29 сентября Роскомнадзор, следуя решению Октябрьского районного суда г. Ставрополя от 2013 года, внес IP-адрес 93.184.220.29 в реестр запрещенных сайтов. Данное решение суда обязывает заблокировать сайты и мобильные приложения некоторых букмекерских контор, и если с блокировкой веб-сайтов все очевидно, то, по всей вероятности, с ограничением работоспособности приложений эксперты Ставропольской прокуратуры (от их имени было подано исковое заявление) сталкивались впервые, и просто задекларировали все IP-адреса, к которым обращалось приложение в момент запуска, включая адреса CRL (списка отзыва сертификатов) и серверов OCSP (сервер проверки состояния сертификатов) глобальных удостоверяющих центров, которые используются для шифрования по протоколу HTTPS.

Скриншот сайта eais.rkn.gov.ru

Об этом решении суда стало известно благодаря блокировке ссылок на файлы CRL Comodo в июле этого года («Роскомнадзор заблокировал самого себя и некоторые сайты правительства (Comodo)» от BupycNet), теперь же в реестр внесен адрес, принадлежащий другому удостоверяющему центру — Digicert.
$ host crl3.digicert.com
crl3.digicert.com is an alias for cs9.wac.phicdn.net.
cs9.wac.phicdn.net has address 93.184.220.29

$ host ocsp.digicert.com
ocsp.digicert.com is an alias for cs9.wac.phicdn.net.
cs9.wac.phicdn.net has address 93.184.220.29
Так, при попытке открыть сайты, использующие сертификаты Digicert, в Firefox и Chrome, вы столкнетесь с 3 или 10-секундной задержкой из-за невозможности проверки статуса сертификата, или вовсе лицезреть ошибку в браузерах, которые не позволяют открыть сайт в случае проблем проверки сертификата на отозванность (Safari на OS X).

Автор и комментаторы сайта shortcut.ru в заметке “Почему на Маке не работает Facebook”? отмечают неработоспособность Facebook.com и Github.com в Safari с 3 октября и предлагают отключить проверку отзыва в настройках ОС.
X509v3 Subject Alternative Name: 
    DNS:*.facebook.com, DNS:*.facebook.net, DNS:*.fb.com, DNS:*.fbcdn.net, DNS:*.fbsbx.com, DNS:*.m.facebook.com, DNS:*.messenger.com, DNS:*.xx.fbcdn.net, DNS:*.xy.fbcdn.net, DNS:*.xz.fbcdn.net, DNS:facebook.com, DNS:fb.com, DNS:messenger.com
X509v3 CRL Distribution Points: 

    Full Name:
        URI:http://crl3.digicert.com/sha2-ha-server-g5.crl

    Full Name:
        URI:http://crl4.digicert.com/sha2-ha-server-g5.crl

Запись в реестре на сайте Роскомсвободы
Поделиться с друзьями
-->

Комментарии (63)


  1. lopatoid
    08.10.2016 15:36
    +1

    > и предлагают отключить проверку отзыва в настройках ОС.
    Это же открывает facebook для атаки MITM?
    По-моему уж лучше посоветовать что-то вроде antizapret.prostovpn.org


    1. ValdikSS
      08.10.2016 15:38
      +5

      Это же открывает facebook для атаки MITM?
      Для этого злоумышленнику еще нужно завладеть сертификатом для домена facebook.com от какого-то глобального удостоверяющего центра.


      1. KostaArnorsky
        11.10.2016 12:18

        От StartCom, например: https://geektimes.ru/post/281188/


    1. Utopia
      08.10.2016 15:41
      +19

      и снова выбор сортов вазелина!


      1. snuk182
        11.10.2016 12:25

        #ОчередьСПятницы


  1. navion
    08.10.2016 16:13
    +1

    Это CDN Verizon, похожая фигня была с виндой из-за блокировки Akamai.



