IP-адрес удостоверяющего центра Digicert внесен в реестр запрещенных сайтов

    29 сентября Роскомнадзор, следуя решению Октябрьского районного суда г. Ставрополя от 2013 года, внес IP-адрес 93.184.220.29 в реестр запрещенных сайтов. Данное решение суда обязывает заблокировать сайты и мобильные приложения некоторых букмекерских контор, и если с блокировкой веб-сайтов все очевидно, то, по всей вероятности, с ограничением работоспособности приложений эксперты Ставропольской прокуратуры (от их имени было подано исковое заявление) сталкивались впервые, и просто задекларировали все IP-адреса, к которым обращалось приложение в момент запуска, включая адреса CRL (списка отзыва сертификатов) и серверов OCSP (сервер проверки состояния сертификатов) глобальных удостоверяющих центров, которые используются для шифрования по протоколу HTTPS.

    Скриншот сайта eais.rkn.gov.ru

    Об этом решении суда стало известно благодаря блокировке ссылок на файлы CRL Comodo в июле этого года («Роскомнадзор заблокировал самого себя и некоторые сайты правительства (Comodo)» от BupycNet), теперь же в реестр внесен адрес, принадлежащий другому удостоверяющему центру — Digicert.
    $ host crl3.digicert.com
    crl3.digicert.com is an alias for cs9.wac.phicdn.net.
    cs9.wac.phicdn.net has address 93.184.220.29
    
    $ host ocsp.digicert.com
    ocsp.digicert.com is an alias for cs9.wac.phicdn.net.
    cs9.wac.phicdn.net has address 93.184.220.29
    Так, при попытке открыть сайты, использующие сертификаты Digicert, в Firefox и Chrome, вы столкнетесь с 3 или 10-секундной задержкой из-за невозможности проверки статуса сертификата, или вовсе лицезреть ошибку в браузерах, которые не позволяют открыть сайт в случае проблем проверки сертификата на отозванность (Safari на OS X).

    Автор и комментаторы сайта shortcut.ru в заметке “Почему на Маке не работает Facebook”? отмечают неработоспособность Facebook.com и Github.com в Safari с 3 октября и предлагают отключить проверку отзыва в настройках ОС.
    X509v3 Subject Alternative Name: 
        DNS:*.facebook.com, DNS:*.facebook.net, DNS:*.fb.com, DNS:*.fbcdn.net, DNS:*.fbsbx.com, DNS:*.m.facebook.com, DNS:*.messenger.com, DNS:*.xx.fbcdn.net, DNS:*.xy.fbcdn.net, DNS:*.xz.fbcdn.net, DNS:facebook.com, DNS:fb.com, DNS:messenger.com
    X509v3 CRL Distribution Points: 
    
        Full Name:
            URI:http://crl3.digicert.com/sha2-ha-server-g5.crl
    
        Full Name:
            URI:http://crl4.digicert.com/sha2-ha-server-g5.crl

    Запись в реестре на сайте Роскомсвободы

    UPD: IP исключен из реестра 10.10.2016.
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама
    Комментарии 63
    • +1
      > и предлагают отключить проверку отзыва в настройках ОС.
      Это же открывает facebook для атаки MITM?
      По-моему уж лучше посоветовать что-то вроде antizapret.prostovpn.org
      • +5
        Это же открывает facebook для атаки MITM?
        Для этого злоумышленнику еще нужно завладеть сертификатом для домена facebook.com от какого-то глобального удостоверяющего центра.
        • 0
          От StartCom, например: https://geektimes.ru/post/281188/
        • +19
          и снова выбор сортов вазелина!
      • +1
        Это CDN Verizon, похожая фигня была с виндой из-за блокировки Akamai.
      • +2
        У меня один вопрос — они там в реестре этом хоть как-то смысл проверяют, что вносят в него?

