company_banner

Если у вас отвалятся сертификаты Let's Encrypt, то в этом виноват Роскомнадзор со своими блокировками по IP

    На днях сообщество обратило внимание, что IP-адреса Letsencrypt.org попали в реестр запрещенных сайтов Роскомнадзора. Конкретно речь идет об адресах 142.93.108.123 и 167.99.129.42. Это означает, что сертификаты Let's Encrypt тоже будут заблокированы на территории Российской Федерации, если на подобных IP-адресах будет размещен API сервиса.

    Однако все не так просто: Роскомнадзор не банил Letsencrypt.org. Возможно, ведомство даже не в курсе о существовании подобной организации, однако вышло так, что сервис стал получать IP-адреса, которые ранее уже были внесены в реестр. То есть мы столкнулись с отложенной проблемой блокировок по IP — получением забанненых адресов честными ресурсами.

    Пока на новые IP переехал только веб-сайт компании, однако ситуация может усугубиться, если на них перейдет и API Let's Encrypt.

    В качестве проверки мы дигнули letsencrypt.org с нашего питерского сервера:

    # dig A letsencrypt.org

    ; <<>> DiG 9.9.4-RedHat-9.9.4-51.el7_4.2 <<>> A letsencrypt.org
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60567
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

    ;; OPT PSEUDOSECTION:
    ; EDNS: version: 0, flags:; udp: 4096
    ;; QUESTION SECTION:
    ;letsencrypt.org. IN A

    ;; ANSWER SECTION:
    letsencrypt.org. 7 IN A 167.99.129.42


    Как видите, сайт «сидит» на заблокированном IP-адресе. Из Иркутска нам возвращался уже совершенно другой IP, кстати, тоже заблокированный.

    Вообще, вся эта история началась еще в 2017 году, когда суд вынес несколько постановлений о блокировки доступа к нескольким ресурсам. Вот что нам говорит Роскомсвобода:



    Обратите внимание на дату внесения в реестр сайтов. Самая ранняя запись — от 2016 года, когда ведомство ограничило доступ к ресурсу primedice.com. Это анонимное криптовалютное казино. Вообще по запросу ФНС айпишников тогда побанили богато:



    На этом же IP позже были замечены еще одно криптовалютное онлайн-казино, зеркало букмекерских контор, страница со стихами о любви и смерти и какой-то криминальный документ, где, видимо, были некие сомнительные инструкции или призывы к чему-либо. Все они были внесены в реестр уже в 2019 году.

    Ситуация с тем, что Роскомнадзор банит по IP все подряд, в том числе и целые подсети, не нова. Вопрос в том, что заблокированных IP-адресов и целых подсетей уже стало так много, что под раздачу попадают вполне себе приличные сайты. Еще одна возможная причина проблем — переезд Let's Encrypt несколько дней назад от Akamai Technologies, Inc. к Digital Ocean. Посмотреть можно тут.



    Какого-либо оптимистичного прогноза в этой ситуации нет: надежда на то, что в Роскомнадзоре одумаются и осознают, что блокировка по IP бесполезное занятие, пока слаба. Иностранные же компании никогда не начнут работать с оглядкой на этот реестр — не настолько важен и велик рынок РФ для того, чтобы двигаться в этом направлении.
    ITSumma
    464,42
    Собираем безумных людей и вместе спасаем интернет
    Поделиться публикацией

    Похожие публикации

    Комментарии 109

      +8

      И это, разумеется, просто проглотят.

        +4
        Чебурнет наступает не сразу. Сначала вы глотаете это, потом то, а в конце уже и не замечаете, что сварились. Или замечаете, но терпите.
          +2

          Многие используют различные средства для обхода блокировок, поэтому могут даже не заметить без подобных новостей, что что то новое заблокировали.

            +1

            Если браузер будет проверять сертификат (списки отзыва), обращаясь на заблокированный ИП адрес, то страдать будет любой браузер любого пользователя, совсем любой из тех, кто зашёл на сайт с сертификатом https, выданным сервисом.


            Задача автообновления сертификата с хостинга на территории РФ тоже упадетб это будет заметно всем.

              0
              Задача автообновления сертификата с хостинга на территории РФ тоже упадетб это будет заметно всем.


