Начнем с очень простой инструкции
Что делать в Google Chrome (и прочих браузерах на основе Chromium ): Зайдите в «Настройки» (Settings). Выберите слева раздел «Конфиденциальность и безопасность» (Privacy and security). Нажмите на «Безопасность» (Security). Проверьте, чтобы была включена опция «Использовать безопасный DNS-сервер» (Use secure DNS). В выпадающем меню «Выбрать поставщика услуг DNS» (Select DNS provider) воспользуйтесь любым предустановленным вариантом. Откройте сайт meduza.io. Покажите Зайдите в «Настройки» (Settings) в верхнем правом углу
Выберите слева раздел «Конфиденциальность и безопасность» (Privacy and security)
Нажмите на «Безопасность» (Security)
Проверьте, чтобы была включена опция «Использовать безопасный DNS-сервер» (Use secure DNS). В выпадающем меню «Выбрать поставщика услуг DNS» (Select DNS provider) воспользуйтесь любым предустановленным вариантом
Что делать в Mozilla Firefox: Зайдите в «Настройки» (Settings). Выберите слева раздел «Приватность и защита» (Privacy & Security). Внизу страницы найдите «DNS через HTTPS» (DNS over HTTPS). Выберите там «Повышенную защиту» (Increased Protection) или «Максимальную защиту» (Max Protection). Откройте сайт meduza.io. Покажите Зайдите в «Настройки» (Settings) в верхнем правом углу Выберите слева раздел «Приватность и защита» (Privacy & Security) Внизу страницы найдите «DNS через HTTPS» (DNS over HTTPS). Выберите там «Повышенную защиту» (Increased Protection) или «Максимальную защиту» (Max Protection) Что мы только что сделали и почему это работает?А теперь — чуть подробнее. Как сейчас блокируется доступ к интернет-сайтам?Самыми разными способами. Например, это может быть блокировка по доменному имени сайта. Или по IP-адресам серверов, на которых размещены нежелательные сайты. Если на хостинге по одному или нескольким IP-адресам размещаются много разных сайтов, то интернет-цензор все равно может выборочно блокировать отдельные ресурсы. Даже если используется HTTPS-протокол, то есть соединение между браузером и сайтом зашифровано. Все дело в том, что браузер в самом первом сообщении (Client Hello) в открытом виде передает данные о домене открываемого сайта. Его можно найти в Server Name Indication (SNI) — расширении криптографического протокола TLS. Именно таким образом Роскомнадзор организует замедление YouTube: определяет по SNI обращение к сервису — и перестает пропускать пакеты с данными при достижении определенного лимита. Что такое Encrypted Client Hello?Это новая технология, разработка которой еще не завершена. Формально она описана пока только в виде черновика интернет-стандарта. Но ее уже поддерживают все основные веб-браузеры. Encrypted Client Hello (ECH) шифрует информацию о запрашиваемом домене, которая раньше передавалась в открытом виде через SNI, и прочие метаданные TLS-соединения. Осенью 2023 года компания Cloudflare ненадолго включила поддержку ECH в своей сети доставки контента. Но вскоре запретила использовать технологию без подробного объяснения причин. А осенью 2024-го — снова позволила клиентам использовать ECH. А зачем нужно менять настройки DNS?Во-первых, чтобы сведения о запрошенных доменах тоже шифровались, а не передавались в открытом виде. В противном случае интернет-цензор может заблокировать доступ к сайту по DNS: перестанет разрешать запросы к определенным доменным именам или начнет перенаправлять их на другие сайты. Во-вторых, современные DNS-серверы поддерживают новые типы записей, описанные в RFC 9460. Именно через такие записи распространяются ключи шифрования, необходимые ECH для сокрытия доменного имени в SNI и прочих метаданных. То есть сайты, использующие ECH, невозможно заблокировать?К сожалению, не совсем так. Интернет-цензор всегда может просто заблокировать весь хостинг и DNS-сервисы, поддерживающие механизм ECH. Но у такого решения будут свои издержки в виде попутной блокировки сайтов, доступ к которым не планировалось ограничивать. Для выборочной же блокировки соединений с конкретными сайтами придется ориентироваться на некоторые косвенные признаки. Если цензор сможет выявить корреляцию между такими признаками и запрещенными сайтами, то индивидуальная блокировка снова сможет стать эффективной. Как узнать, точно ли мой браузер поддерживает ECH?Можно пройти в вашем браузере тест, созданный Cloudflare. Или загрузить аналогичную страницу от разработчиков DEfO — проекта для продвижения поддержки ECH в OpenSSL . Как понять, пользуется ли конкретный сайт ECH?Проект DEfO создал отдельный инструмент для оценки использования сайтами ECH. Нужно только ввести нужное доменное имя в соответствующее поле. Или поискать его в предыдущих результатах проверки. Можно также самостоятельно проверить DNS-записи сайта, например, воспользовавшись сервисом Google. В качестве типа записи нужно выбрать HTTPS. И на открывшейся странице поискать «ech=» с последующей длинной строкой символов: это необходимые параметры для Encrypted Client Hello в кодировке base64. Если у вас браузер Mozilla Firefox, вы можете установить расширение OhMyECH — ECH Indicator. Оно добавит в адресную строку индикатор, который позволит установить факт использования ECH. Кроме того, опытные пользователи могут захватить трафик на своем устройстве и проанализировать его в Wireshark . Начиная с версии 4.2.0, он умеет отфильтровывать сообщения с ECH.