Точно так же — по IP — РКН ранее боролся с интернет-рацией Zello. И поскольку один IP адрес может быть назначен нескольким виртуальным серверам, то здесь как раз и возникает проблема, с которой столкнулось из-за блокировки Telegram множество сервисов, использующих те же IP-адреса, что были заблокированы под одну гребёнку с мессенджером.
Ваш сайт перестанет работать – есть риск потерять домен, хостинг и TLS-сертификат
У меня сайт про кулинарию – мне есть, чего опасаться? Новости не публикую, политикой не занимаюсь, даже про обход блокировок ни разу не писал.
Да, увы, поводы для опасений есть у всех. Помимо блокировок Роскомнадзора можно беспокоиться еще и о санкциях, которые применяют против пользователей из России частные сервисы. Так мы уже потеряли, например, Figma (но нашли нормальный аналог).
Теоретически вы можете потерять сертификат, набранные позиции в поисковиках и даже свой домен. Мы, конечно, нагнетаем, но не сильно.
Что будет с доменными зонами .COM, .RU, .РУ
Американский регистратор доменных имен Namecheap объявил, что с 6 марта будет блокировать домены всех российских пользователей. Аналогичных действий сегодня стоит ждать и от других регистраторов: выразить несогласие с происходящими событиями сейчас решаются многие сервисы.
Даже если ваш домен будет заблокирован, доменное имя (.ru, .com и другие) продолжат работать – вы сможете заново пройти регистрацию. Но лучше заранее перенести сайт к российскому регистратору.
Зарегистрировать новое доменное имя на бегу, скорее всего, не удастся, потому что эксперты ожидают новых усложняющих мер от России. В частности, Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации уже в этом году может обязать всех россиян регистрировать доменные имена в зонах .SU, .RU и .РФ через «Госуслуги».
Поскольку это новая технология, и обращаться к ней сразу будут тысячи, избежать сложностей и промедлений будет трудно.
Поэтому лучше уже сегодня перенести свои доменные имена к российским регистраторам и продлить их на пару лет вперед.
Сейчас продлить любой домен, зарегистрированный через российского регистратора, можно в 1-2 клика.
Что будет с сертификатами
Каждый браузер работает с так называемыми TLS-сертификатами. Благодаря им передача данных от пользователя на сайт осуществляется по зашифрованному каналу (HTTPS-протокол). Россия хочет использовать собственные сертификаты. Это нужно, чтобы у правоохранительных органов РФ была возможность расшифровывать любой зашифрованный браузерный трафик.
Плохая новость: российские сертификаты «не понимает» почти ни один современный браузер. Так что пользователи, заходящие на российский сайт из иностранных браузеров, увидят сообщение, что сайт небезопасен, или вовсе не смогут на него попасть.
Это не домыслы. 9 марта «Госуслуги» отправили своим пользователем такое сообщение:
«Некоторые сайты сейчас могут не открываться. Это связано с проблемами в работе центров сертификации, которые проверяют безопасность и надежность интернет-ресурсов. Чтобы иметь доступ ко всем сайтам и нужным онлайн-сервисам, в том числе к “Госуслугам”, рекомендуем установить браузеры, которые поддерживают российский сертификат. Сейчас такая функциональность есть, например, у “Яндекс.Браузера” или “Атом”».
Уже сейчас портал Госуслуг предупреждает, что пользоваться сайтом безопаснее через российские браузеры
Это значит, что на “Госуслугах” поменялся сертификат безопасности. Теперь это сертификат от внутреннего (суверенного) российского удостоверяющего центра.
На данный момент “Госуслугах” в адресной строке браузера, как и обычно, отображается значок зашифрованного соединения. Это значит, что портал еще не совершил переход или вернулся к прежнему TLS-сертификату.
Сейчас соединение зашифровано
Министерство цифрового развития, связи и массовых коммуникаций России рекомендовало всем пользователям перейти на российские браузеры.
Если это требование будет введено для всех российских сайтов, станет плохо:
- сайт потеряет иконку «защищенное соединение» в браузере, потому что российские сертификаты не учитываются зарубежными браузерами;
- сайт потеряет ранее набранные позиции в поисковой выдаче (сертификат – один из сигналов ранжирования) и привычный уровень трафика.
