Comments 109
Чебурнет наступает не сразу. Сначала вы глотаете это, потом то, а в конце уже и не замечаете, что сварились. Или замечаете, но терпите.

Многие используют различные средства для обхода блокировок, поэтому могут даже не заметить без подобных новостей, что что то новое заблокировали.

Если браузер будет проверять сертификат (списки отзыва), обращаясь на заблокированный ИП адрес, то страдать будет любой браузер любого пользователя, совсем любой из тех, кто зашёл на сайт с сертификатом https, выданным сервисом.


Задача автообновления сертификата с хостинга на территории РФ тоже упадетб это будет заметно всем.

Задача автообновления сертификата с хостинга на территории РФ тоже упадетб это будет заметно всем.


Если быть точным — не всем, а админам.
А потом браузеры всех счастливых посетителей тоже почему-то начнут показывать странные предупреждения
А потом браузеры всех счастливых посетителей тоже почему-то начнут показывать странные предупреждения


И это уже владельцы сайтов будут предъявы кидать веб-разработчикам.
А веб-разработчики просто переключатся на другие сертификаты.
Но исходная проблема никого кроме технических специалистов не интересует.
Когда владелец сайта узнает, что стоимость поддержки выросла из-за блокировки РКН, которая устарела 2 года назад, он несколько возмутится. Когда таких возмутившихся станет N тысяч, кто-то из них обратится в суд на РКН с неплохим шансом на положительное решение.

Не будьте наивным. Куча людей уже потеряла много денег из-за РКН, судиться с ними бесполезно в наших реалиях. А цена сертификата настолько копеечная для бизнеса, что никто даже не зачешется.

Когда владелец сайта узнает, что стоимость поддержки выросла из-за блокировки РКН, которая устарела 2 года назад, он несколько возмутится.

Бесплатный сертификат LetsEncrypt vs Платный сертификат за 1000 рублей в год?
Вы серьезно?
Досудебные блокировки сайтов в России — это однозначно цензура.

Ведомства, которые это могут сделать:
МВД, ФСКН, Роспотребнадзор, Росмолодёжь (список дополняется).

Т.е. без решения суда, непонятно кто может заблокировать любой сайт.

Чтобы поменять это необходимо полностью исключить досудебные блокировки, а рассмотрение дел в судах только с представителями ресурсов.

Но в целом я уверен, что современные разработки по обходу цензуры всё равно победят Роскомнадзор. Там нет и никогда не будет таких профессионалов как в цензурных ведомствах Китая, а в Китае всё равно можно зайти на заблокированный ресурс.

Из последнего: DNS-over-HTTPS и eSNI, которые при глобальном внедрении полностью исключат блокировки по доменам, а погоня по IP-адресам приведёт к тому к чему привела попытка заблокировать Телеграм: к пуку Жарова)

Т.е. прогноз оптимистичный.

рассмотрение дел в судах только с представителями ресурсов

— то есть просто не приходишь в суд и твой сайт никогда не заблокируют?

Если одна из сторон не является в суд без уважительной причины (уважительную причину, например болезнь, еще надо подтвердить документально), дело рассматривается без этой стороны. Оно вроде везде так.
В некоторых случаях еще могут обеспечить принудительную явку в суд.

Это всё понятно. Но Reeze предлагал запретить суды без представителей ресурса, а значит и всякие обходные причины типа болезни.
Я честно говоря вообще не понимаю зачем блокировать сайты/мессенджеры. Нужно же искать преступников, которые занимаются на них незаконной деятельностью, и их наказывать.
Нужно же искать преступников, которые занимаются на них незаконной деятельностью, и их наказывать.

Это сложно, проще высечь море
Это всё понятно. Но Reeze предлагал запретить суды без представителей ресурса, а значит и всякие обходные причины типа болезни.

Значит, будет


могут обеспечить принудительную явку.

Хотя для какой-то категории дел исключение из правил никто делать не будет, а для многих вопросов (например, финансовых) возможность бесконечно откладывать решение неприемлема.


Я честно говоря вообще не понимаю зачем блокировать сайты/мессенджеры. Нужно же искать преступников, которые занимаются на них незаконной деятельностью, и их наказывать.