              Если быть точным — не всем, а админам.
                0
                А потом браузеры всех счастливых посетителей тоже почему-то начнут показывать странные предупреждения
                  0
                  А потом браузеры всех счастливых посетителей тоже почему-то начнут показывать странные предупреждения


                  И это уже владельцы сайтов будут предъявы кидать веб-разработчикам.
                  А веб-разработчики просто переключатся на другие сертификаты.
                  Но исходная проблема никого кроме технических специалистов не интересует.
                    0
                    Когда владелец сайта узнает, что стоимость поддержки выросла из-за блокировки РКН, которая устарела 2 года назад, он несколько возмутится. Когда таких возмутившихся станет N тысяч, кто-то из них обратится в суд на РКН с неплохим шансом на положительное решение.
                      0

                      Не будьте наивным. Куча людей уже потеряла много денег из-за РКН, судиться с ними бесполезно в наших реалиях. А цена сертификата настолько копеечная для бизнеса, что никто даже не зачешется.

                        0
                        Когда владелец сайта узнает, что стоимость поддержки выросла из-за блокировки РКН, которая устарела 2 года назад, он несколько возмутится.

                        Бесплатный сертификат LetsEncrypt vs Платный сертификат за 1000 рублей в год?
                        Вы серьезно?
          +14
          Досудебные блокировки сайтов в России — это однозначно цензура.

          Ведомства, которые это могут сделать:
          МВД, ФСКН, Роспотребнадзор, Росмолодёжь (список дополняется).

          Т.е. без решения суда, непонятно кто может заблокировать любой сайт.

          Чтобы поменять это необходимо полностью исключить досудебные блокировки, а рассмотрение дел в судах только с представителями ресурсов.

          Но в целом я уверен, что современные разработки по обходу цензуры всё равно победят Роскомнадзор. Там нет и никогда не будет таких профессионалов как в цензурных ведомствах Китая, а в Китае всё равно можно зайти на заблокированный ресурс.

          Из последнего: DNS-over-HTTPS и eSNI, которые при глобальном внедрении полностью исключат блокировки по доменам, а погоня по IP-адресам приведёт к тому к чему привела попытка заблокировать Телеграм: к пуку Жарова)

          Т.е. прогноз оптимистичный.

            –7
            рассмотрение дел в судах только с представителями ресурсов

            — то есть просто не приходишь в суд и твой сайт никогда не заблокируют?
              +3

              Если одна из сторон не является в суд без уважительной причины (уважительную причину, например болезнь, еще надо подтвердить документально), дело рассматривается без этой стороны. Оно вроде везде так.
              В некоторых случаях еще могут обеспечить принудительную явку в суд.

                –1
                Это всё понятно. Но Reeze предлагал запретить суды без представителей ресурса, а значит и всякие обходные причины типа болезни.
                Я честно говоря вообще не понимаю зачем блокировать сайты/мессенджеры. Нужно же искать преступников, которые занимаются на них незаконной деятельностью, и их наказывать.
                  +5
                  Нужно же искать преступников, которые занимаются на них незаконной деятельностью, и их наказывать.

                  Это сложно, проще высечь море
                    –1
                    Это всё понятно. Но Reeze предлагал запретить суды без представителей ресурса, а значит и всякие обходные причины типа болезни.

                    Значит, будет


                    могут обеспечить принудительную явку.

                    Хотя для какой-то категории дел исключение из правил никто делать не будет, а для многих вопросов (например, финансовых) возможность бесконечно откладывать решение неприемлема.


                    Я честно говоря вообще не понимаю зачем блокировать сайты/мессенджеры. Нужно же искать преступников, которые занимаются на них незаконной деятельностью, и их наказывать.

                    В разных случаях поичины разные.
                    Если речь об авторских и смежных правах, то ответ очевиден.
                    Правообладателям важнее предотвратить доступ, чем наказать нарущителя (хотя от наказания нарушителя они тоже не откажутся).
                    В случае вербовки террористов, пропаганды запрещенных идей и распространения запрещенного контента (та же ДП), государство декларирует необходимость пресечения распространения незаконного контента на тех же основаниях, что и необходимость пресечения любых других незаконных действий.
                    Если грубо в аналогию, то вы предлагаете не запирать двери и не охранять ничего, а ловить тех, кто украл.
                    Отнесение деятельности к незаконной (в том числе распространение матеоиалов определенного характера) — это отдельный вопрос по каждому виду деятельности и по каждому виду информации.