  1. dmitry_ch
    08.10.2016 16:22
    +2

    У меня один вопрос — они там в реестре этом хоть как-то смысл проверяют, что вносят в него?

    Если я напишу претензию, что мой контент украли, и укажу адресом сайта дословно «0.0.0.0/0», и суд примет решение, что я прав — они тупо внесут в фильтры 0/0, или все же голову включат?


    1. sumanai
      08.10.2016 16:49
      +2

      > У меня один вопрос — они там в реестре этом хоть как-то смысл проверяют, что вносят в него?
      Не имеют права по идее, если блочат по решению прокуратуры или суда.
      Впрочем, та же википедия в реестре чуть ли не с основания, и ничего, просто не выгружают провайдерам, хотя формально в реестре. Так же будет и с 0.0.0.0/0, сразу после того, как весь интернет в России поляжет.


      1. Silvatis
        08.10.2016 19:14

        был бы юристом — давно бы попробовал сделать что то подобное, тонкостей не знаю увы) неплохое развлечение на выходные.


        1. nidalee
          08.10.2016 20:10

          Ну попробуйте. Юристом быть не обязательно, если выигрыш не принципиален.


        1. servermen
          09.10.2016 12:38

          Может есть знакомые?
          Я бы хотел посмотреть на такой спектакль.


      1. Temych
        09.10.2016 13:27
        +1

        Один раз выгрузили провайдерам на блокировку всю Википедию (из-за внесения по https) по решению Черноярского районного суда Астраханской области за статью «Чарас». Правда блокировали только одну ночь. Но тем не менее.


        1. kogemrka
          09.10.2016 18:31
          +1

          На самом деле интересно, как с юридической точки зрения кривые блокировки откатываются?

          Я совершенно не разбираюсь в этом вопросе, но, как мне кажется (поправьте меня, если я ошибаюсь):

          1. О факте блокировки, наложенной мухосранским районным судом владельцы сайта зачастую узнают не на момент оглашения решения суда, а на момент непосредственно наложения блокировки роскомнадзором, который может произойти через некоторое время после.
          2. Есть какая-то процедура для того, чтобы оспорить блокировку наложенную самим роскомнадзором, но для того, чтобы снять блокировку, наложенную судом, видимо, нужно подать апелляцию, причём от лица владельца сайта (кажется, какая-то хитрая история связанная с этим была с Лурком).

          Подача апелляции, выигрыш суда и прочее ведь не за день и не за неделю делаются, тем не менее, в резонансных случаях (когда блокируют википедию, лютую кучу сервисов по одному IP и т.д.) проблему решают относительно быстро (на пару порядков медленнее, чем хотелось бы, но всё равно, кажется, быстрее, чем в судебном порядке).

          Как это проводится с формальной, юридической точки зрения? У какого-то органа есть полномочия сказать «обожемой, решение вот этого суда дурацкое» и отменить его? Или роскомнадзор имеет право в каких-то обстоятельствах решения суда игнорировать?


          1. Temych
            09.10.2016 19:54
            +2

            1. Не зачастую, а всегда. Такие решения региональными судами по заявлению местных прокуроров принимаются без участия ответчика — представителя самого интернет-ресурса, чем нарушается процессуальный регламент. Потом спустя месяц-два-три эти решения попадают в Роскомнадзор, когда сроки апелляции уже истекли и они вносят в реестр и начинают блокировку, если хостер и сайт не удалил некую новозапрещенную инфу, а зачастую и в принципе свою деятельность.
            2. Да, приходится подавать апелляцию в вышестоящий суд с просьбой либо возвратить дело в нижестоящий суд, либо оспорить на ранг выше. При этом надо ехать представителю сайта именно в тот регион, где состоялось решение. И даже если он удачно обжалует, то никто не гарантирует, что через неделю уже суд в другом регионе примет решение по запрету этого же сайта — и надо будет ехать уже туда и обжаловать его. Абсурд и круговой беспредел.

            РКН не имеет право игнорировать решения суда, но может принять решение, что тот или иной сайт исполнил решение суда — и исключить его из-под блокеировки.