В разных случаях поичины разные.
Если речь об авторских и смежных правах, то ответ очевиден.
Правообладателям важнее предотвратить доступ, чем наказать нарущителя (хотя от наказания нарушителя они тоже не откажутся).
В случае вербовки террористов, пропаганды запрещенных идей и распространения запрещенного контента (та же ДП), государство декларирует необходимость пресечения распространения незаконного контента на тех же основаниях, что и необходимость пресечения любых других незаконных действий.
Если грубо в аналогию, то вы предлагаете не запирать двери и не охранять ничего, а ловить тех, кто украл.
Отнесение деятельности к незаконной (в том числе распространение матеоиалов определенного характера) — это отдельный вопрос по каждому виду деятельности и по каждому виду информации.

Наказание виновных предполагает и удаление незаконных материалов, так что правообладатели будут удовлетворены. А если просто прикрыть айпишник, то ничего не помешает преступнику его сменить и заниматься наркоторговлей/вербовкой/раздачей аниме дальше.
И да, я бы хотел жить в мире, где не надо ничего охранять, потому что вора в случае чего гарантировано поймают и обяжут возместить мне потерянное + компенсацию, а значит и воровать смысла нет.

Я думаю что у тех, у кого есть действительно вредный контент, и такip могут часто меняться.
Просто ркн заблокировал адрес и считает что всё, дело сделано. А на адресе давно нет ничего противозаконного

Я бы тоже хотел жить в таком мире.
Но пока люди способны на абсолютно бессмысленные поступки, будут кражи даже в условиях гарантированной поимки.
Да и аозместить может быть просто не с чего (все продано, деньги пропиты).
Так что пока придется охранять, а сайты, отказывающиеся убирать запрещенный контент, придется блокировать.
Другой вопрос — методы блокировки и их результативность.
Но это уже про вопрос как блокировать, а не про саму необходимость блокировки.
Ну и основания для блокировки (вопрос признания контента незаконным) — тоже отдельный вопрос. Но это уже к законодателям.

а значит и всякие обходные причины типа болезни.

XXI век на дворе, видеосвязь уже не фантастика.
А вот то, что ответчиками зачастую являются иностранные ресурсы, которые слышать не слышали про такую деревню как Россия, и не будут тратить своё время на какие-то там суды, приводит к тому, что ресурсы блокируются навсегда без права обжалования. Вполне ведь можно назначать ответчиком какую-нибудь общественную организацию, связанную с работой интернета в целом.
Я уж молчу про вариант отмены блокировок из-за кучи их недостатков и отсутствующих достоинств.
| а значит и всякие обходные причины типа болезни.
XXI век на дворе, видеосвязь уже не фантастика.

Если больной без сознания, видеосвязь не поможет.
А присутствие бесчувственного тела в суде — так себе вариант явки.
Да и плохо соображающий от боли и/или лекарств — тоже вариант не очень.

Только вот надо обязать суд добросовестно уведомлять ответчика. И выдавать судьям волшебного пенделя после пары нарушений, а то они уже в край обалдели от безнаказанности. У меня так знакомая пострадала, потому что дело рассмотрели в ее отсутствие. Суд, видите ли, отправил (но, не факт), письмо по месту регистрации, которое не актуально уже пол года. И ее оштрафовали за долги по коммуналке по квартире, которую она пол года назад как продала. Заблокировали счета, списали с них деньги, создали геморрой.


Зачем в таком случае вообще нужна регистрация по месту жительства и госрегистрация сделок с недвижимостью, решительно не понятно.


Никакой ответственности за свою преступную халатность судья, естественно, не понес.

Чем был "Комсомол" в советское время, я и так в курсе, в текущем контексте так и напрашивается что-то новое, до кучи что и коммунистическим он быть не сможет уже

Ждем Роскомсомол?

Ну пионеров же вернули из небытия.
Кстати, интересно, а Володя у них на значках тот же, классический, или современная версия?
>Роскомсомол?

