РКН рекомендует отказаться от CloudFlare

Роскомнадзор призвал владельцев информационных ресурсов отказаться от использования CDN-сервиса CloudFlare и перейти на отечественные аналоги. Это связано с тем, что в октябре CloudFlare начал применять на своих серверах расширение TLS ECH (Encrypted Client Hello). Данная технология помогает получать доступ к запрещенной в России информации, что нарушает российское законодательство. 

Сервис Cloudflare неожиданно внедрил шифрование заголовка SNI (Server Name Indication) — это новшество делает невозможным определение, к какому сайту происходит подключение через HTTPS. И если обычные пользователи скорее обрадовались — на короткое время они получили доступ к ряду ранее заблокированных сайтов, использующих Cloudflare, то Роскомнадзор практически сразу ввел ограничения в отношении тысячи сайтов, использующих эту технологию шифрования.

«Эта технология – средство обхода ограничений доступа к запрещенной в России информации. Его использование нарушает российское законодательство и ограничивается техническими средствами противодействия угрозам (ТСПУ)», — прокомментировали блокировку в ведомстве. 

Кроме того, Роскомнадзор настоятельно порекомендовал всем владельцам информационных ресурсов отключить расширение, напомним, что представители CloudFlare присутствовали на встречах с Госдепом США, на которых обсуждалось комплексное и организованное противодействие странам, активно защищающим свой информационный суверенитет.  

В ведомстве добавили, что надежное и безопасное функционирование ресурсов и защиту от компьютерных атак могут обеспечить российские CDN-сервисы. Например, Национальная система противодействия DDoS-атакам (НСПА), которая с марта 2024 года смогла отразить более 10,5 тыс. DDoS-атак на различные организации страны. 

Как отмечает директор по информационным технологиям RU-CENTER Евгений Мартынов, рекомендации Роскомнадзор звучат вполне логично — несмотря на преимущества CDN-сервиса CloudFlare, используемая в нем технология ECH позволяет обходить ограничения на доступ к заблокированным или запрещенным ресурсам. При этом вероятность полной или частичной недоступности сайтов, использующих этот сервис, вполне вероятна — по словам Мартынова, общее число сайтов в зоне .ru, использующих сервис CloudFlare, составляет порядка 11%. 

По словам технического эксперта по кибербезопасности АО «ЦИКАДА» Георгия Беликова, массовый отказ от CloudFlare может иметь серьезные последствия. Прежде всего, сайты на отечественных CDN могут испытывать проблемы в регионах с недостаточной инфраструктурой, что увеличит время загрузки и ухудшит пользовательский опыт. Переход на новые CDN также может создать проблемы с доступом для зарубежных пользователей и негативно сказаться на международной репутации сайтов. Эксперт обращает внимание, что некоторые отечественные CDN не всегда могут обеспечить достаточную защиту от DDoS-атак и других киберугроз, что повышает риск атак. 

«Российский рынок предлагает решения как от крупных, так и мелких провайдеров. Перед переходом важно проводить анализ и тестирование. Миграция с CloudFlare может быть сложной, поэтому требуется тщательная подготовка и планирование», — говорит эксперт. 

В качестве практических шагов для миграции Беляков рекомендует оценить возможности альтернативных CDN с учетом требований к производительности и безопасности, проверить работу сайта на новых CDN для исключения возможных проблем, при необходимости адаптировать конфигурацию сайта. Для минимизации рисков эксперт советует переключать трафика на новый CDN поэтапно.