                      +1
                      Наказание виновных предполагает и удаление незаконных материалов, так что правообладатели будут удовлетворены. А если просто прикрыть айпишник, то ничего не помешает преступнику его сменить и заниматься наркоторговлей/вербовкой/раздачей аниме дальше.
                      И да, я бы хотел жить в мире, где не надо ничего охранять, потому что вора в случае чего гарантировано поймают и обяжут возместить мне потерянное + компенсацию, а значит и воровать смысла нет.
                        –1

                        Я думаю что у тех, у кого есть действительно вредный контент, и такip могут часто меняться.
                        Просто ркн заблокировал адрес и считает что всё, дело сделано. А на адресе давно нет ничего противозаконного

                          –3

                          Я бы тоже хотел жить в таком мире.
                          Но пока люди способны на абсолютно бессмысленные поступки, будут кражи даже в условиях гарантированной поимки.
                          Да и аозместить может быть просто не с чего (все продано, деньги пропиты).
                          Так что пока придется охранять, а сайты, отказывающиеся убирать запрещенный контент, придется блокировать.
                          Другой вопрос — методы блокировки и их результативность.
                          Но это уже про вопрос как блокировать, а не про саму необходимость блокировки.
                          Ну и основания для блокировки (вопрос признания контента незаконным) — тоже отдельный вопрос. Но это уже к законодателям.

                        0
                        а значит и всякие обходные причины типа болезни.

                        XXI век на дворе, видеосвязь уже не фантастика.
                        А вот то, что ответчиками зачастую являются иностранные ресурсы, которые слышать не слышали про такую деревню как Россия, и не будут тратить своё время на какие-то там суды, приводит к тому, что ресурсы блокируются навсегда без права обжалования. Вполне ведь можно назначать ответчиком какую-нибудь общественную организацию, связанную с работой интернета в целом.
                        Я уж молчу про вариант отмены блокировок из-за кучи их недостатков и отсутствующих достоинств.
                          0
                          | а значит и всякие обходные причины типа болезни.
                          XXI век на дворе, видеосвязь уже не фантастика.

                          Если больной без сознания, видеосвязь не поможет.
                          А присутствие бесчувственного тела в суде — так себе вариант явки.
                          Да и плохо соображающий от боли и/или лекарств — тоже вариант не очень.

                        +3

                        Только вот надо обязать суд добросовестно уведомлять ответчика. И выдавать судьям волшебного пенделя после пары нарушений, а то они уже в край обалдели от безнаказанности. У меня так знакомая пострадала, потому что дело рассмотрели в ее отсутствие. Суд, видите ли, отправил (но, не факт), письмо по месту регистрации, которое не актуально уже пол года. И ее оштрафовали за долги по коммуналке по квартире, которую она пол года назад как продала. Заблокировали счета, списали с них деньги, создали геморрой.


                        Зачем в таком случае вообще нужна регистрация по месту жительства и госрегистрация сделок с недвижимостью, решительно не понятно.


                        Никакой ответственности за свою преступную халатность судья, естественно, не понес.

                      +6
                      Росмолодёжь

                      Это что такое?

                      Ждем Роскомсомол?
                        –3

                        Ну что такое Роском- понятно, а сомол — это что-то типа рака мозга?

                          +2
                          сокращение от «сознательной молодежи»
                            0

                            Чем был "Комсомол" в советское время, я и так в курсе, в текущем контексте так и напрашивается что-то новое, до кучи что и коммунистическим он быть не сможет уже

                          +1
                          Ждем Роскомсомол?

                          Ну пионеров же вернули из небытия.
                          Кстати, интересно, а Володя у них на значках тот же, классический, или современная версия?
                            0

                            Тише, товарищ, зафильтруют — мама не узнает!

                            0
                            >Роскомсомол?