Уже есть. Называются «кибердружины», форсятся уже давно пресловутой «Лигой безопасного Интернета» не без поддержки сверху, а с недавних пор сверху ещё и публично, а также официально одобряемы:

www.bbc.com/russian/news-46074279
meduza.io/cards/v-rossii-hotyat-uzakonit-kiberdruzhinnikov-oni-budut-pomogat-sazhat-za-memy
3dnews.ru/977670
vigilant.myverdict.org/files/cyber-cossacks
(один из сайтов, хвалятся достижениями) www.kiberdruzhina.ru
www.kiberdruzhina.ru

Любопытства ради открыл… И закрыл тут же. Сайт на Джумле (дайте угадаю — они шаблон покупали?), с заблокированной на сайте правой кнопкой мыши, с неработающей ссылкой «Новости»… РосДетСад несерьезно как-то…
Как говорил знакомый комсомольский активист, не потерявший, на тот момент, еще совести «у тебя своя отчетность, у меня — своя». У этих, наверное, тоже?

Благодаря тщательному мониторингу интернета, проводимому кибердружинниками, были выявлены и заблокированы сотни сайтов ...

Это оттуда же. А чего его мониторить, просто пишешь в гугле «самоубийство» и выдачу с десятка страниц сразу в отчет вставляй — и так со многими словами!
Судя по всему, тот, кто делал этот сайт, сам нехило поугорал над этим.
Консоль разработчика браузера

Ладно хоть сайт по http работает: понимают, что лишний раз DPI грузить не нужно, а на сайте все равно ничего полезного (что нужно защищать от перехвата) нет.
При невозможности блокировок по черным спискам просто перейдут к белым спискам — все сайты обязаны зарегистрироваться в специальном реестре, всё что не в реестре — запрещено.
При текущих возможностях РФ белые списки равносильны практически полному отключению интернета.
Да что там, даже Китай в белые списки не смог, хотя они к осуществлению этой заманчивой возможности находятся сильно ближе.

Другой вариант — внедрение гос. сертификата, но и его пока нигде нет.

В текущей ситуации — да, но так постепенно-постепенно заблокированных адресов будет становиться больше, и однажды само-собой доступными останутся только сайты из белого списка.
К чему и стремились.
Из последнего: DNS-over-HTTPS и eSNI, которые при глобальном внедрении полностью исключат блокировки по доменам, а погоня по IP-адресам приведёт к тому к чему привела попытка заблокировать Телеграм: к пуку Жарова)

Т.е. прогноз оптимистичный.


Но вот совсем же недавно проскочила новость про то, что Mozilla прогнется под Великобританию и не будет эти технологии для них использовать в Firefox.
Не совсем так. Они просто не будут включать её по умолчанию в UK. Включить DOH в настройках можно будет в любой стране.
Т.е. прогноз оптимистичный.

А вы оптимист.
Но в целом я уверен, что современные разработки по обходу цензуры всё равно победят Роскомнадзор.

Никакие способы обхода не могут работать при отсутствующих каналах связи, увы.
Ага, а судебные, значит божья роса? Суды в этом ничего не понимают и автоматически запрещают любые присланные им ресурсы, максимум, «советуясь» с экспертами тётеклавой и дядемишей.
Но в целом я уверен, что современные разработки по обходу цензуры всё равно победят Роскомнадзор. Там нет и никогда не будет таких профессионалов...
Т.е. прогноз оптимистичный.
А может дело не в профессионализме? Сертификаты — бизнес, ВПН — бизнес. Кто-то получает хорошие прибыли из-за такой «непрофессиональной и глупой» работы РКН…
Если сервер не в РФ, то проблем с получением сертификата в letsencrypt не будет, да и других проблем не будет, которые РКН устраивает в РФ

Спойлер — пока IP вашего сервера не попадёт под удар РКН
Но если ваши клиенты тоже не находятся в РФ, то и в таком случае пролем у вас не возникнет.
Встречал упоминания (2018) о некоторых проблемах — когда трафик шел через РФ транзитом — он почему-то мог попадать под фильтрацию, так вот внезапно некоторые соседи по Европе узнали, что роскомнадзор есть и блочит.

Именно. Правда, пока трафик до/из ДЦ в РФ не блокируется РКН, но это пока.

Я немного играл с виртуалками под собственные разработки. И в Российских датацентрах не сильно то и фильтруют. Точнее ещё не разу на фильтр не попал. Думаю, это пока великий и могучий не развернул управление сетями из одной точки.

