Если у вас отвалятся сертификаты Let’s Encrypt, то в этом виноват Роскомнадзор со своими блокировками по IP

  • Home
  • DEVELOPMENT
  • Если у вас отвалятся сертификаты Let’s Encrypt, то в этом виноват Роскомнадзор со своими блокировками по IP
Роскомнадзор блокирует IP Lets Encrypt.jpeg

На днях сообщество обратило внимание, что IP-адреса Letsencrypt.org попали в реестр запрещенных сайтов Роскомнадзора. Конкретно речь идет об адресах 142.93.108.123 и 167.99.129.42. Это означает, что сертификаты Let’s Encrypt тоже будут заблокированы на территории Российской Федерации, если на подобных IP-адресах будет размещен API сервиса. 

Однако все не так просто: Роскомнадзор не банил Letsencrypt.org. Возможно, ведомство даже не в курсе о существовании подобной организации, однако вышло так, что сервис стал получать IP-адреса, которые ранее уже были внесены в реестр. То есть мы столкнулись с отложенной проблемой блокировок по IP — получением забанненых адресов честными ресурсами

Пока на новые IP переехал только веб-сайт компании, однако ситуация может усугубиться, если на них перейдет и API Let’s Encrypt. 

В качестве проверки мы дигнули letsencrypt.org с нашего питерского сервера:

# dig A letsencrypt.org

; <<>> DiG 9.9.4-RedHat-9.9.4-51.el7_4.2 <<>> A letsencrypt.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60567
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;letsencrypt.org. IN A

;; ANSWER SECTION:
letsencrypt.org. 7 IN A 167.99.129.42

Как видите, сайт «сидит» на заблокированном IP-адресе. Из Иркутска нам возвращался уже совершенно другой IP, кстати, тоже заблокированный. 

Вообще, вся эта история началась еще в 2017 году, когда суд вынес несколько постановлений о блокировки доступа к нескольким ресурсам. Вот что нам говорит Роскомсвобода:

Если у вас отвалятся сертификаты Let's Encrypt, то в этом виноват Роскомнадзор со своими блокировками по IP 1

Обратите внимание на дату внесения в реестр сайтов. Самая ранняя запись — от 2016 года, когда ведомство ограничило доступ к ресурсу primedice.com. Это анонимное криптовалютное казино. Вообще по запросу ФНС айпишников тогда побанили богато: 

Если у вас отвалятся сертификаты Let's Encrypt, то в этом виноват Роскомнадзор со своими блокировками по IP 2

На этом же IP позже были замечены еще одно криптовалютное онлайн-казино, зеркало букмекерских контор, страница со стихами о любви и смерти и какой-то криминальный документ, где, видимо, были некие сомнительные инструкции или призывы к чему-либо. Все они были внесены в реестр уже в 2019 году. 

Ситуация с тем, что Роскомнадзор банит по IP все подряд, в том числе и целые подсети, не нова. Вопрос в том, что заблокированных IP-адресов и целых подсетей уже стало так много, что под раздачу попадают вполне себе приличные сайты. Еще одна возможная причина проблем — переезд Let’s Encrypt несколько дней назад от Akamai Technologies, Inc. к Digital Ocean. Посмотреть можно тут.

Если у вас отвалятся сертификаты Let's Encrypt, то в этом виноват Роскомнадзор со своими блокировками по IP 3

Какого-либо оптимистичного прогноза в этой ситуации нет: надежда на то, что в Роскомнадзоре одумаются и осознают, что блокировка по IP бесполезное занятие, пока слаба. Иностранные же компании никогда не начнут работать с оглядкой на этот реестр — не настолько важен и велик рынок РФ для того, чтобы двигаться в этом направлении.

Источник: habr.com

Ждём финальной блокировки всего, а потом интернет по карточкам, талонам и очередям!

Leave a Comment