                            Уже есть. Называются «кибердружины», форсятся уже давно пресловутой «Лигой безопасного Интернета» не без поддержки сверху, а с недавних пор сверху ещё и публично, а также официально одобряемы:

                            www.bbc.com/russian/news-46074279
                            meduza.io/cards/v-rossii-hotyat-uzakonit-kiberdruzhinnikov-oni-budut-pomogat-sazhat-za-memy
                            3dnews.ru/977670
                            vigilant.myverdict.org/files/cyber-cossacks
                            (один из сайтов, хвалятся достижениями) www.kiberdruzhina.ru
                              +1
                              www.kiberdruzhina.ru

                              Любопытства ради открыл… И закрыл тут же. Сайт на Джумле (дайте угадаю — они шаблон покупали?), с заблокированной на сайте правой кнопкой мыши, с неработающей ссылкой «Новости»… РосДетСад несерьезно как-то…
                              Как говорил знакомый комсомольский активист, не потерявший, на тот момент, еще совести «у тебя своя отчетность, у меня — своя». У этих, наверное, тоже?

                              Благодаря тщательному мониторингу интернета, проводимому кибердружинниками, были выявлены и заблокированы сотни сайтов ...

                              Это оттуда же. А чего его мониторить, просто пишешь в гугле «самоубийство» и выдачу с десятка страниц сразу в отчет вставляй — и так со многими словами!
                                0
                                Судя по всему, тот, кто делал этот сайт, сам нехило поугорал над этим.
                                Консоль разработчика браузера

                                  0
                                  Ладно хоть сайт по http работает: понимают, что лишний раз DPI грузить не нужно, а на сайте все равно ничего полезного (что нужно защищать от перехвата) нет.
                              0

                              Росединорос

                              –2
                              При невозможности блокировок по черным спискам просто перейдут к белым спискам — все сайты обязаны зарегистрироваться в специальном реестре, всё что не в реестре — запрещено.
                                +2
                                При текущих возможностях РФ белые списки равносильны практически полному отключению интернета.
                                Да что там, даже Китай в белые списки не смог, хотя они к осуществлению этой заманчивой возможности находятся сильно ближе.
                                  0

                                  Другой вариант — внедрение гос. сертификата, но и его пока нигде нет.

                                    0
                                    В текущей ситуации — да, но так постепенно-постепенно заблокированных адресов будет становиться больше, и однажды само-собой доступными останутся только сайты из белого списка.
                                    К чему и стремились.
                                  0
                                  Из последнего: DNS-over-HTTPS и eSNI, которые при глобальном внедрении полностью исключат блокировки по доменам, а погоня по IP-адресам приведёт к тому к чему привела попытка заблокировать Телеграм: к пуку Жарова)

                                  Т.е. прогноз оптимистичный.


                                  Но вот совсем же недавно проскочила новость про то, что Mozilla прогнется под Великобританию и не будет эти технологии для них использовать в Firefox.
                                    +1
                                    Не совсем так. Они просто не будут включать её по умолчанию в UK. Включить DOH в настройках можно будет в любой стране.
                                    0
                                    Т.е. прогноз оптимистичный.

                                    А вы оптимист.
                                    Но в целом я уверен, что современные разработки по обходу цензуры всё равно победят Роскомнадзор.

                                    Никакие способы обхода не могут работать при отсутствующих каналах связи, увы.
                                      +1
                                      Ага, а судебные, значит божья роса? Суды в этом ничего не понимают и автоматически запрещают любые присланные им ресурсы, максимум, «советуясь» с экспертами тётеклавой и дядемишей.
                                        0
                                        Но в целом я уверен, что современные разработки по обходу цензуры всё равно победят Роскомнадзор. Там нет и никогда не будет таких профессионалов...
                                        Т.е. прогноз оптимистичный.
                                        А может дело не в профессионализме? Сертификаты — бизнес, ВПН — бизнес. Кто-то получает хорошие прибыли из-за такой «непрофессиональной и глупой» работы РКН…
                                        +1

                                        Просто не надо держать сервера в РФ.

                                          +1
                                          причем тут сервера в рф?
                                            +3
                                            Если сервер не в РФ, то проблем с получением сертификата в letsencrypt не будет, да и других проблем не будет, которые РКН устраивает в РФ

                                            Спойлер — пока IP вашего сервера не попадёт под удар РКН
                                              0
                                              Но если ваши клиенты тоже не находятся в РФ, то и в таком случае пролем у вас не возникнет.
                                                0
                                                тем более, если вы и сами не в РФ
                                                  0
                                                  Именно.
                                                  0
                                                  Встречал упоминания (2018) о некоторых проблемах — когда трафик шел через РФ транзитом — он почему-то мог попадать под фильтрацию, так вот внезапно некоторые соседи по Европе узнали, что роскомнадзор есть и блочит.
                                                  0

                                                  Именно. Правда, пока трафик до/из ДЦ в РФ не блокируется РКН, но это пока.