это пока корявости процесса
блокировать доступ к запрещенным ресурсам должны ISP, к ним в основном и возникают вопросы от органов по яровым, внедрениям сормов и прочим установкам ркновских «ревизоров» для проверки доступности заблокированных ресурсов.
Но услуги хостинга, колокейшна и прочих цодов и виртуалок — это не ISP, не телематика и не связь.
Поэтому пока и не блокируют
Все таки на хабре, думаю как на русскоязычном ресурсе, все таки большинство (или как минимум половина) работает в сегменте Российских клиентов, и заведомо ФЗ по хранению персональных данных не чужд.
По этому вариант с зарубежными сервервами исключается для большинства, и совет немного странный.
заведомо ФЗ по хранению персональных данных не чужд.

Вариант не хранить ПД в ИС — не вариант?
Где, блин, механизм разблокировки автоматической, если больше нет инкриминируемого ресурса на этом адресе?
В вашем варианте любой заблокированный ресурс сможет просто прыгать между 2 одними и теми же IP-адресами раз в сутки, и смысл блокировок исчезнет полностью.

Другой вопрос, что должен быть какой-то простой механизм апелляции «это теперь мой IP, вот мои документы, вот мой договор с дата-центром». Если ты обманщик и на самом деле аффилирован с тем же заблокированным ресурсом — ну и отлично, сразу обоих спалят. Иначе сейчас это похоже на коллекторов, которые исправно ждут у двери, в то время как дом должника уже давно снесён и на его месте построен торговый центр.
коллекторов, которые бьют по голове всех, заходящих в торговый центр, построенный на месте дома должника…

Как блокировка сайта letsencrypt.org может заблокировать уже выпущенные сертификаты? Роскомнадзор не в состоянии удалить корневые сертификаты с наших компьютеров. Блокировка сайта может только усложнить выпуск и обновление сертификатов.

Letsencrypt сертификаты выдает на относительно короткий срок, стандартная процедура — периодически запускаемый скрипт, автоматически тянущий обновленный серт с серверов letsencrypt.

Если сервера недоступны, сертификат протухает… PROFIT!

let's encrypt выдает сертификат на 3 месяца. за месяц до его окончания они начинают яростно напоминать письмами, мол, чо-то у вас поломалося, скорей чините и обновляйте сертификат. А уж за месяц можно и как-то порешать вопрос.

Единственное, что спасает в этом случае — то, что письма они шлют от имени своего домена, но с адресов сервис-провайдера. Иначе эти письма были бы точно также заблокированы (ибо блокировка по ip режет и почту), если ваша почта не хостится вне России.

Естественно почту со служебными письмами о хосте/домене надо держать за пределами этого хоста/домена.

А мне почему-то яростно не напоминают…
У них есть какой-то ЛК?

А это интересный троллинг по нынешним временам — давать ссылку на недоступную документацию в статье о блокировке сайта целиком. Если что — вот ленивый метод обхода блокировки этой страницы.
Если нет доступа до let's encrypt, зачем вам от него документация?

Ну и если честно, цели троллить не было. Что нагуглилось первым, то и линканул.
Как вариант, использовать сервис по получению LE сертификатов «от внешних источников», см. пример регистратора Porkbun. Т.е., оттуда просто периодически скачивать комплект файлов сертификата и не связываться с его получением «на месте».

Отдельно, конечно, встанет вопрос безопасности (бо и приватный ключ тоже хранится в таком сервисе), но так или иначе будет вопрос доверия к такому сервису.

Главное — не рассказывайте Роскомнадзору про существование IPv6


$ ping -c 2 -4 letsencrypt.org
PING letsencrypt.org (167.99.137.12) 56(84) bytes of data.
From zapret.hoztnode.net (92.63.108.22) icmp_seq=1 Destination Host Prohibited
From zapret.hoztnode.net (92.63.108.22) icmp_seq=2 Destination Host Prohibited

--- letsencrypt.org ping statistics ---
2 packets transmitted, 0 received, +2 errors, 100% packet loss, time 1001ms

$ ping -c 2 letsencrypt.org
PING letsencrypt.org(2a03:b0c0:3:e0::1b:1 (2a03:b0c0:3:e0::1b:1)) 56 data bytes
64 bytes from 2a03:b0c0:3:e0::1b:1 (2a03:b0c0:3:e0::1b:1): icmp_seq=1 ttl=57 time=42.7 ms
64 bytes from 2a03:b0c0:3:e0::1b:1 (2a03:b0c0:3:e0::1b:1): icmp_seq=2 ttl=57 time=42.4 ms

--- letsencrypt.org ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 42.455/42.610/42.766/0.258 ms
Но шанс того, что IPv6 блок который у let's-ов заблокируют, гораздо меньше. Правда если не включать ковровые бомбардировки телеграма, тут наука бессильна.

