Yeah, so what this means is the “POP!” of the #AI bubble when it bursts is going to be deafening, much louder than the dot com crash.
Folks, we need to buckle up…
... and public sector technology can be co-controlled via public procurement.
#Caddy v2.10.0-beta.1 with automated! Encrypted ClientHello (#ECH) support 
https://github.com/caddyserver/caddy/releases/tag/v2.10.0-beta.1
#caddyserver
Cloudflare Asks Court to End LaLiga's "Illegal" Blocking Response to Encrypted Client Hello *
—TorrentFreak
「 The unusual feature of the complaint is the focus on Encrypted Client Hello, or ECH for short. As highlighted earlier, this can effectively be used to bypass site blocking 」
Argh, le futur RFC sur l'exportation des clés #TLS (SSLKEYLOGFILE), qui avait été approuvé, a été retiré de la file d'attente des RFC. Vu le retard pris, il fallait lui ajouter les derniers trucs (notamment #ECH).
Bref, ce n'est pas encore normalisé. (Alors que c'est crucial pour le déboguage, cf. mon talk à Capitole du Libre https://cfp.capitoledulibre.org/cdl-2022/talk/P79YC7/ )
Cloudflare Asks Court to End LaLiga’s “Illegal” Blocking Response to Encrypted Client Hello
#encryptedclienthello #dynamicinjunction #SiteBlocking #Anti-Piracy #Cloudflare #LaLiga #iptv #ECH
На данный момент именно средствами #ТСПУ блокируются попытки соединения с #AWS — Сервисы облачных вычислений Amazon Web Services по протоколам TLSv1.2 и TLSv1.3.
Проверить можно попытавшись получить доступ к URL https://aws.amazon.com/
Не важно какой поставщик DNS используется — интернет провайдера, 8.8.8.8 или же DoH (DNS-over-HTTPS) от Cloudflare.
Это явно не связано с #ECH (Encrypted Client Hello), поскольку блокируются и 1.2 и 1.3 — версии TLS-соединений не использующие данное расширение.
По ряду признаков выглядит так, что данная проблема не является локальной у какого-либо интернет провайдера или магистральных провайдеров. Возможно сбой в работе #DPI внутри ТСПУ, а может быть и неправомерные действия должностных лиц из #Роскомнадзор. На данный момент этот статус неизвестен, локализовано лишь примерное местоположение в сетях передачи данных с технической стороны вопроса.
It is now possible to use #Python as an #ECH client using the DEfO development fork:
https://guardianproject.info/2025/01/10/using-tls-ech-from-python/
@bagder @jelu @icing I think there is a case for #DNSSEC in curl because of #SMTP and the slowly increasing support for #DANE #TLSA. In my book that’s the premiere method of TLS downgrade protection in the email world.
But that has time. I’m already glad if #HTTPS #ECH is supported in (my) curl sometime soon 
Да, на #ТСПУ началась блокировка TLS 1.3 соединений использующих ECH (Encrypted Client Hello).
Проверяется легко, если в #Firefox можно через about:config отключить использование ECH:
network.dns.echconfig.enabled в false
При этом не обязательно трогать network.dns.http3_echconfig.enabled
А вот пользующиеся #Chrome и #Chromium в полном пролёте — возможность отключения #ECH теперь уже не предусмотрена. Убран и отправлен в небытие старый-добрый:
chrome://flags#encrypted-client-hello
После отключения ECH возвращается работоспособность таких безобидные сайтов как:
Ожидаемо, что по этой причине Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) Роскомнадзора пошлёт в пешее путешествие всех недовольных с жалобами. Предложив использовать браузеры, позволяющие отключать ECH.
Формально Роскомпозор блокирует лишь одно из расширений TLS 1.3, а не сам протокол. По причине того, что #Cloudflare включил использование #ECH для всех своих клиентов по умолчанию.
А горстка слабохарактерных идиотов, так и не смогла сделать ECH частью протокола TLS 1.3 — история тянется аж с 2018 года.
Уж очень много копий было сломано, пока уходили от 1.2 версии #TLS в сторону 1.3, шествие было очень длинным и напряжённым. И людишкам не хватило воли с характером на включение в 1.3 таких вещей как ECH — в раннем варианте это звалось ESNI и не выглядело зрелым решением.