Еще один вариант – прописать сертификат безопасности российского удостоверяющего центра вручную. Но сейчас делать это рано. После установки суверенного сертификата ваш браузерный трафик может быть расшифрован, даже если сайт использует HTTPS-протокол.
Что сейчас делать? Следить за ситуацией и искать страховочные пути, но ничего не предпринимать: на данный момент сертификаты суверенного удостоверяющего центра должны указывать только сайты банков и государственных структур.
На данный момент единственным решением кажется глобальный переход российских пользователей на «Яндекс.Браузер» или тот же «Атом». Эти браузеры умеют идентифицировать суверенные сертификаты и не будут лишать ваш сайт значка защищенное соединение. Другое дело, что зарубежные поисковые системы все равно не пересмотрят свою политику ранжирования сайтов..
Третий тип блокировки — по IP, когда Роскомнадзор может указать. Так блокируются сайты, которые реализованы не как , а как различные сервисы. Именно так блокируется Telegram, поскольку в его основе не , а сервис.
Первый вариант блокировки
Первый — DPI, Deep Packet inspection — глубокое изучение пакета. Представим, что у оператора есть некий маршрутизатор, на который подключены клиенты, и есть маршрутизатор, который ведёт в интернет. Между ними (напрямую или через зеркало, это уже нюансы) ставится мощный сервер DPI, в котором должно быть много памяти и хорошие сетевые карты, потому что весь пользовательский трафик идёт через него.
Программное обеспечение DPI анализирует проходящие пакеты трафика и не пропускает те, которые соответствуют правилам, описанным в файле РКН. Есть коробочные сертифицированные DPI, есть самописные DPI. Роскомнадзор рекомендует пользоваться сертифицированными, но это необязательно. У Xelent, например, свой DPI.
Второй вариант блокировки
Второй путь — блокировка по DNS, Domain Name Service, служба доменных имён. Сейчас он уже потерял свою значимость, потому что через DNS трудно добиться правильной блокировки.
Как работает DNS? Клиент вбил в браузере запрос, например, rutracker.org, его компьютер отправляет запрос на соответствие этого имени IP-адресу-либо DNS-серверу провайдера, либо DNS-серверу какого-то другого узла сети, это не имеет значения, потому что, как правило, DNS-запросы перехватываются провайдерами.
И вот этот провайдер, чтобы организовать блокировку, не возвращает правильный адрес заблокированного сайта, а сообщает некий поддельный адрес с другим IP, где, например, висит страничка с объявлением о блокировке сайта.
Третий вариант блокировки
Третий вариант блокировки, самый лобовой — по IP-адресу сервера, где находится запрещённый контент. Но поскольку в этом случае весьма вероятно под раздачу попадают сторонние сервисы и сайты, то его использование может носить ограниченный характер — об этом чуть ниже, а теперь о том, что мы видим в файле выгрузки РКН.
Выгрузка РКН состоит из трёх основных типов записей. Первый тип — блокировка по адресу страницы, URL, он начинается так: http:// доменное имя, / страница. В этом случае блокируется доступ не ко всему сайту, а к его конкретной странице: например, к статье с запрещённой информацией. Второй тип — блокировка по домену. Здесь в файле указывается домен, сайт и IP, который Роскомнадзор зафиксировал для этого сайта.
Второй способ применяется, когда Роскомнадзор решил заблокировать весь домен целиком, например, Rutracker или LinkedIn. Домены могут быть как сами по себе, так и с поддоменами: *.linkedin.com, то есть всё, что включается в linkedin.com, блокируется.
Третий тип блокировки — по IP, когда Роскомнадзор может указать IP-адрес. Так блокируются сайты, которые реализованы не как веб-сайты, а как различные сервисы. Именно так блокируется Telegram, поскольку в его основе не веб-страница, а сервис.
