Об этом решении суда стало известно благодаря блокировке ссылок на файлы CRL Comodo в июле этого года («Роскомнадзор заблокировал самого себя и некоторые сайты правительства (Comodo)» от BupycNet), теперь же в реестр внесен адрес, принадлежащий другому удостоверяющему центру — Digicert.
$ host crl3.digicert.com
crl3.digicert.com is an alias for cs9.wac.phicdn.net.
cs9.wac.phicdn.net has address 93.184.220.29
$ host ocsp.digicert.com
ocsp.digicert.com is an alias for cs9.wac.phicdn.net.
cs9.wac.phicdn.net has address 93.184.220.29
Так, при попытке открыть сайты, использующие сертификаты Digicert, в Firefox и Chrome, вы столкнетесь с 3 или 10-секундной задержкой из-за невозможности проверки статуса сертификата, или вовсе лицезреть ошибку в браузерах, которые не позволяют открыть сайт в случае проблем проверки сертификата на отозванность (Safari на OS X).Автор и комментаторы сайта shortcut.ru в заметке “Почему на Маке не работает Facebook”? отмечают неработоспособность Facebook.com и Github.com в Safari с 3 октября и предлагают отключить проверку отзыва в настройках ОС.
X509v3 Subject Alternative Name:
DNS:*.facebook.com, DNS:*.facebook.net, DNS:*.fb.com, DNS:*.fbcdn.net, DNS:*.fbsbx.com, DNS:*.m.facebook.com, DNS:*.messenger.com, DNS:*.xx.fbcdn.net, DNS:*.xy.fbcdn.net, DNS:*.xz.fbcdn.net, DNS:facebook.com, DNS:fb.com, DNS:messenger.com
X509v3 CRL Distribution Points:
Full Name:
URI:http://crl3.digicert.com/sha2-ha-server-g5.crl
Full Name:
URI:http://crl4.digicert.com/sha2-ha-server-g5.crl
Запись в реестре на сайте Роскомсвободы
Комментарии (63)
dmitry_ch
08.10.2016 16:22+2У меня один вопрос — они там в реестре этом хоть как-то смысл проверяют, что вносят в него?
Если я напишу претензию, что мой контент украли, и укажу адресом сайта дословно «0.0.0.0/0», и суд примет решение, что я прав — они тупо внесут в фильтры 0/0, или все же голову включат?sumanai
08.10.2016 16:49+2> У меня один вопрос — они там в реестре этом хоть как-то смысл проверяют, что вносят в него?
Не имеют права по идее, если блочат по решению прокуратуры или суда.
Впрочем, та же википедия в реестре чуть ли не с основания, и ничего, просто не выгружают провайдерам, хотя формально в реестре. Так же будет и с 0.0.0.0/0, сразу после того, как весь интернет в России поляжет.Silvatis
08.10.2016 19:14был бы юристом — давно бы попробовал сделать что то подобное, тонкостей не знаю увы) неплохое развлечение на выходные.
Temych
09.10.2016 13:27+1Один раз выгрузили провайдерам на блокировку всю Википедию (из-за внесения по https) по решению Черноярского районного суда Астраханской области за статью «Чарас». Правда блокировали только одну ночь. Но тем не менее.
kogemrka
09.10.2016 18:31+1На самом деле интересно, как с юридической точки зрения кривые блокировки откатываются?
Я совершенно не разбираюсь в этом вопросе, но, как мне кажется (поправьте меня, если я ошибаюсь):
1. О факте блокировки, наложенной мухосранским районным судом владельцы сайта зачастую узнают не на момент оглашения решения суда, а на момент непосредственно наложения блокировки роскомнадзором, который может произойти через некоторое время после.
2. Есть какая-то процедура для того, чтобы оспорить блокировку наложенную самим роскомнадзором, но для того, чтобы снять блокировку, наложенную судом, видимо, нужно подать апелляцию, причём от лица владельца сайта (кажется, какая-то хитрая история связанная с этим была с Лурком).
Подача апелляции, выигрыш суда и прочее ведь не за день и не за неделю делаются, тем не менее, в резонансных случаях (когда блокируют википедию, лютую кучу сервисов по одному IP и т.д.) проблему решают относительно быстро (на пару порядков медленнее, чем хотелось бы, но всё равно, кажется, быстрее, чем в судебном порядке).
Как это проводится с формальной, юридической точки зрения? У какого-то органа есть полномочия сказать «обожемой, решение вот этого суда дурацкое» и отменить его? Или роскомнадзор имеет право в каких-то обстоятельствах решения суда игнорировать?Temych
09.10.2016 19:54+21. Не зачастую, а всегда. Такие решения региональными судами по заявлению местных прокуроров принимаются без участия ответчика — представителя самого интернет-ресурса, чем нарушается процессуальный регламент. Потом спустя месяц-два-три эти решения попадают в Роскомнадзор, когда сроки апелляции уже истекли и они вносят в реестр и начинают блокировку, если хостер и сайт не удалил некую новозапрещенную инфу, а зачастую и в принципе свою деятельность.