        Если я напишу претензию, что мой контент украли, и укажу адресом сайта дословно «0.0.0.0/0», и суд примет решение, что я прав — они тупо внесут в фильтры 0/0, или все же голову включат?
        • +2
          > У меня один вопрос — они там в реестре этом хоть как-то смысл проверяют, что вносят в него?
          Не имеют права по идее, если блочат по решению прокуратуры или суда.
          Впрочем, та же википедия в реестре чуть ли не с основания, и ничего, просто не выгружают провайдерам, хотя формально в реестре. Так же будет и с 0.0.0.0/0, сразу после того, как весь интернет в России поляжет.
          • 0
            был бы юристом — давно бы попробовал сделать что то подобное, тонкостей не знаю увы) неплохое развлечение на выходные.
            • 0
              Ну попробуйте. Юристом быть не обязательно, если выигрыш не принципиален.
              • 0
                Может есть знакомые?
                Я бы хотел посмотреть на такой спектакль.
              • +1
                Один раз выгрузили провайдерам на блокировку всю Википедию (из-за внесения по https) по решению Черноярского районного суда Астраханской области за статью «Чарас». Правда блокировали только одну ночь. Но тем не менее.
                • +1
                  На самом деле интересно, как с юридической точки зрения кривые блокировки откатываются?

                  Я совершенно не разбираюсь в этом вопросе, но, как мне кажется (поправьте меня, если я ошибаюсь):

                  1. О факте блокировки, наложенной мухосранским районным судом владельцы сайта зачастую узнают не на момент оглашения решения суда, а на момент непосредственно наложения блокировки роскомнадзором, который может произойти через некоторое время после.
                  2. Есть какая-то процедура для того, чтобы оспорить блокировку наложенную самим роскомнадзором, но для того, чтобы снять блокировку, наложенную судом, видимо, нужно подать апелляцию, причём от лица владельца сайта (кажется, какая-то хитрая история связанная с этим была с Лурком).

                  Подача апелляции, выигрыш суда и прочее ведь не за день и не за неделю делаются, тем не менее, в резонансных случаях (когда блокируют википедию, лютую кучу сервисов по одному IP и т.д.) проблему решают относительно быстро (на пару порядков медленнее, чем хотелось бы, но всё равно, кажется, быстрее, чем в судебном порядке).

                  Как это проводится с формальной, юридической точки зрения? У какого-то органа есть полномочия сказать «обожемой, решение вот этого суда дурацкое» и отменить его? Или роскомнадзор имеет право в каких-то обстоятельствах решения суда игнорировать?
                  • +2
                    1. Не зачастую, а всегда. Такие решения региональными судами по заявлению местных прокуроров принимаются без участия ответчика — представителя самого интернет-ресурса, чем нарушается процессуальный регламент. Потом спустя месяц-два-три эти решения попадают в Роскомнадзор, когда сроки апелляции уже истекли и они вносят в реестр и начинают блокировку, если хостер и сайт не удалил некую новозапрещенную инфу, а зачастую и в принципе свою деятельность.
                    2. Да, приходится подавать апелляцию в вышестоящий суд с просьбой либо возвратить дело в нижестоящий суд, либо оспорить на ранг выше. При этом надо ехать представителю сайта именно в тот регион, где состоялось решение. И даже если он удачно обжалует, то никто не гарантирует, что через неделю уже суд в другом регионе примет решение по запрету этого же сайта — и надо будет ехать уже туда и обжаловать его. Абсурд и круговой беспредел.

                    РКН не имеет право игнорировать решения суда, но может принять решение, что тот или иной сайт исполнил решение суда — и исключить его из-под блокеировки.
                    • 0
                      РКН не имеет право игнорировать решения суда, но может принять решение, что тот или иной сайт исполнил решение суда — и исключить его из-под блокеировки.


                      Как предполагается «исполнить решение суда» удостоверяющему центру или подсети CDN? Удостоверяющий центр, очевидно, не является букмекерской конторой и, очевидно, чисто физически не может убрать строчки кода, обращающиеся по их IP адресу из букмекерского приложения.

                      Получается, что роскомнадзор может не блокировать, но намеренно не пользуется этим правом?
                      • +1
                        В данном случае чувствую всё же самоуправство РКН, очень-очень редко, когда в тексте суда присутствуют IP-адреса.
                        РКН, да, зачастую и превышает свои полномочия по блокировке.
            • +2
              У меня с этим роскомпозором своя шумелка-мышь завелась
              Дети смотрят мультик «Новаторы», в нём поют «А ты изобрети, а ты изобрети»
              Мне сначала слышалось «А ты им запрети»
              • 0
                А прописывание 72.21.91.29 ocsp.digicert.com в файле hosts не решает проблему?
                • 0
                  Не решает. Это каждый юзер в России должен прописывать в hosts на каждом устройстве адрес, чтобы у него там нормально работали сайты, использующие этот удостоверяющий центр. Это временный костыль для одной-единственной машины и одного-единственного адреса, но никак не решение проблемы.
                  • 0
                    Можно по идее прикреплять ответ OCSP на сервере, а сервер пусть ходит через любой общедоступный VPN.
                    • 0

