tls 1.3 в бесплатном тарифе.
(SSL → Edge certificates). ECH работает в TLS 1.3
Так что простое отключение DoH помогает в браузерах на win10/11?
На линуксе вот нет. Правда, проверял только ungoogled chromium последний.