            1. kogemrka
              09.10.2016 20:02

              РКН не имеет право игнорировать решения суда, но может принять решение, что тот или иной сайт исполнил решение суда — и исключить его из-под блокеировки.


              Как предполагается «исполнить решение суда» удостоверяющему центру или подсети CDN? Удостоверяющий центр, очевидно, не является букмекерской конторой и, очевидно, чисто физически не может убрать строчки кода, обращающиеся по их IP адресу из букмекерского приложения.

              Получается, что роскомнадзор может не блокировать, но намеренно не пользуется этим правом?


              1. Temych
                09.10.2016 20:09
                +1

                В данном случае чувствую всё же самоуправство РКН, очень-очень редко, когда в тексте суда присутствуют IP-адреса.
                РКН, да, зачастую и превышает свои полномочия по блокировке.


  1. General_Failure
    08.10.2016 16:37
    +2

    У меня с этим роскомпозором своя шумелка-мышь завелась
    Дети смотрят мультик «Новаторы», в нём поют «А ты изобрети, а ты изобрети»
    Мне сначала слышалось «А ты им запрети»


  1. miksoft
    08.10.2016 16:53

    А прописывание 72.21.91.29 ocsp.digicert.com в файле hosts не решает проблему?


    1. SagePtr
      08.10.2016 17:13

      Не решает. Это каждый юзер в России должен прописывать в hosts на каждом устройстве адрес, чтобы у него там нормально работали сайты, использующие этот удостоверяющий центр. Это временный костыль для одной-единственной машины и одного-единственного адреса, но никак не решение проблемы.


      1. sumanai
        08.10.2016 17:50

        Можно по идее прикреплять ответ OCSP на сервере, а сервер пусть ходит через любой общедоступный VPN.


      1. am_devcorp
        08.10.2016 19:40

        так банят же по ip, а не по домену


        т.е. даже если у меня в хостс прописан домен с заблокированным ip, то я на него всё равно попасть не смогу


        1. ValdikSS
          08.10.2016 19:46
          +3

          Уже меньшинство провайдеров блокируют по IP, если в реестре домен или URL. Если сайт заблокирован по домену, то DPI отслеживает заголовок Host в HTTP-запросе или SNI в HTTPS handshake, и не имеет значения, пропишете вы его в hosts или запросите через DNS.

          https://github.com/ValdikSS/blockcheck/wiki/Типы-DPI


          1. Fedcomp
            08.10.2016 20:15

            А если SNI не указан?


            1. ValdikSS
              08.10.2016 20:19
              +2

              Либо блокируют запрос, либо разрешают. Зависит от провайдера.


  1. chumric
    08.10.2016 17:12
    +7

    Когда же они отстрелят себе ноги


    1. mxms
      08.10.2016 18:50
      +4

      Лучше голову. Или что там у них на её месте…


    1. kogemrka
      08.10.2016 22:17
      +3

      Уже успешно это делали (https://geektimes.ru/post/278804/)
      Выглядит, как будто это такая принципиальная позиция — целенаправильно гулять прямо по максимально очевидным граблям и ничему не учиться.


      1. scarab
        09.10.2016 10:35

        А как ещё можно показать недалёким, но упёртым личностям весь кретинизм их действий?
        РКН в данном случае — организация подневольная: сказал суд Нижнеурюпинска заблокировать — значит, заблокировать. Скрупулёзно выполнять каждый шаг — это, по смыслу, итальянская забастовка.


        1. Ziptar
          09.10.2016 17:38

          Ну да, ну да. Успокаивайте себя и оправдывайте их. Конечно.
          РКН ничем не лучше ЛБИ. А то и хуже местами.


        1. navion
          09.10.2016 17:48
          +1

          В некоторых случаях они проявляют удивительную инициативу.


        1. kogemrka
          09.10.2016 21:14
          +2

          Скрупулёзно выполнять каждый шаг — это, по смыслу, итальянская забастовка.


