Titikey
ГлавнаяTitikey**Обновление AdGuard 7.5: полный разбор технологии ECH и усиление конфиденциальности в интернете**

**Обновление AdGuard 7.5: полный разбор технологии ECH и усиление конфиденциальности в интернете**

07.07.2026
Многие считали HTTPS абсолютно безопасным, но AdGuard сделал ещё один шаг к полной приватности. В обновлении 7.5 (версия для Windows — 7.17, для Android и Mac — CoreLibs того же уровня) появилась **экспериментальная поддержка Encrypted ClientHello (ECH)**, которая закрывает последнюю брешь в шифровании. Кроме того, AdGuard научился фильтровать DNS-over-HTTPS на лету на всех устройствах. Если вас беспокоит, что провайдер видит, какие сайты вы посещаете, это обновление стоит вашего внимания.

Что такое ECH и почему его называют «последним кусочком пазла» конфиденциальности?

Когда вы открываете любой сайт по HTTPS, браузер сначала «здоровается» с сервером — это сообщение ClientHello в процессе TLS-рукопожатия. Проблема в том, что даже при полном шифровании содержимого страницы в этом первом «привете» **открытым текстом передаётся домен, к которому вы обращаетесь** (Server Name Indication, SNI). Ваш провайдер, администратор Wi-Fi в аэропорту или даже злоумышленник в соседней сети видят, что вы заходите на `example.com`. Они не знают, что вы там делаете, но сам факт посещения — тайна, раскрытая всем. ECH решает эту проблему: он шифрует весь ClientHello так, что только ваш браузер и целевой сервер могут его расшифровать. Посредники видят лишь, что вы подключились к узлу CDN, поддерживающему ECH, но какой именно сайт — остаётся загадкой. Проще говоря, ECH делает HTTPS полностью зашифрованным от первого до последнего пакета.

Как работает ECH в AdGuard 7.5? Глобальное шифрование без привязки к браузеру

Раньше ECH полагался только на браузеры — например, экспериментальные опции в Chrome или Firefox, и то только если сайт его поддерживает. AdGuard пошёл другим путём: перехватывает трафик на системном уровне. В журнале изменений Android-версии разработчики даже пошутили: «Первый шаг к поддержке ECH — научиться его "подавлять"». Дело в том, что внутри AdGuard есть переключатель `pref.dns.block.ech`, который в паре с `pref.https.redirect.doh` сначала блокирует нативные ECH-запросы, а затем сам AdGuard создаёт новое соединение, уже действительно поддерживающее ECH. Таким образом, **любое приложение на смартфоне, любой браузер — если трафик проходит через AdGuard, он получает преимущество ECH**, не дожидаясь обновления от разработчика. Версии для Windows 7.17 и Mac 2.10 также получили эту экспериментальную функцию. Чтобы ECH работал корректно, AdGuard впервые **включает DNS-фильтрацию по умолчанию**. Причина проста: параметры шифрования для ECH берутся из DNS-записей типа HTTPS. Если не использовать собственный DNS-модуль AdGuard, получить эти параметры для глобального шифрования на локальном уровне невозможно.

Как проверить, работает ли ECH: три простых шага

AdGuard предлагает максимально простой способ проверки:
  1. В расширенных настройках убедитесь, что опция Block ECH отключена, а DNS-защита включена.
  2. Включите экспериментальный параметр Use Encrypted ClientHello (в Windows и Android он находится в разделе «Расширенные настройки», в Mac — в настройках «Сеть»).
  3. Откройте сайт crypto.cloudflare.com/cdn-cgi/trace – если вы видите sni=encrypted, или перейдите на www.cloudflare.com/ssl/encrypted-sni/ – если там отображается SSL_ECH_STATUS: success, значит ECH успешно активирован.
Если тест не прошёл, не спешите расстраиваться. Пока ECH требует поддержки со стороны сервера (большинство сайтов Cloudflare её уже включили). Кроме того, из-за экспериментального статуса функция иногда может немного замедлять загрузку страниц — разработчики уже работают над оптимизацией.

Не только ECH: мгновенная фильтрация DoH и масштабное обновление движка

Обновление AdGuard 7.5 принесло гораздо больше, чем просто ECH. Фильтрующий движок CoreLibs обновился с v1.12.80 до v1.14.59, получив несколько серьёзных улучшений:
  • Фильтрация DNS-over-HTTPS на лету: раньше фильтрация DoH-запросов была пассивной. Теперь AdGuard в реальном времени перехватывает и перенаправляет безопасные DNS-запросы на локальный прокси, не давая DoH-запросам обойти фильтр. Любое приложение, пытающееся использовать шифрованный DNS для ухода от блокировок, будет остановлено.
  • ECH GREASE и извлечение параметров: из перехваченных DNS-запросов HTTPS извлекается конфигурация ECH, а в трафик добавляются значения GREASE. Это не даёт промежуточным узлам, не поддерживающим ECH, мешать работе, а сами ECH-соединения становятся стабильнее.
ГлавнаяМагазинЗаказы