Только релевантная информация. Без обсуждений, мнений, оценочных суждений. Обсуждение: Обсуждение: Блокировка (замедление) ECH Cloudflare

5 ноября произошла блокировка соединений, использующих TLS Encrypted ClientHello (ECH).

Cloudflare использует один и тот же внешний (скрывающий SNI) домен cloudflare-ech.com для всех сайтов, которые включили поддержку ECH.
Блокировка осуществляется, если в пакете ClientHello установлен SNI = cloudflare-ech.com и есть ECH extension
Только лишь SNI = cloudflare-ech.com без ECH extension не блокируется, как и ECH grease без SNI = cloudflare-ech.com.

Фильтр применяется к HTTP2 (TCP) и HTTP3 (QUIC)-соединениям.

ТСПУ «замораживает» соединение сразу после получения ClientHello, а не разрывает его на уровне TCP или каким-то более подходящим образом. Из-за этого браузер понимает, что соединение сломано, только спустя примерно минуту.

Спецификация ECH вроде как запрещает переустанавливать соединение с нешифрованным SNI в случае ошибок, но в Firefox 131 сайты с ECH открываются без ECH через минуту «загрузки» — открывается новое соединение с plain SNI, а старое закрывается. Причину не знаю, возможно, это из-за того, что у меня отключён DNS-over-HTTPS, но ECH всё равно используется.