          Если организация с тремя тысячами сотрудников, труд которых оплачивается целиком и полностью на деньги налогоплательщиков начинает косплеить однострочный скрипт на bash-е, копирующий ip адрес из одного места и вставляющий тот же самый адрес в другое — без какой-либо фильтрации, обработки, обратной связи, взаимодействия с кем-либо и т.д., это называется не «забастовка», это называется «дармоедство».


  1. Xalium
    08.10.2016 18:31
    +1

    Кто бы предложил создателям этих приложений в список запросов внести IP страницы (или что там) РКН, по которой происходит выгрузка списка. А потом, если суд добавит этот IP в список запрещенных, наезжать на РКН, с какого фига они его не блокируют.


  1. Googolplex
    08.10.2016 18:36
    +5

    Так вот почему гитхаб стал тормозить! А я думаю, чего он и с рабочего, и с домашнего интернета стал медленно открываться…


    1. zelenin
      08.10.2016 18:41

      вот, как раз хотел это спросить. около недели начал тормозить гитхаб. страница открывается по минуте. иногда сразу. 50 на 50.


  1. QWhisper
    08.10.2016 18:44

    Интересно, что наступит раньше кончатся адреса IP v.4, или их все забанит РКН?


    1. mxms
      08.10.2016 18:51
      +1

      Это вы намекаете, что IPv6 банить заколебёшься? :-)


      1. am_devcorp
        08.10.2016 19:44
        +1

        Хм. Даже если эти красавчики начнут банить сразу целые /64, то это всё равно капля в море. Я считаю, что стоит сразу забанить весь ipv6 (нет)


        1. ladsinger
          08.10.2016 20:00

          если одному сайту даётся один айпишник (неважно в каком диапозоне 4 или 6) — как это меняет картину мира?


          1. ValdikSS
            08.10.2016 20:01
            +2

            Сайт может взять какой-то другой IP из своей /64-подсети, или назначить их сразу несколько на один домен.


            1. sumanai
              08.10.2016 22:31
              +3

              За что человека минусанули? Всё правильно говорит. Hurricane Electric бесплатно выдаёт сразу две подсети /64, а по одному клику мыши ещё одну /48.
              То, что некоторые хостеры выдают IPv6 поштучно, их не красит (камень в огород моего хостера ihor, 4 штуки IPv6 это издевательство над здравым смыслом).


              1. ValdikSS
                08.10.2016 22:56
                +1

                Крупные сайты, вроде Google, считают, что вся /64-подсеть принадлежит одному клиенту, т.к. RIPE рекомендует выделять не менее одной /64 конечным пользователям и выдавать любое дополнительное количество /64 или сеть больше по запросу.

                Как сказал один хороший человек:

                You're absolutely correct, and a /112 per dedi is top silliness, and a sure sign that someone somewhere doesn't understand IPv6. Even giving out a /112 per VPS is questionable and can lead to various issues, but per a dedicated server, there's simply no excuse.


                1. sumanai
                  09.10.2016 00:51
                  +2

                  > Even giving out a /112 per VPS
                  Знал бы этот хороший человек, что некоторые выдают 4 по запросу (дальше платно), то есть даже не /126, а в абы какой последовательности, совсем бы потерял веру в человечество.


                  1. ValdikSS
                    09.10.2016 12:36

                    Вообще, как я понимаю, это не всегда хостеры такие злые, это могут быть ограничения со стороны панелей, которые они используют. В OpenVZ + SolusVM относительно недавно только появилась возможность назначить подсеть IPv6-адресов, а не одиночный адрес, и далеко не все хостеры пользуются обновленной версией и OpenVZ, и SolusVM. С ISPManager еще какие-то подобные проблемы имеются.


              1. NSA
                09.10.2016 09:03

                камень в огород моего хостера ihor

                Почему он всё ещё ваш хостер? Полно же в интернете вариантов.