Точно так же — по IP — РКН ранее боролся с интернет-рацией Zello. И поскольку один IP адрес может быть назначен нескольким виртуальным серверам, то здесь как раз и возникает проблема, с которой столкнулось из-за блокировки Telegram множество сервисов, использующих те же IP-адреса, что были заблокированы под одну гребёнку с мессенджером.
Программное обеспечение DPI анализирует проходящие пакеты трафика и не пропускает те, которые соответствуют правилам, описанным в файле РКН. Есть коробочные сертифицированные DPI, есть самописные DPI. Роскомнадзор рекомендует пользоваться сертифицированными, но это необязательно. У Xelent, например, свой DPI.
Второй вариант блокировки
Второй путь — блокировка по DNS, Domain Name Service, служба доменных имён. Сейчас он уже потерял свою значимость, потому что через DNS трудно добиться правильной блокировки.
Как работает DNS? Клиент вбил в браузере запрос, например, rutracker.org, его компьютер отправляет запрос на соответствие этого имени провайдера, либо другого узла сети, это не имеет значения, потому что, как правило, перехватываются провайдерами.
И вот этот провайдер, чтобы организовать блокировку, не возвращает правильный адрес заблокированного сайта, а сообщает некий поддельный адрес с другим IP, где, например, висит страничка с объявлением о блокировке сайта.
Третий вариант блокировки
Третий вариант блокировки, самый лобовой — по сервера, где находится запрещённый контент. Но поскольку в этом случае весьма вероятно под раздачу попадают сторонние сервисы и сайты, то его использование может носить ограниченный характер — об этом чуть ниже, а теперь о том, что мы видим в файле выгрузки РКН.
Выгрузка РКН состоит из трёх основных типов записей. Первый тип — блокировка по адресу страницы, URL, он начинается так: http:// доменное имя, / страница. В этом случае блокируется доступ не ко всему сайту, а к его конкретной странице: например, к статье с запрещённой информацией. Второй тип — блокировка по домену. Здесь в файле указывается домен, сайт и IP, который Роскомнадзор зафиксировал для этого сайта.
Второй способ применяется, когда Роскомнадзор решил заблокировать весь домен целиком, например, Rutracker или LinkedIn. Домены могут быть как сами по себе, так и с поддоменами: *.linkedin.com, то есть всё, что включается в linkedin.com, блокируется.
Третий тип блокировки — по IP, когда Роскомнадзор может указать. Так блокируются сайты, которые реализованы не как , а как различные сервисы. Именно так блокируется Telegram, поскольку в его основе не , а сервис.
Точно так же — по IP — РКН ранее боролся с Zello. И поскольку один IP адрес может быть назначен нескольким виртуальным серверам, то здесь как раз и возникает проблема, с которой столкнулось блокировки Telegram множество сервисов, использующих те же , что были заблокированы под одну гребёнку с мессенджером.
Основная проблема реализации блокировок
В чём вообще основная проблема с реализацией блокировок? В протоколе HTTPS, который обеспечивает шифрование. По протоколу HTTP данные и страницы передаются в нешифрованном виде.
А протокол HTTPS был разработан для того, чтобы решить все проблемы безопасности протокола HTTP: зашифровать всё внутри, чтобы никто снаружи не смог влезть в передаваемую страницу, подсмотреть содержимое — например, номера кредитных карт или персональных данных. И эту задачу успешно решили.
А вот те, кто хотят отфильтровать, подделать, в нашем случае — реализовать требования РКН, сталкиваются с трудностями. Главная — то, что в протоколе HTTPS нельзя выяснить страницу на сайте, на которую идёт пользователь.
В рамках HTTPS обмен данными идёт примерно по такой схеме: пользователь вбил доменное имя, оно преобразуется в IP, и начинается запрос на этот хост. И вот в рамках этого запроса наружу не отдаётся ничего кроме , даже не узнать, на какой домен идёт пользователь. В этом случае придётся заблокировать все запросы на этот IP: страдают все, кто на нём находится.
Хорошие новости в том, что все современные браузеры весьма «разумны» — они не просто отправляют IP сервера, а ещё указывают , это некое имя, которое определяет, с какого домена нужно получить данные. И это, к счастью, позволяет системам DPI не блокировать все IP скопом, а, проанализировав запрос, понять, на какой домен всё же хочет пойти клиент, и заблокировать только его.
