Мы столкнулись с этой проблемой на собственном сервере: сайт периодически не открывался у части посетителей из России, при этом никаких ошибок на самом сервере не было — ни в логах nginx, ни в логах приложения. Подключение просто рвалось на этапе установления соединения, ещё до того, как запрос доходил до веб-сервера. Разбираем, в чём была причина и как мы её устранили.
Симптом: сайт работает, но не у всех. Характерная особенность этой проблемы — она не похожа на обычную аварию. Сервер отвечает, нагрузка в норме, базы данных и PHP работают штатно. Но часть пользователей получает таймаут или бесконечную загрузку страницы, причём именно на этапе HTTPS-соединения — до того, как браузер успевает получить хотя бы один байт ответа. Перезагрузка сервера, смена хостинга или проверка конфигурации веб-сервера в такой ситуации ничего не дают, потому что проблема не на стороне сервера.
Причина: фильтрация TLS 1.3 на уровне ТСПУ. В 2026 году в России активно применяется фильтрация трафика на уровне технических средств противодействия угрозам (ТСПУ) — оборудования, установленного у провайдеров для анализа и блокировки трафика. Один из побочных эффектов этой фильтрации — частые ложные срабатывания на соединениях, использующих TLS 1.3, особенно если включены связанные технологии шифрования метаданных запроса (ECH/ESNI). Система глубокой инспекции пакетов не блокирует сайт целиком, а обрывает именно зашифрованное соединение на этапе TLS-рукопожатия. Важно: ваш сайт при этом не заблокирован Роскомнадзором в привычном смысле — проблема носит технический, а не юридический характер.
Решение: временный откат на TLS 1.2. Самый быстрый и проверенный способ восстановить доступность — временно ограничить набор поддерживаемых протоколов только TLS 1.2, отключив TLS 1.3 на сервере. Для nginx это правка директивы ssl_protocols в конфигурации сайта: ssl_protocols TLSv1.2; После изменения конфигурации нужно проверить синтаксис и перезапустить nginx: nginx -t && systemctl reload nginx. Мы применили именно это решение, и доступность сайта для российских пользователей восстановилась.
Что важно понимать про это решение. Это компромисс, а не постоянное исправление. Откат на TLS 1.2 решает проблему доступности здесь и сейчас, но не следует включать его на постоянной основе без необходимости: TLS 1.3 быстрее устанавливает соединение и считается более защищённым протоколом. Имеет смысл вернуть поддержку TLS 1.3, как только ситуация с фильтрацией нормализуется. Также не стоит отключать устаревшие TLS 1.0 и TLS 1.1 ради совместимости — эти версии считаются небезопасными независимо от ситуации с блокировками.
Как понять, что у вас именно эта проблема. Если жалобы на недоступность сайта приходят преимущественно от пользователей из России, на сервере нет ошибок, а сайт нормально открывается через VPN или с других стран — это весомый сигнал в сторону фильтрации TLS, а не реальной аварии на сервере.
Технологии
Сайт не открывается из России из-за TLS 1.3: как мы это исправили
17.06.2026
4 мин
Если сайт периодически не загружается у части посетителей из России, а на сервере всё в порядке — причина может быть в фильтрации TLS 1.3 на уровне ТСПУ. Показываем, как мы временно вернули доступность через откат на TLS 1.2.