Russische Zensurbehörde blockiert Cloudflare wegen Verschlüsselungsoption

Russische Webseiten-Betreiber und -Nutzer sollen Abstand von Diensten des US-Anbieters Cloudflare nehmen, empfiehlt die Zensur- und Aufsichtsbehörde Roskomnadzor. Grund dafür ist die Einführung einer TLS-Erweiterung namens Encrypted Client Hello (ECH) durch Cloudflare. Die russische Aufsichtsbehörde sieht dadurch die Sicherheit im Land gefährdet, da sie nun bestimmte Webseiten nicht mehr blockieren kann. Deswegen blockiert sie rundheraus alle von Cloudflare ausgelieferten Webseiten mit ECH.

Dessen Nutzung sei gesetzeswidrig und verstoße gegen "Technische Maßnahmen zur Bekämpfung von Bedrohungen" ("техническими средствами противодействия угрозам"), so Rozkomnadzor in einer Mitteilung. Die ECH-Erweiterung verschlüsselt den Domainnamen beim Aufruf einer Webseite per HTTPS so, dass mithorchende Firewalls oder Zensurstellen diesen nicht mehr einsehen können, sondern lediglich eine generische Domain (im Falle Cloudflares "cloudflare-ech.com") ermitteln. Sie ersetzt das unsichere SNI (Server Name Indication), das diesen Domainnamen unverschlüsselt zwischen Client und Server übertrug.

Die Cloudflare-ECH-Domain blockieren russische Provider nun, sofern ein zweites Kriterium ebenfalls zutrifft: Die ECH-Protokollerweiterung ist gesetzt. Trifft eines der beiden Kriterien nicht zu, so lassen die russischen Zensurmechanismen das Paket passieren. Damit sind alle über Cloudflares CDN (Content Delivery Network) ausgelieferten Webseiten inner- und außerhalb Russlands potenziell betroffen.

Auswirkungen unklar

Wie groß die Auswirkungen dieser Blockade sind, ist unklar: Cloudflare hat auf eine Anfrage der heise-Redaktion bislang nicht geantwortet. Wir werden diese Meldung ergänzen, sobald eine Stellungnahme aus San Francisco eingeht.

Nicht alle Browser unterstützen derzeit ECH. So ist die Protokollerweiterung bei Firefox standardmäßig ab Version 119, in Googles Chrome-Browser ab Version 117 aktiviert. Auch Microsofts auf Chromium basierender Edge-Browser kommt mit ECH zurecht, Safari derzeit aber offenbar nicht.

Russische Firmen in Zugzwang

Wer ein CDN benötige, möge sich nach einem inländischen Anbieter umsehen, so Roskomnadzors wenig überraschender Vorschlag. Um sich gegen DDoS-Angriffe zu schützen, könne man auf das "Nationale System zur Abwehr von DDoS-Angriffen" zurückgreifen, verspricht die Behörde.

Cloudflare-Kunden in Russland stehen jetzt vor der Wahl, wie von RKN "vorgeschlagen" auf ein inländisches CDN umzusteigen oder die TLS-Erweiterung für ECH zu deaktivieren. Das ist hingegen für Nutzer kostenloser Cloudflare-Konten nicht möglich, denn der Anbieter versteckt die entsprechende Option offenbar hinter einem kostenpflichtigen Zusatzmodul namens "Advanced Certificate Manager". Im Selbstversuch fanden wir beim heise-Security-Testkonto lediglich einen Schalter, um TLS 1.3 zu deaktivieren. Das bewirkt zwar ebenfalls eine Abschaltung von ECH, bringt jedoch weitere Sicherheitsnachteile mit sich und will gut überlegt sein.

Russische Unternehmen und Experten äußerten sich gegenüber der Wirtschaftszeitung RBK unterschiedlich. So habe Cloudflare in Russland einen Marktanteil bei CDNs von 44 Prozent, schätzte Evgeny Martynov von RU-Center IT. Es gebe aber gute russische Alternativen. Der Geschäftsführer eines russischen CDN-Anbieters konstatierte gar, die meisten russischen Webseitenbetreiber hätten sich Anfang 2022 bereits von Cloudflare zurückgezogen. Er spielt damit auf den völkerrechtswidrigen russischen Angriffskrieg gegen die Ukraine an, der im Februar 2022 begann und breite westliche Sanktionen nach sich zog.

Anderen Quellen zufolge sei gerade das Gratis-Angebot von Cloudflare nach wie vor recht beliebt in Russland. Den großen Funktionsumfang des amerikanischen CDN-Anbieters vollständig zu ersetzen, werde für manche Nutzer aufwendig und teuer, glaubt zudem ein Manager des russischen Providers Selectel.

(cku)