                1. sumanai
                  09.10.2016 14:45
                  +1

                  IPv6 не является моим приоритетом, да и по сути у меня два сайта там, остальное тестовые площадки, поживут и на одной IPv6 так же, как и живут на одном IPv4.


                  1. NSA
                    09.10.2016 14:48

                    Уверен, что и цены там повыше, чем у какого-нибудь Хетцнера, который даёт нормальную /64 IPv6.


                    1. sumanai
                      09.10.2016 15:18
                      +1

                      Я в своё время по новогодней акции брал самый дешёвый VPS на год за ~186 рублей в месяц (1 ядро, 1 ГБ ОП, 20 ГБ SSD). Сейчас 225 пришлось платить.
                      Плюс площадка в России имеет намного более низкие пинги.
                      Если мне понадобится ворох IPv6, я просто подключу туннельного брокера.


                      1. NSA
                        09.10.2016 18:26

                        Ну, да, на Хетцнере чуть дороже. Сейчас за 1 ГБ ОП, 25 ГБ SSD плачу 3.9 евро.


                    1. Ziptar
                      09.10.2016 17:42

                      Я вот крутил впс на хетзнере одно время — пинг до него был просто катастрофический, при этом второй впс на том же хетзнере в то же время — всё ок.


                      1. NSA
                        09.10.2016 18:25

                        Сейчас пропинговал свою впс-ку на хетцнере: пинг 95-100 мс.


                        1. sumanai
                          09.10.2016 18:42

                          Мои результаты на российском хостинге:
                          Минимальное = 18мсек, Максимальное = 24 мсек, Среднее = 20 мсек
                          Так что мой выбор- Россия, если это возможно.


    1. sim31r
      08.10.2016 21:02
      -1

      Они введут белые списки на IP. А лучше, белые списки на информацию вообще, не совпала контрольная сумма документа, удаляется провайдером на лету )))


  1. Plone
    08.10.2016 22:01

    И ведь дай дураку ружо…


  1. foxyrus
    08.10.2016 22:26
    +3

    Подскажите, что за блокировка https://putinism.wordpress.com/ Как блокируется? Под VPN и с других провайдеров ОК. Под Ростелеком не открывается. В реестре сайта нет.


    1. wing_pin
      10.10.2016 11:21
      +1

      Неугодное мнение же.


    1. Pakos
      10.10.2016 12:19

      Личная инициатива, у меня открывается без всяких.


      1. foxyrus
        10.10.2016 13:46

        Через Ростелеком и Chrome? Ростелеком говорит что не блочит, tracert ping нормальные, но сайт открывается у меня только через другого провайдера или VPN.


        1. Pakos
          10.10.2016 14:25

          ТТК. Именно поэтому и пишу про личную инициативу: ТТК очень оперативно блочит, а тут нет.


  1. KOLANICH
    09.10.2016 00:16
    +1

    Грустно будет, когда какой-нибудь суд обяжет РКН заблокировать УЦ за то, что они используют криптографическое ПО, на которое нет сертификата, без лицензии на этот вид деятельности. Маразм конечно, но я не удивлюсь, если так оно и будет.


  1. antonvn
    09.10.2016 00:26
    +1

    Ждем блокировки 0.0.0.0/0


    1. Ziptar
      09.10.2016 17:43

      С нетерпением. Это будет шоу.


  1. SilverHorse
    09.10.2016 18:04

    Пользуясь случаем — а с Яндексом ни у кого нет проблем? Старая Опера и новая лиса одновременно перестали открывать его, ругаясь на тему «OCSP responce was too old», причем началось это тоже вчера, одновременно с жалобами на тормоза стима и гитхаба в чате. Проверки показывают, что с сертификатами и обслуживающими серверами у Яндекса и Certum все должно быть в порядке, тем не менее, через моего провайдера Яндекс не работает, а через японский VPN все отлично. Причем в лисе я обнаружил это только сейчас, отключив Фригейт.