Как остаться на связи · Общество

Теперь «Новую-Европа» можно с легкостью читать из России без VPN 

Рассказываем, как это сделать, несмотря на все старания Роскомнадзора

Новая газета Европа

Фото: Bernd Wüstneck / dpa / Scanpix / LETA

Несмотря на бесконечные попытки Роскомнадзора ограничить доступ российских пользователей к информации из независимых источников, в интернете появилось техническое решение, позволяющее обойти блокировки без использования VPN. Оно основано на технологии Encrypted Client Hello (ECH) и изменении настроек DNS в вашем браузере.

Рассказываем, как быстро и легко обходить блокировки, чтобы читать «Новую газету Европа» и многие другие СМИ, запрещенные в России.

Что такое Encrypted Client Hello (ECH) и чем он полезен?

Механизм ECH появился благодаря коллективным усилиям экспертов в области интернет-безопасности и протоколов.

Основную работу по разработке и стандартизации ECH выполнила группа TLS (Transport Layer Security) в рамках Internet Engineering Task Force (IETF). В частности, значительный вклад в разработку вложили инженеры одного из крупнейших в мире хостинг-провайдеров Cloudflare и компания Mozilla (которая создала веб-браузер Firefox).

Основная идея состоит в том, что механизм шифрует самое первое «сообщение-приветствие» между устройством пользователя и сервером сайта, что позволяет сохранять в секрете имя посещаемого сайта. То есть эта технология дополнительно защищает идентификационные данные посещаемых нами сайтов. Если раньше любой посредник мог смотреть, к какому сайту вы обращаетесь, при использовании ECH эту информацию увидит только сервис, предоставляющий услугу (в данном случае — Cloudflare).

ECH, который появился в версии TLS 1.3, решает проблему утечки информации. Ранее для этой цели использовалось расширение под названием Server Name Indication (SNI), которое позволяло серверу обслуживать несколько доменов на одном IP-адресе. Однако SNI передавало имя домена в открытом виде, что позволяло посредникам (например, провайдерам или цензорам) отслеживать, какие сайты посещает пользователь, даже при использовании HTTPS.

В профессиональной среде разговоры о необходимости внедрения подобных технологий шли уже более трех лет, напоминает проект «Сетевые Свободы». Стандарт ECH утвердили еще в октябре 2020-го, в том же году Минсвязи РФ подготовило законопроект о запрете «массового использования протоколов шифрования». Впрочем, его так и не приняли, что специалисты связывают с невозможностью запретить технологию. Тем временем в Китае с 2020 года блокируют весь зашифрованный трафик, который проходит через TLS 1.3 или ESNI.

Предварительная подготовка:

  • Сервер публикует специальную запись в DNS, содержащую открытый ключ для ECH.
  • Клиент (браузер) получает эту запись при запросе DNS.

Установление соединения:

  • Клиент генерирует симметричный ключ и шифрует его открытым ключом сервера.
  • Клиент также шифрует настоящее имя сервера (и другие расширения ClientHello) этим симметричным ключом.

Отправка зашифрованного ClientHello:

Клиент отправляет два варианта ClientHello:

  • внешний (незашифрованный) с фиктивным именем сервера;
  • внутренний (зашифрованный) с настоящим именем сервера.

Обработка на сервере:

  • Сервер пытается расшифровать внутренний ClientHello.
  • Если успешно, он использует информацию из внутреннего ClientHello.
  • Если нет, он отвечает на внешний ClientHello.

Завершение рукопожатия:

  • После успешной расшифровки TLS-рукопожатие завершается как обычно, но с использованием зашифрованной информации.

Преимущества нового метода

Он прост: не нужно устанавливать дополнительное ПО.

В отличие от многих VPN-сервисов, этот метод полностью бесплатен.

Он не замедляет скорость интернета, как это часто бывает с VPN.

Он повышает уровень анонимности вашей онлайн-активности.

Фото: Russell Cheyne / REUTERS / Scanpix / LETA

Как воспользоваться ECH?

Google Chrome и другие браузеры на базе Chromium

  1. Откройте «Настройки» в браузере (откройте браузер и нажмите на его название в верхнем левом углу, там вы увидите раздел «Настройки»).
  2. Перейдите в раздел «Конфиденциальность и безопасность» в колонке слева.
  3. Выберите «Безопасность».
  4. Активируйте опцию «Использовать безопасный DNS-сервер» (снизу в разделе «Дополнительные»).
  5. В меню «Выбрать поставщика услуг DNS» выберите любой предложенный вариант.
  6. Откройте /

В Chrome ECH включен по умолчанию с версии 117.

Mozilla Firefox:

  1. Зайдите в «Настройки» браузера.
  2. Выберите «Приватность и защита».
  3. Прокрутите вниз до пункта «DNS через HTTPS».
  4. Выберите «Повышенную защиту» или «Максимальную защиту».
  5. Попробуйте открыть /

В Firefox механизм включен по умолчанию с версии 119.

Таким образом, при изменении настроек DNS ваш браузер начинает использовать технологию TLS Encrypted Client Hello, которая шифрует информацию о посещаемых доменах, защищая ее от систем блокировки.

«Мы надеемся, что со временем другие последуют нашему примеру, что приведет к более конфиденциальному интернету для всех. Чем больше провайдеров будут поддерживать ECH, тем сложнее станет кому-либо следить за действиями пользователей в сети», — отмечает Cloudflare.

Вы можете проверить, поддерживает ли ваш браузер ECH, на сайте Cloudflare. Чтобы узнать, использует ли конкретный сайт эту технологию, можно воспользоваться инструментом DEfO для доменов либо проверить DNS-записи сайта через сервис Google (ищите "ech=" в записях типа HTTPS, например, так).

Фото: Patrick Seeger / EPA

А ECH не заблокируют?

Полного доступа к заблокированным сервисам этот метод не гарантирует.

Теоретически, системы блокировки могут отключить весь хостинг и DNS-сервисы, поддерживающие ECH, хотя это и приведет к побочным эффектам. Поскольку на Cloudflare приходится около 15% всего интернет-трафика, Роскомнадзору пришлось бы заблокировать миллионы других ресурсов, чтобы закрыть доступ к Cloudflare из-за независимых СМИ. А это, в свою очередь, грозит недовольством в обществе.

Тем не менее РКН может попытаться использовать для блокировки DPI (Deep Packet Inspection — технологию анализа сетевых пакетов для регулирования трафика). Насколько это осуществимо, пока неизвестно.

Как еще можно читать «Новую газету Европа»

На случай совсем темных времен мы храним на сайте все ссылки на наши материалы в формате PDF — их можно открывать без VPN.

Кроме того, «Новая газета Европа» начала использовать удобный способ борьбы с цензурой Роскомнадзора — так называемую «волшебную ссылку», или magic link. Вы всегда можете открыть главную страницу нашего сайта по ссылке без VPN — http://bit.ly/novayaeu.