                                                    0

                                                    Я немного играл с виртуалками под собственные разработки. И в Российских датацентрах не сильно то и фильтруют. Точнее ещё не разу на фильтр не попал. Думаю, это пока великий и могучий не развернул управление сетями из одной точки.

                                                      0
                                                      это пока корявости процесса
                                                      блокировать доступ к запрещенным ресурсам должны ISP, к ним в основном и возникают вопросы от органов по яровым, внедрениям сормов и прочим установкам ркновских «ревизоров» для проверки доступности заблокированных ресурсов.
                                                      Но услуги хостинга, колокейшна и прочих цодов и виртуалок — это не ISP, не телематика и не связь.
                                                      Поэтому пока и не блокируют
                                                  0
                                                  Все таки на хабре, думаю как на русскоязычном ресурсе, все таки большинство (или как минимум половина) работает в сегменте Российских клиентов, и заведомо ФЗ по хранению персональных данных не чужд.
                                                  По этому вариант с зарубежными сервервами исключается для большинства, и совет немного странный.
                                                    0
                                                    заведомо ФЗ по хранению персональных данных не чужд.

                                                    Вариант не хранить ПД в ИС — не вариант?
                                                    –1
                                                    ЖИТЬ!
                                                      –1
                                                      И себя?..
                                                      0
                                                      Где, блин, механизм разблокировки автоматической, если больше нет инкриминируемого ресурса на этом адресе?
                                                        0
                                                        В вашем варианте любой заблокированный ресурс сможет просто прыгать между 2 одними и теми же IP-адресами раз в сутки, и смысл блокировок исчезнет полностью.

                                                        Другой вопрос, что должен быть какой-то простой механизм апелляции «это теперь мой IP, вот мои документы, вот мой договор с дата-центром». Если ты обманщик и на самом деле аффилирован с тем же заблокированным ресурсом — ну и отлично, сразу обоих спалят. Иначе сейчас это похоже на коллекторов, которые исправно ждут у двери, в то время как дом должника уже давно снесён и на его месте построен торговый центр.
                                                          +6
                                                          смысл блокировок исчезнет полностью
                                                          А сейчас он есть?
                                                            0
                                                            коллекторов, которые бьют по голове всех, заходящих в торговый центр, построенный на месте дома должника…
                                                            0
                                                            возможно, такой задачи не стоит в принципе (см habr.com/ru/company/itsumma/news/t/470606/#comment_20727626)
                                                              0
                                                              «А вазелин надо еще заслужить» (С)
                                                                0

                                                                Там же где и баны ИП по днс резолвингу.

                                                                +1

                                                                Как блокировка сайта letsencrypt.org может заблокировать уже выпущенные сертификаты? Роскомнадзор не в состоянии удалить корневые сертификаты с наших компьютеров. Блокировка сайта может только усложнить выпуск и обновление сертификатов.

                                                                  +1
                                                                  Letsencrypt сертификаты выдает на относительно короткий срок, стандартная процедура — периодически запускаемый скрипт, автоматически тянущий обновленный серт с серверов letsencrypt.

                                                                  Если сервера недоступны, сертификат протухает… PROFIT!
                                                                    0

                                                                    let's encrypt выдает сертификат на 3 месяца. за месяц до его окончания они начинают яростно напоминать письмами, мол, чо-то у вас поломалося, скорей чините и обновляйте сертификат. А уж за месяц можно и как-то порешать вопрос.

                                                                      +1
                                                                      Единственное, что спасает в этом случае — то, что письма они шлют от имени своего домена, но с адресов сервис-провайдера. Иначе эти письма были бы точно также заблокированы (ибо блокировка по ip режет и почту), если ваша почта не хостится вне России.
                                                                        +1

                                                                        Естественно почту со служебными письмами о хосте/домене надо держать за пределами этого хоста/домена.

                                                                        0

                                                                        А мне почему-то яростно не напоминают…
                                                                        У них есть какой-то ЛК?

