На днях сообщество обратило внимание, что IP-адреса Letsencrypt.org попали в реестр запрещенных сайтов Роскомнадзора. Конкретно речь идет об адресах 142.93.108.123 и 167.99.129.42. Это означает, что сертификаты Let's Encrypt тоже будут заблокированы на территории Российской Федерации, если на подобных IP-адресах будет размещен API сервиса.

Однако все не так просто: Роскомнадзор не банил Letsencrypt.org. Возможно, ведомство даже не в курсе о существовании подобной организации, однако вышло так, что сервис стал получать IP-адреса, которые ранее уже были внесены в реестр. То есть мы столкнулись с отложенной проблемой блокировок по IP — получением забанненых адресов честными ресурсами.

Пока на новые IP переехал только веб-сайт компании, однако ситуация может усугубиться, если на них перейдет и API Let's Encrypt.

В качестве проверки мы дигнули letsencrypt.org с нашего питерского сервера:

# dig A letsencrypt.org

; <<>> DiG 9.9.4-RedHat-9.9.4-51.el7_4.2 <<>> A letsencrypt.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;letsencrypt.org. IN A

;; ANSWER SECTION:
letsencrypt.org. 7 IN A 167.99.129.42

 
Как видите, сайт «сидит» на заблокированном IP-адресе. Из Иркутска нам возвращался уже совершенно другой IP, кстати, тоже заблокированный.

Вообще, вся эта история началась еще в 2017 году, когда суд вынес несколько постановлений о блокировки доступа к нескольким ресурсам. Вот что нам говорит Роскомсвобода:

источник: habrastorage.org


Обратите внимание на дату внесения в реестр сайтов. Самая ранняя запись — от 2016 года, когда ведомство ограничило доступ к ресурсу primedice.com. Это анонимное криптовалютное казино. Вообще по запросу ФНС айпишников тогда побанили богато:

источник: habrastorage.org

На этом же IP позже были замечены еще одно криптовалютное онлайн-казино, зеркало букмекерских контор, страница со стихами о любви и смерти и какой-то криминальный документ, где, видимо, были некие сомнительные инструкции или призывы к чему-либо. Все они были внесены в реестр уже в 2019 году.

Ситуация с тем, что Роскомнадзор банит по IP все подряд, в том числе и целые подсети, не нова. Вопрос в том, что заблокированных IP-адресов и целых подсетей уже стало так много, что под раздачу попадают вполне себе приличные сайты. Еще одна возможная причина проблем — переезд Let's Encrypt несколько дней назад от Akamai Technologies, Inc. к Digital Ocean. Посмотреть можно тут.

источник: habrastorage.org

Какого-либо оптимистичного прогноза в этой ситуации нет: надежда на то, что в Роскомнадзоре одумаются и осознают, что блокировка по IP бесполезное занятие, пока слаба. Иностранные же компании никогда не начнут работать с оглядкой на этот реестр — не настолько важен и велик рынок РФ для того, чтобы двигаться в этом направлении.

Комментарии на серч по этому поводу