                      так банят же по ip, а не по домену


                      т.е. даже если у меня в хостс прописан домен с заблокированным ip, то я на него всё равно попасть не смогу

                      • +3
                        Уже меньшинство провайдеров блокируют по IP, если в реестре домен или URL. Если сайт заблокирован по домену, то DPI отслеживает заголовок Host в HTTP-запросе или SNI в HTTPS handshake, и не имеет значения, пропишете вы его в hosts или запросите через DNS.

                        https://github.com/ValdikSS/blockcheck/wiki/Типы-DPI
                        • 0
                          А если SNI не указан?
                          • +2
                            Либо блокируют запрос, либо разрешают. Зависит от провайдера.
                  • +7
                    Когда же они отстрелят себе ноги
                    • +4
                      Лучше голову. Или что там у них на её месте…
                      • +3
                        Уже успешно это делали (https://geektimes.ru/post/278804/)
                        Выглядит, как будто это такая принципиальная позиция — целенаправильно гулять прямо по максимально очевидным граблям и ничему не учиться.
                        • 0
                          А как ещё можно показать недалёким, но упёртым личностям весь кретинизм их действий?
                          РКН в данном случае — организация подневольная: сказал суд Нижнеурюпинска заблокировать — значит, заблокировать. Скрупулёзно выполнять каждый шаг — это, по смыслу, итальянская забастовка.
                          • 0
                            Ну да, ну да. Успокаивайте себя и оправдывайте их. Конечно.
                            РКН ничем не лучше ЛБИ. А то и хуже местами.
                            • +1
                              В некоторых случаях они проявляют удивительную инициативу.
                              • +2
                                Скрупулёзно выполнять каждый шаг — это, по смыслу, итальянская забастовка.


                                Если организация с тремя тысячами сотрудников, труд которых оплачивается целиком и полностью на деньги налогоплательщиков начинает косплеить однострочный скрипт на bash-е, копирующий ip адрес из одного места и вставляющий тот же самый адрес в другое — без какой-либо фильтрации, обработки, обратной связи, взаимодействия с кем-либо и т.д., это называется не «забастовка», это называется «дармоедство».
                          • +1
                            Кто бы предложил создателям этих приложений в список запросов внести IP страницы (или что там) РКН, по которой происходит выгрузка списка. А потом, если суд добавит этот IP в список запрещенных, наезжать на РКН, с какого фига они его не блокируют.
                            • +5
                              Так вот почему гитхаб стал тормозить! А я думаю, чего он и с рабочего, и с домашнего интернета стал медленно открываться…
                              • 0
                                вот, как раз хотел это спросить. около недели начал тормозить гитхаб. страница открывается по минуте. иногда сразу. 50 на 50.
                              • 0
                                Интересно, что наступит раньше кончатся адреса IP v.4, или их все забанит РКН?
                                • +1
                                  Это вы намекаете, что IPv6 банить заколебёшься? :-)
                                  • +1

                                    Хм. Даже если эти красавчики начнут банить сразу целые /64, то это всё равно капля в море. Я считаю, что стоит сразу забанить весь ipv6 (нет)

                                    • 0
                                      если одному сайту даётся один айпишник (неважно в каком диапозоне 4 или 6) — как это меняет картину мира?
                                      • +2
                                        Сайт может взять какой-то другой IP из своей /64-подсети, или назначить их сразу несколько на один домен.
                                        • +3
                                          За что человека минусанули? Всё правильно говорит. Hurricane Electric бесплатно выдаёт сразу две подсети /64, а по одному клику мыши ещё одну /48.
                                          То, что некоторые хостеры выдают IPv6 поштучно, их не красит (камень в огород моего хостера ihor, 4 штуки IPv6 это издевательство над здравым смыслом).
                                          • +1
                                            Крупные сайты, вроде Google, считают, что вся /64-подсеть принадлежит одному клиенту, т.к. RIPE рекомендует выделять не менее одной /64 конечным пользователям и выдавать любое дополнительное количество /64 или сеть больше по запросу.