                                                                            –2
                                                                            А это интересный троллинг по нынешним временам — давать ссылку на недоступную документацию в статье о блокировке сайта целиком. Если что — вот ленивый метод обхода блокировки этой страницы.
                                                                              0
                                                                              Если нет доступа до let's encrypt, зачем вам от него документация?

                                                                              Ну и если честно, цели троллить не было. Что нагуглилось первым, то и линканул.
                                                                        0
                                                                        Как вариант, использовать сервис по получению LE сертификатов «от внешних источников», см. пример регистратора Porkbun. Т.е., оттуда просто периодически скачивать комплект файлов сертификата и не связываться с его получением «на месте».

                                                                        Отдельно, конечно, встанет вопрос безопасности (бо и приватный ключ тоже хранится в таком сервисе), но так или иначе будет вопрос доверия к такому сервису.
                                                                      0

                                                                      Главное — не рассказывайте Роскомнадзору про существование IPv6


                                                                      $ ping -c 2 -4 letsencrypt.org
                                                                      PING letsencrypt.org (167.99.137.12) 56(84) bytes of data.
                                                                      From zapret.hoztnode.net (92.63.108.22) icmp_seq=1 Destination Host Prohibited
                                                                      From zapret.hoztnode.net (92.63.108.22) icmp_seq=2 Destination Host Prohibited
                                                                      
                                                                      --- letsencrypt.org ping statistics ---
                                                                      2 packets transmitted, 0 received, +2 errors, 100% packet loss, time 1001ms
                                                                      
                                                                      $ ping -c 2 letsencrypt.org
                                                                      PING letsencrypt.org(2a03:b0c0:3:e0::1b:1 (2a03:b0c0:3:e0::1b:1)) 56 data bytes
                                                                      64 bytes from 2a03:b0c0:3:e0::1b:1 (2a03:b0c0:3:e0::1b:1): icmp_seq=1 ttl=57 time=42.7 ms
                                                                      64 bytes from 2a03:b0c0:3:e0::1b:1 (2a03:b0c0:3:e0::1b:1): icmp_seq=2 ttl=57 time=42.4 ms
                                                                      
                                                                      --- letsencrypt.org ping statistics ---
                                                                      2 packets transmitted, 2 received, 0% packet loss, time 1001ms
                                                                      rtt min/avg/max/mdev = 42.455/42.610/42.766/0.258 ms
                                                                        0
                                                                        а они еще года два назад поддержали в выгрузке v6 адреса
                                                                          0
                                                                          Но шанс того, что IPv6 блок который у let's-ов заблокируют, гораздо меньше. Правда если не включать ковровые бомбардировки телеграма, тут наука бессильна.
                                                                            0

                                                                            Это уже рабочий механизм? А сколько может среднее железо держать таблиц? А можно ли ipv6 блокировать подсетями бельше, чем рекомендовано на пользователя(не сильно владею данным вопросом, но там вроде как выдаётся сразу подсеть, а не 1ip)?

                                                                              0
                                                                              но там вроде как выдаётся сразу подсеть, а не 1ip

                                                                              Зависит от хостера или провайдера. Айхор, к своему стыду, даёт целых 4 адреса, а рекомендуемая подсеть /64 будет стоить дороже, чем всё имущество на планете Земля.
                                                                                0
                                                                                Не знаю насколько рабочий, потому что да, упирается все в емкость таблиц и производительность. Насколько мне известно, ввиду отсутствия массового внедрения v6 на последней миле все вяло подзабили.
                                                                              0
                                                                              А что ему рассказывать? МГТС уже блокирует ipv6. МТС правда нет.
                                                                              0

                                                                              sarcasm on
                                                                              Это лишний раз говорит о необходимости иметь собственные науиональные сертификаты, они никогда не будут заблокированы РКН
                                                                              sarcasm off

                                                                                0
                                                                                «Пропал дом… Что теперь будет с паровым отоплением?!» (с) Булгаков.
                                                                                  +2
                                                                                  ведомство даже не в курсе

                                                                                  Не исчерпывающее, но хорошее краткое объяснение принципов работы Роскомнадзора.
                                                                                    +1
                                                                                    Млять, у меня все сайты лягут, если в один момент выпуск сертификатов с серверов РФ будет заблокирован…
                                                                                      +1
                                                                                      Как я понимаю, если у меня сайт располагается за пределами РФ и OCSP Stapling включён, то сертификат при этом не отвалится у российских юзеров из-за отвалившейся проверки сертификата на наличие в списке отозванных? Или всё равно останутся точки отказа?
                                                                                        –1
                                                                                        Или всё равно останутся точки отказа?