2. Да, приходится подавать апелляцию в вышестоящий суд с просьбой либо возвратить дело в нижестоящий суд, либо оспорить на ранг выше. При этом надо ехать представителю сайта именно в тот регион, где состоялось решение. И даже если он удачно обжалует, то никто не гарантирует, что через неделю уже суд в другом регионе примет решение по запрету этого же сайта — и надо будет ехать уже туда и обжаловать его. Абсурд и круговой беспредел.
РКН не имеет право игнорировать решения суда, но может принять решение, что тот или иной сайт исполнил решение суда — и исключить его из-под блокеировки.kogemrka
09.10.2016 20:02РКН не имеет право игнорировать решения суда, но может принять решение, что тот или иной сайт исполнил решение суда — и исключить его из-под блокеировки.
Как предполагается «исполнить решение суда» удостоверяющему центру или подсети CDN? Удостоверяющий центр, очевидно, не является букмекерской конторой и, очевидно, чисто физически не может убрать строчки кода, обращающиеся по их IP адресу из букмекерского приложения.
Получается, что роскомнадзор может не блокировать, но намеренно не пользуется этим правом?Temych
09.10.2016 20:09+1В данном случае чувствую всё же самоуправство РКН, очень-очень редко, когда в тексте суда присутствуют IP-адреса.
РКН, да, зачастую и превышает свои полномочия по блокировке.
General_Failure
08.10.2016 16:37+2У меня с этим роскомпозором своя шумелка-мышь завелась
Дети смотрят мультик «Новаторы», в нём поют «А ты изобрети, а ты изобрети»
Мне сначала слышалось «А ты им запрети»
miksoft
08.10.2016 16:53А прописывание 72.21.91.29 ocsp.digicert.com в файле hosts не решает проблему?
SagePtr
08.10.2016 17:13Не решает. Это каждый юзер в России должен прописывать в hosts на каждом устройстве адрес, чтобы у него там нормально работали сайты, использующие этот удостоверяющий центр. Это временный костыль для одной-единственной машины и одного-единственного адреса, но никак не решение проблемы.
sumanai
08.10.2016 17:50Можно по идее прикреплять ответ OCSP на сервере, а сервер пусть ходит через любой общедоступный VPN.
am_devcorp
08.10.2016 19:40так банят же по ip, а не по домену
т.е. даже если у меня в хостс прописан домен с заблокированным ip, то я на него всё равно попасть не смогу
ValdikSS
08.10.2016 19:46+3Уже меньшинство провайдеров блокируют по IP, если в реестре домен или URL. Если сайт заблокирован по домену, то DPI отслеживает заголовок Host в HTTP-запросе или SNI в HTTPS handshake, и не имеет значения, пропишете вы его в hosts или запросите через DNS.
https://github.com/ValdikSS/blockcheck/wiki/Типы-DPI
chumric
08.10.2016 17:12+7Когда же они отстрелят себе ноги
kogemrka
08.10.2016 22:17+3Уже успешно это делали (https://geektimes.ru/post/278804/)
Выглядит, как будто это такая принципиальная позиция — целенаправильно гулять прямо по максимально очевидным граблям и ничему не учиться.scarab
09.10.2016 10:35А как ещё можно показать недалёким, но упёртым личностям весь кретинизм их действий?
РКН в данном случае — организация подневольная: сказал суд Нижнеурюпинска заблокировать — значит, заблокировать. Скрупулёзно выполнять каждый шаг — это, по смыслу, итальянская забастовка.Ziptar
09.10.2016 17:38Ну да, ну да. Успокаивайте себя и оправдывайте их. Конечно.
РКН ничем не лучше ЛБИ. А то и хуже местами.
kogemrka
09.10.2016 21:14+2Скрупулёзно выполнять каждый шаг — это, по смыслу, итальянская забастовка.
Если организация с тремя тысячами сотрудников, труд которых оплачивается целиком и полностью на деньги налогоплательщиков начинает косплеить однострочный скрипт на bash-е, копирующий ip адрес из одного места и вставляющий тот же самый адрес в другое — без какой-либо фильтрации, обработки, обратной связи, взаимодействия с кем-либо и т.д., это называется не «забастовка», это называется «дармоедство».
Xalium
08.10.2016 18:31+1Кто бы предложил создателям этих приложений в список запросов внести IP страницы (или что там) РКН, по которой происходит выгрузка списка. А потом, если суд добавит этот IP в список запрещенных, наезжать на РКН, с какого фига они его не блокируют.
Googolplex
08.10.2016 18:36+5Так вот почему гитхаб стал тормозить! А я думаю, чего он и с рабочего, и с домашнего интернета стал медленно открываться…
zelenin
08.10.2016 18:41вот, как раз хотел это спросить. около недели начал тормозить гитхаб. страница открывается по минуте. иногда сразу. 50 на 50.