Но больше домена в случае HTTPS ничего определить невозможно, соответственно, непонятно, на какие страницы идёт клиент. Бывают случаи в выгрузке РКН, когда указывается сайт и страница — но всё это внутри HTTPS, то есть это приводит только к тому, что блокируется весь сайт, потому что саму страницу выделить нельзя. Такое редко, но бывает.
Поэтому, когда РКН требует заблокировать ролик на YouTube, то они добавляют строчку в выгрузке в формате HTTP, и ни одной страницы HTTPS на YouTube в выгрузке нет — если бы они были, нам пришлось бы блокировать весь YouTube.
Программное обеспечение DPI анализирует проходящие пакеты трафика и не пропускает те, которые соответствуют правилам, описанным в файле РКН. Есть коробочные сертифицированные DPI, есть самописные DPI. Роскомнадзор рекомендует пользоваться сертифицированными, но это необязательно. У Xelent, например, свой DPI.
Блокировка VPN в России
Возможно ли заблокировать все VPN-сервисы в России? Хороший вопрос
Рассуждать на тему блокировки абсолютно всех VPN-сервисов в России можно, но дальше теорий это не пойдет. В текущей ситуации, когда именно VPN обеспечивает людям доступ к необходимым для них ресурсам, будут появляться все новые и новые VPN-сервисы, а в уже известных будут искать возможности эти блокировки обойти. Роскомнадзор начал блокировки VPN еще осенью 2021 года, но по-прежнему не может заблокировать всех. Такая борьба с ветряными мельницами очень напоминает попытки заблокировать Telegram в свое время.
Сегодня Роскомнадзор выступил с комментарием по поводу блокировок VPN-сервисов:
Согласно закону „О связи“, средства обхода блокировок противоправного контента признаются угрозой. Центр мониторинга и управления сетью связи общего пользования принимает меры по ограничению работы на территории России VPN-сервисов, нарушающих российское законодательство».
Если вы заметили, что ваш VPN стал медленнее работать, то пришло время переходить на что-то иное.
Начинается всё с получения выгрузки — специального , который постоянно обновляется Роскомнадзором. Все зарегистрированные операторы, которые имеют лицензию на телематические услуги, обязаны этот файл получить, обработать и заблокировать то, что там
Активная борьба с VPN
VPN – один из немногих действенных способов обхода блокировок Роскомнадзора. Существует еще Tor, но с декабря 2021 г. он тоже заблокирован по решению Саратовского суда. В мае 2022 г. это дело было направлено на пересмотр из-за массы недочетов, но в начале июня 2022 г. Роскомнадзор потребовал удалить приложение Tor из Google Play.
С VPN власти тоже активно борются. В 2017 г. в России был принят закон, обзывающий владельцев VPN-сервисов, анонимайзеров и других подобного рода инструментов подключаться к федеральной государственной информационной системе (ФГИС) Роскомнадзора, содержащий данные о запрещенных сайтах, и блокировать к ним доступ. В случае отказа от выполнения таких требований Роскомнадзор должен блокировать к ним доступ. В 2019 г. Роскомнадзор потребовал от ряда крупных VPN-серверов, включая VyprVPN, подключиться к его ФГИС, но на это согласилась лишь «Лаборатория Касперского», владеющая сервисом Kaspersky Secure Connection.
В середине июня 2021 г. по решению Роскомнадзора был введен запрет на пользование сервисами VyprVPN и Opera VPN. В начале сентября 2021 г. под блокировку попали сразу шесть VPN-сервисов. В «черном списке» оказались Speedify VPN, IPVanish VPN, Hola!VPN, ExpressVPN, KeepSolid VPN Unlimited и переставший работать 2 июня 2022 г. Nord VPN.
В декабре 2021 г. Роскомнадзор опубликовал предупреждение о грядущих блокировках еще половины дюжины сервисов. Это Lantern, Betternet, Cloudflare WARP, X-VPN,, Tachyon VPN и PrivateTunnel.