                                                                                        Конечно, трансграничные кабели перережут, и до вашего ресурса не достучаться.
                                                                                          +1
                                                                                          Конечно, трансграничные кабели перережут, и до вашего ресурса не достучаться.
                                                                                          При таком раскладе — интернета в России не будет вообще (максимум — большая локальная сеть со «стабильностью» и полной стагнацией). Я же рассматриваю вариант в ситуации, пока в стране интернет всё ещё доступен.
                                                                                          0

                                                                                          Вопрос хороший, но мне кажется его надо расширить не только на LE, а на любой сертификат, ибо в РФ, вроде нет собственных корневых центров. Т.е. любой сертификат с OCSP Stapling потенциально может испытывать проблемы.

                                                                                          0

                                                                                          НЛО больше не заботится?
                                                                                          Плохо то что сертификаты там на 90 дней выдаются. Придётся через tor походу превыпускать.

                                                                                            0
                                                                                            Хорошо, что 90 дней, быстрее проблемы вскроются.
                                                                                              0

                                                                                              На самом деле телеграм-боты у многих так и работают. Через тор и прочие тунели


                                                                                              Да сейчас вообще без тунелей для обновлений тяжело. Вон недавно блокировали ресурсы откуда качает pip, не мог из-за этого обновить софтину одну


                                                                                              Но самый смешной случай был когда в одной гос.конторе у VMware сломался верификатор лицензий из-за РКН и им пришлось по-быстро обходить блокировки, иначе виртуалки не поднимались)

                                                                                                +1
                                                                                                На самом деле телеграм-боты у многих так и работают. Через тор и прочие тунели

                                                                                                На самом деле — нет. Через хостинг вовне РФ.
                                                                                              0
                                                                                              Оффтоп
                                                                                              Это садизм, делать шапку похожей на стереокартинку! Я минут 5 пытался разглядеть что там :(
                                                                                                0
                                                                                                Примерно так?
                                                                                                  +1
                                                                                                  Самое интересное, что там на самом деле нет парусника (просто набор геометрических фигур — можете поставить на паузу и проверить).
                                                                                                    0
                                                                                                    да, нет парусника, только фигуры)
                                                                                                0

                                                                                                IPv6 походу они не блокируют

                                                                                                  0
                                                                                                  Блокируют, но не все провайдеры это умеют делать.
                                                                                                  0
                                                                                                  Коллеги, вы специально забыли про то, что сертификаты выдаются по API, которое вообще не там?
                                                                                                    0

                                                                                                    Не забыли:


                                                                                                    ситуация может усугубиться, если на них перейдет и API Let's Encrypt.
                                                                                                      0
                                                                                                      А чем она сейчас плоха? Вообще пофиг же?
                                                                                                        0
                                                                                                        А сейчас просто нельзя зайти на сайт и почитать документашку.
                                                                                                    +2
                                                                                                    И кстати, коллеги, вы же написали офийциальный запрос в Роскомнадзор «Какого дьявола»? Можно посмотреть, я хочу его в канал опубликовать.
                                                                                                      0
                                                                                                      Я думаю, что автор точно ничего не писал в РКН.
                                                                                                        0
                                                                                                        Ну вот у меня есть подозрение. Я думаю, что самое время написать
                                                                                                          0
                                                                                                          Блин, а кто нибудь то написал вообще?)
                                                                                                          Или все ждут моря у погоды?)
                                                                                                            0
                                                                                                            Я думаю, что никто
                                                                                                      +1
                                                                                                      Блин. Вот почему вчера на клиентском VPS, между прочим на рекламируемом здесь RU VDS, не смог запуститься Lets Encrypt. А я голову ломаю. А что теперь делать-то?
                                                                                                        +1
                                                                                                        Маловероятно. API должно работать. Причин почему не взлетело — миллион

                                                                                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                      Самое читаемое