                                            Как сказал один хороший человек:
                                            You're absolutely correct, and a /112 per dedi is top silliness, and a sure sign that someone somewhere doesn't understand IPv6. Even giving out a /112 per VPS is questionable and can lead to various issues, but per a dedicated server, there's simply no excuse.
                                            • +2
                                              > Even giving out a /112 per VPS
                                              Знал бы этот хороший человек, что некоторые выдают 4 по запросу (дальше платно), то есть даже не /126, а в абы какой последовательности, совсем бы потерял веру в человечество.
                                              • 0
                                                Вообще, как я понимаю, это не всегда хостеры такие злые, это могут быть ограничения со стороны панелей, которые они используют. В OpenVZ + SolusVM относительно недавно только появилась возможность назначить подсеть IPv6-адресов, а не одиночный адрес, и далеко не все хостеры пользуются обновленной версией и OpenVZ, и SolusVM. С ISPManager еще какие-то подобные проблемы имеются.
                                            • 0
                                              камень в огород моего хостера ihor

                                              Почему он всё ещё ваш хостер? Полно же в интернете вариантов.
                                              • +1
                                                IPv6 не является моим приоритетом, да и по сути у меня два сайта там, остальное тестовые площадки, поживут и на одной IPv6 так же, как и живут на одном IPv4.
                                                • 0
                                                  Уверен, что и цены там повыше, чем у какого-нибудь Хетцнера, который даёт нормальную /64 IPv6.
                                                  • +1
                                                    Я в своё время по новогодней акции брал самый дешёвый VPS на год за ~186 рублей в месяц (1 ядро, 1 ГБ ОП, 20 ГБ SSD). Сейчас 225 пришлось платить.
                                                    Плюс площадка в России имеет намного более низкие пинги.
                                                    Если мне понадобится ворох IPv6, я просто подключу туннельного брокера.
                                                    • 0
                                                      Ну, да, на Хетцнере чуть дороже. Сейчас за 1 ГБ ОП, 25 ГБ SSD плачу 3.9 евро.
                                                    • 0
                                                      Я вот крутил впс на хетзнере одно время — пинг до него был просто катастрофический, при этом второй впс на том же хетзнере в то же время — всё ок.
                                                      • 0
                                                        Сейчас пропинговал свою впс-ку на хетцнере: пинг 95-100 мс.
                                                        • 0
                                                          Мои результаты на российском хостинге:
                                                          Минимальное = 18мсек, Максимальное = 24 мсек, Среднее = 20 мсек
                                                          Так что мой выбор- Россия, если это возможно.
                                      • –1
                                        Они введут белые списки на IP. А лучше, белые списки на информацию вообще, не совпала контрольная сумма документа, удаляется провайдером на лету )))
                                      • 0
                                        И ведь дай дураку ружо…
                                        • +3
                                          Подскажите, что за блокировка https://putinism.wordpress.com/ Как блокируется? Под VPN и с других провайдеров ОК. Под Ростелеком не открывается. В реестре сайта нет.
                                          • +1
                                            Неугодное мнение же.
                                            • 0
                                              Личная инициатива, у меня открывается без всяких.
                                              • 0
                                                Через Ростелеком и Chrome? Ростелеком говорит что не блочит, tracert ping нормальные, но сайт открывается у меня только через другого провайдера или VPN.
                                                • 0
                                                  ТТК. Именно поэтому и пишу про личную инициативу: ТТК очень оперативно блочит, а тут нет.
                                            • +1
                                              Грустно будет, когда какой-нибудь суд обяжет РКН заблокировать УЦ за то, что они используют криптографическое ПО, на которое нет сертификата, без лицензии на этот вид деятельности. Маразм конечно, но я не удивлюсь, если так оно и будет.
                                              • +1
                                                Ждем блокировки 0.0.0.0/0
                                                • 0
                                                  С нетерпением. Это будет шоу.
                                                • 0
                                                  Пользуясь случаем — а с Яндексом ни у кого нет проблем? Старая Опера и новая лиса одновременно перестали открывать его, ругаясь на тему «OCSP responce was too old», причем началось это тоже вчера, одновременно с жалобами на тормоза стима и гитхаба в чате. Проверки показывают, что с сертификатами и обслуживающими серверами у Яндекса и Certum все должно быть в порядке, тем не менее, через моего провайдера Яндекс не работает, а через японский VPN все отлично. Причем в лисе я обнаружил это только сейчас, отключив Фригейт.

                                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.