Это уже рабочий механизм? А сколько может среднее железо держать таблиц? А можно ли ipv6 блокировать подсетями бельше, чем рекомендовано на пользователя(не сильно владею данным вопросом, но там вроде как выдаётся сразу подсеть, а не 1ip)?

но там вроде как выдаётся сразу подсеть, а не 1ip

Зависит от хостера или провайдера. Айхор, к своему стыду, даёт целых 4 адреса, а рекомендуемая подсеть /64 будет стоить дороже, чем всё имущество на планете Земля.
Не знаю насколько рабочий, потому что да, упирается все в емкость таблиц и производительность. Насколько мне известно, ввиду отсутствия массового внедрения v6 на последней миле все вяло подзабили.

sarcasm on
Это лишний раз говорит о необходимости иметь собственные науиональные сертификаты, они никогда не будут заблокированы РКН
sarcasm off

«Пропал дом… Что теперь будет с паровым отоплением?!» (с) Булгаков.
ведомство даже не в курсе

Не исчерпывающее, но хорошее краткое объяснение принципов работы Роскомнадзора.
Млять, у меня все сайты лягут, если в один момент выпуск сертификатов с серверов РФ будет заблокирован…
Как я понимаю, если у меня сайт располагается за пределами РФ и OCSP Stapling включён, то сертификат при этом не отвалится у российских юзеров из-за отвалившейся проверки сертификата на наличие в списке отозванных? Или всё равно останутся точки отказа?
Или всё равно останутся точки отказа?

Конечно, трансграничные кабели перережут, и до вашего ресурса не достучаться.
Конечно, трансграничные кабели перережут, и до вашего ресурса не достучаться.
При таком раскладе — интернета в России не будет вообще (максимум — большая локальная сеть со «стабильностью» и полной стагнацией). Я же рассматриваю вариант в ситуации, пока в стране интернет всё ещё доступен.

Вопрос хороший, но мне кажется его надо расширить не только на LE, а на любой сертификат, ибо в РФ, вроде нет собственных корневых центров. Т.е. любой сертификат с OCSP Stapling потенциально может испытывать проблемы.

НЛО больше не заботится?
Плохо то что сертификаты там на 90 дней выдаются. Придётся через tor походу превыпускать.

На самом деле телеграм-боты у многих так и работают. Через тор и прочие тунели


Да сейчас вообще без тунелей для обновлений тяжело. Вон недавно блокировали ресурсы откуда качает pip, не мог из-за этого обновить софтину одну


Но самый смешной случай был когда в одной гос.конторе у VMware сломался верификатор лицензий из-за РКН и им пришлось по-быстро обходить блокировки, иначе виртуалки не поднимались)

На самом деле телеграм-боты у многих так и работают. Через тор и прочие тунели

На самом деле — нет. Через хостинг вовне РФ.
Оффтоп
Это садизм, делать шапку похожей на стереокартинку! Я минут 5 пытался разглядеть что там :(
Самое интересное, что там на самом деле нет парусника (просто набор геометрических фигур — можете поставить на паузу и проверить).
Коллеги, вы специально забыли про то, что сертификаты выдаются по API, которое вообще не там?

Не забыли:


ситуация может усугубиться, если на них перейдет и API Let's Encrypt.
А сейчас просто нельзя зайти на сайт и почитать документашку.
И кстати, коллеги, вы же написали офийциальный запрос в Роскомнадзор «Какого дьявола»? Можно посмотреть, я хочу его в канал опубликовать.
Ну вот у меня есть подозрение. Я думаю, что самое время написать
Блин. Вот почему вчера на клиентском VPS, между прочим на рекламируемом здесь RU VDS, не смог запуститься Lets Encrypt. А я голову ломаю. А что теперь делать-то?
Маловероятно. API должно работать. Причин почему не взлетело — миллион
Only those users with full accounts are able to leave comments. Log in, please.
Information
Founded

12 September 2008

Location

Россия

Website

itsumma.ru

Employees

101–200 employees

Registered

24 November 2009