From 372d28880676a3bc7bd6adb68db8fbfd0861e87d Mon Sep 17 00:00:00 2001
From: lie-must-die <liemustdie@icloud.com>
Date: Sun, 19 Apr 2026 12:49:54 +0300
Subject: [PATCH] =?UTF-8?q?=D0=94=D0=BE=D0=B1=D0=B0=D0=B2=D0=B8=D1=82?=
 =?UTF-8?q?=D1=8C=20=D0=B0=D0=BB=D1=8C=D1=82=D0=B5=D1=80=D0=BD=D0=B0=D1=82?=
 =?UTF-8?q?=D0=B8=D0=B2=D1=83=20=D0=B4=D0=BB=D1=8F=20unknown=5Fsni=5Factio?=
 =?UTF-8?q?n?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

Добавлена альтернатива для поведения telemt на неизвестный SNI.
---
 docs/FAQ.ru.md | 7 +++++++
 1 file changed, 7 insertions(+)

diff --git a/docs/FAQ.ru.md b/docs/FAQ.ru.md
index 73a2ba4..9b1ec52 100644
--- a/docs/FAQ.ru.md
+++ b/docs/FAQ.ru.md
@@ -227,6 +227,13 @@ curl -s http://127.0.0.1:9091/v1/users | jq
 unknown_sni_action = "mask"
 ```
 
+Альтернатива: если вы хотите, чтобы telemt на неизвестный SNI вёл себя как обычный nginx с `ssl_reject_handshake on;` (отдавал TLS-alert `unrecognized_name` и закрывал соединение), используйте:
+```toml
+[censorship]
+unknown_sni_action = "reject_handshake"
+```
+Это не пропускает старых клиентов, но делает поведение на 443-м порту неотличимым от стокового веб-сервера, у которого просто нет такого виртуального хоста.
+
 ## Как посмотреть метрики
 
 1. Откройте файл конфигурации: `nano /etc/telemt/telemt.toml`.