183.2
Rating
ITSumma
Собираем безумных людей и вместе спасаем интернет
8 October 2019

Если у вас отвалятся сертификаты Let's Encrypt, то в этом виноват Роскомнадзор со своими блокировками по IP

ITSumma corporate blogInformation SecurityNetwork technologiesLegislation in IT
На днях сообщество обратило внимание, что IP-адреса Letsencrypt.org попали в реестр запрещенных сайтов Роскомнадзора. Конкретно речь идет об адресах 142.93.108.123 и 167.99.129.42. Это означает, что сертификаты Let's Encrypt тоже будут заблокированы на территории Российской Федерации, если на подобных IP-адресах будет размещен API сервиса.

Однако все не так просто: Роскомнадзор не банил Letsencrypt.org. Возможно, ведомство даже не в курсе о существовании подобной организации, однако вышло так, что сервис стал получать IP-адреса, которые ранее уже были внесены в реестр. То есть мы столкнулись с отложенной проблемой блокировок по IP — получением забанненых адресов честными ресурсами.

Пока на новые IP переехал только веб-сайт компании, однако ситуация может усугубиться, если на них перейдет и API Let's Encrypt.

В качестве проверки мы дигнули letsencrypt.org с нашего питерского сервера:

# dig A letsencrypt.org

; <<>> DiG 9.9.4-RedHat-9.9.4-51.el7_4.2 <<>> A letsencrypt.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60567
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;letsencrypt.org. IN A

;; ANSWER SECTION:
letsencrypt.org. 7 IN A 167.99.129.42


Как видите, сайт «сидит» на заблокированном IP-адресе. Из Иркутска нам возвращался уже совершенно другой IP, кстати, тоже заблокированный.

Вообще, вся эта история началась еще в 2017 году, когда суд вынес несколько постановлений о блокировки доступа к нескольким ресурсам. Вот что нам говорит Роскомсвобода:



Обратите внимание на дату внесения в реестр сайтов. Самая ранняя запись — от 2016 года, когда ведомство ограничило доступ к ресурсу primedice.com. Это анонимное криптовалютное казино. Вообще по запросу ФНС айпишников тогда побанили богато:



На этом же IP позже были замечены еще одно криптовалютное онлайн-казино, зеркало букмекерских контор, страница со стихами о любви и смерти и какой-то криминальный документ, где, видимо, были некие сомнительные инструкции или призывы к чему-либо. Все они были внесены в реестр уже в 2019 году.

Ситуация с тем, что Роскомнадзор банит по IP все подряд, в том числе и целые подсети, не нова. Вопрос в том, что заблокированных IP-адресов и целых подсетей уже стало так много, что под раздачу попадают вполне себе приличные сайты. Еще одна возможная причина проблем — переезд Let's Encrypt несколько дней назад от Akamai Technologies, Inc. к Digital Ocean. Посмотреть можно тут.



Какого-либо оптимистичного прогноза в этой ситуации нет: надежда на то, что в Роскомнадзоре одумаются и осознают, что блокировка по IP бесполезное занятие, пока слаба. Иностранные же компании никогда не начнут работать с оглядкой на этот реестр — не настолько важен и велик рынок РФ для того, чтобы двигаться в этом направлении.
Tags:РКНLetsencryptбаныбанIPблокировки
Hubs: ITSumma corporate blog Information Security Network technologies Legislation in IT
+69
26.3k 18
Comments 109
IT-рекрутер
from 45,000 to 70,000 ₽ITSummaRemote job
Information
Founded

12 September 2008

Location

Россия

Website

itsumma.ru

Employees

101–200 employees

Registered

24 November 2009