QWhisper
08.10.2016 18:44Интересно, что наступит раньше кончатся адреса IP v.4, или их все забанит РКН?
mxms
08.10.2016 18:51+1Это вы намекаете, что IPv6 банить заколебёшься? :-)
am_devcorp
08.10.2016 19:44+1Хм. Даже если эти красавчики начнут банить сразу целые /64, то это всё равно капля в море. Я считаю, что стоит сразу забанить весь ipv6 (нет)
ladsinger
08.10.2016 20:00если одному сайту даётся один айпишник (неважно в каком диапозоне 4 или 6) — как это меняет картину мира?
ValdikSS
08.10.2016 20:01+2Сайт может взять какой-то другой IP из своей /64-подсети, или назначить их сразу несколько на один домен.
sumanai
08.10.2016 22:31+3За что человека минусанули? Всё правильно говорит. Hurricane Electric бесплатно выдаёт сразу две подсети /64, а по одному клику мыши ещё одну /48.
То, что некоторые хостеры выдают IPv6 поштучно, их не красит (камень в огород моего хостера ihor, 4 штуки IPv6 это издевательство над здравым смыслом).ValdikSS
08.10.2016 22:56+1Крупные сайты, вроде Google, считают, что вся /64-подсеть принадлежит одному клиенту, т.к. RIPE рекомендует выделять не менее одной /64 конечным пользователям и выдавать любое дополнительное количество /64 или сеть больше по запросу.
Как сказал один хороший человек:
You're absolutely correct, and a /112 per dedi is top silliness, and a sure sign that someone somewhere doesn't understand IPv6. Even giving out a /112 per VPS is questionable and can lead to various issues, but per a dedicated server, there's simply no excuse.
sumanai
09.10.2016 00:51+2> Even giving out a /112 per VPS
Знал бы этот хороший человек, что некоторые выдают 4 по запросу (дальше платно), то есть даже не /126, а в абы какой последовательности, совсем бы потерял веру в человечество.ValdikSS
09.10.2016 12:36Вообще, как я понимаю, это не всегда хостеры такие злые, это могут быть ограничения со стороны панелей, которые они используют. В OpenVZ + SolusVM относительно недавно только появилась возможность назначить подсеть IPv6-адресов, а не одиночный адрес, и далеко не все хостеры пользуются обновленной версией и OpenVZ, и SolusVM. С ISPManager еще какие-то подобные проблемы имеются.
NSA
09.10.2016 09:03камень в огород моего хостера ihor
Почему он всё ещё ваш хостер? Полно же в интернете вариантов.sumanai
09.10.2016 14:45+1IPv6 не является моим приоритетом, да и по сути у меня два сайта там, остальное тестовые площадки, поживут и на одной IPv6 так же, как и живут на одном IPv4.
NSA
09.10.2016 14:48Уверен, что и цены там повыше, чем у какого-нибудь Хетцнера, который даёт нормальную /64 IPv6.
sumanai
09.10.2016 15:18+1Я в своё время по новогодней акции брал самый дешёвый VPS на год за ~186 рублей в месяц (1 ядро, 1 ГБ ОП, 20 ГБ SSD). Сейчас 225 пришлось платить.
Плюс площадка в России имеет намного более низкие пинги.
Если мне понадобится ворох IPv6, я просто подключу туннельного брокера.
Ziptar
09.10.2016 17:42Я вот крутил впс на хетзнере одно время — пинг до него был просто катастрофический, при этом второй впс на том же хетзнере в то же время — всё ок.
sim31r
08.10.2016 21:02-1Они введут белые списки на IP. А лучше, белые списки на информацию вообще, не совпала контрольная сумма документа, удаляется провайдером на лету )))
KOLANICH
09.10.2016 00:16+1Грустно будет, когда какой-нибудь суд обяжет РКН заблокировать УЦ за то, что они используют криптографическое ПО, на которое нет сертификата, без лицензии на этот вид деятельности. Маразм конечно, но я не удивлюсь, если так оно и будет.
SilverHorse
09.10.2016 18:04Пользуясь случаем — а с Яндексом ни у кого нет проблем? Старая Опера и новая лиса одновременно перестали открывать его, ругаясь на тему «OCSP responce was too old», причем началось это тоже вчера, одновременно с жалобами на тормоза стима и гитхаба в чате. Проверки показывают, что с сертификатами и обслуживающими серверами у Яндекса и Certum все должно быть в порядке, тем не менее, через моего провайдера Яндекс не работает, а через японский VPN все отлично. Причем в лисе я обнаружил это только сейчас, отключив Фригейт.
lopatoid
> и предлагают отключить проверку отзыва в настройках ОС.
Это же открывает facebook для атаки MITM?
По-моему уж лучше посоветовать что-то вроде antizapret.prostovpn.org
ValdikSS
KostaArnorsky
От StartCom, например: https://geektimes.ru/post/281188/
Utopia
и снова выбор сортов вазелина!
snuk182
#ОчередьСПятницы