I just noticed that my #Firefox was sending network traffic either with HTTP/2 + #ECH + #X25519MLKEM768, or with HTTP/3, but without ECH or X25519MLKEM768. Then I dug into about:config and found the option network.http.http3.enable_kyber, enabling it fixed the above behavior. HTTP/3 + ECH + X25519MLKEM768 is now used. Maybe check your Firefox behavior to ensure ECH and post-quantum key exchange is used whenever possible. Test site: https://cloudflare-ech.com/cdn-cgi/trace
Looks like Russia is now blocking Cloudflare's Encrypted Client Hello traffic if:
- SNI is cloudflare-ech.com
- TLS ClientHelloOuter contains the "encrypted_client_hello" extension
https://github.com/net4people/bbs/issues/417
Russia officially recommends "owners of information resources disable the TLS ECH extension or, more correctly, use domestic CDN services".
https://cmu.gov.ru/ru/news/2024/11/07/рекомендуем-отказаться-от-cdn-сервиса-cloudflare/
With increased ECH use, I expect certain other actors to follow suit.
Роскомнадзор начал блокировку сайтов с шифрованием ECH (Encrypted Client Hello) от Cloudflare.
Недавно Cloudflare внедрила технологию ECH для всех сайтов на своих серверах — это 24 млн страниц.
-Активное шифрование ECH нарушает российское законодательство, так как имеет возможности обхода ограничений доступа к запрещенной информации в России.
Пользователи в РФ уже начали жаловаться на недоступность тысяч сайтов, использующих ECH.
Роскомнадзор советует владельцам ресурсов отказаться от использования CDN-сервиса CloudFlare и переходить на отечественные CDN-сервисы.
src:
https://portal.noc.gov.ru/ru/news/2024/11/07/%D1%80%D0%B5%D0%BA%D0%BE%D0%BC%D0%B5%D0%BD%D0%B4%D1%83%D0%B5%D0%BC-%D0%BE%D1%82%D0%BA%D0%B0%D0%B7%D0%B0%D1%82%D1%8C%D1%81%D1%8F-%D0%BE%D1%82-cdn-%D1%81%D0%B5%D1%80%D0%B2%D0%B8%D1%81%D0%B0-cloudflare/
https://habr.com/ru/news/856722/
Seems like blocking #Cloudflare's #ECH was not enough for #Roskomnadzor's clowns.
In addition, I cannot access the following sites I regularly use, even with DPI bypassing software:
I can confirm it's not broken just for me with GlobalCheck (https://globalcheck.net/en/).
What's in common? They are all hosted on #Hetzner.
#Russia already blocked Hetzner, #OVH and #Linode earlier this year for a short period. They do this kind of "testing" from time to time.
Как отключить ECH для вашего домена на Cloudflare
Как вы знаете, Роскомнадзор (РКН) заблокировал технологию Encrypted Client Hello (ECH), а Cloudflare неожиданно принудительно включил её для всех пользователей. Это вызвало серьезные проблемы для тех, кто использует Cloudflare, особенно для пользователей из России. Решим эту проблему! Если вам нужно отключить Encrypted Client Hello (ECH) для вашего домена на Cloudflare, выполните следующие шаги. Этот процесс включает проверку текущего статуса ECH, а затем его отключение через API Cloudflare.
We are aware that OpenStreetMap.org cannot be accessed by mappers in some regions due to the mapper's ISP blocking websites using modern HTTPS security. (Technical: Encrypted Client Hello / ECH) 
#TLS #ECH #OpenStreetMap #Privacy
Cloudflare активировала ECH на своих серверах
#security #ech #proxy #cloudflare #roscompozor #DoH #DoT
ECH - современная реализация идеи eSNI (Encrypted SNI), предназначенная для сокрытия от сторонних наблюдателей с помощью шифрования метаданных при установлении TLS-соединения, таких как имя сайта (SNI) к которому подключается клиент.
Чтение и анализ SNI использует в том числе Роскомнадзор для выборочных блокировок сайтов на своем оборудовании "ТСПУ", и таким образом активный ECH делает невозможными точечные блокировки сайтов, расположенных за CDN Cloudflare.
Проверить доступность ECH для подключения к конкретному сайту через Google DNS: имя домена, выбор HTTPS, в выданных данных д.б. строка типа "ech=XXXXX", где XXXXX - это ключ шифрования для ECH.
Поскольку для работы ECH важно наличие определённых данных в DNS-информации, рекомендуется в браузерах активировать DoH (DNS-over-HTTP) или DoT (DNS-over-TLS) для того, чтобы защитить их от подмены.
Протокол ECH в браузере
Chrome продолжает развивать свои механизмы безопасности, и одной из последних технологий, привлекающих внимание, стал протокол Encrypted Client Hello (ECH) . Этот протокол, ранее известный как ESNI (Encrypted Server Name Indication), направлен на усиление конфиденциальности при установке HTTPS-соединений.
At least since #MICRO2024 I'm loving the idea of walking talks at scientific conferences. It's so good to get a view, some air and nature between sessions. So here we are at the Environment and Climate Research Hub Retreat (https://ech.univie.ac.at/) #ECH @univienna, enjoying half an hour's exercise before diving in again into our #biodiversity #climatechange #pollution topics
