Минкомсвязи в понедельник выложило проект изменений к ФЗ от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», согласно которым:

Запрещается использование <…> протоколов шифрования, позволяющих скрыть имя (идентификатор) Интернет-страницы или сайта в сети «Интернет» <…> Нарушение запрета <…> влечет приостановление функционирования Интернет-ресурса <…>

Буквально это звучит так: если посетитель сайта использует протокол шифрования, позволяющий вот это все, мы заблокируем посещенный сайт. Как всегда, логично, но дальше еще интереснее:

Протокол шифрования, позволяющий скрыть имя (идентификатор) Интернет-страницы или сайта в сети «Интернет» – это абстрактный или конкретный протокол, включающий набор правил, регламентирующих использование криптографических преобразований и алгоритмов в информационные процессы.

Я даже знаю, откуда автор-дегенерат выкопал это определение – из Педивикии, где оно звучит чуть-чуть иначе и относится немного к другому термину:

Криптографический протокол – это абстрактный или конкретный протокол, включающий набор криптографических алгоритмов. В основе протокола лежит набор правил, регламентирующих использование криптографических преобразований и алгоритмов в информационных процессах.

Но самая мякотка – в пояснительной записке к этому высеру законопроекту.

По экспертным оценкам возрастает число случаев использования маскирующих протоколов, позволяющих скрыть фактические сетевые адреса устройств от внешних систем и протоколов шифрования. Все большее распространение получают протоколы с применением криптографических алгоритмов и методов шифрования TLS 1.3, ESNI, DoH (DNS поверх HTTPS), DoT (DNS поверх TLS).

Тут я окончательно запутался, протоколы шифрования – это хорошо или плохо? Мы их запрещаем, или переживаем, что от них что-то скрывают? А TLS 1.3 чем особенно плох, что мы его запрещать собираемся? А как же другие версии TLS, их тоже запрещаем, или как? А сайты Минспорта и ФМБА, где сейчас используется TLS 1.3, блокировать будем или это как раз «кроме определенных законом случаев»?

Из-за чего вообще сыр-бор, рассказываю. Хотим мы зайти на Пикабу, набираем pikabu.ru в адресной строке, браузер без понятия, что это и где, и обращается к специально обученному «справочнику» – DNS-серверу, который отвечает: это на IP 212.224.112.193, туда иди, там узнаешь точнее. Не спрашивайте, почему такой порядок, так устроен Интернет by design и всё.

Вдруг Роскомпозор решает объявить Пикабу террористическо-юмористическим сайтом, запрещенным к распространению на территории Российской Федерации. Что он делает? Приказывает всем российским провайдерам при обращении к их DNS-серверам в поисках pikabu.ru отвечать «Не положено!» Если клиент провайдера прямиком ломится на Пикабу, то тупо переадресовывать его на заглушку «Сайт внесет в список всего нехорошего».

Но мы ребята ушлые, мы умеем шифровать свой трафик и можем обращаться за «справками» и к иностранным DNS-серверам, которые хер клали на Роскомпозор и его представления о прекрасном. Роскомпозор в ответ требует у российских провайдеров фильтровать DNS-запросы, отсекая те из них, которые касаются запрещенных сайтов. Мы шифруем свои DNS-запросы (DoH или DoT), Роскомпозор заставляет провайдеров блокировать такие запросы. Мы в конце концов руками указываем IP сервера, где живет Пикабу и обходимся вообще без DNS-запросов.

Роскомпозор чешет репу и вспоминает про такую особенность протокола HTTPS, как SNI – Server Name Indication. Фишка в том, что даже если мы шифруем весь свой трафик (то есть, заходим на Пикабу по HTTPS), то весь он идет зашифрованным (что и где мы смотрим, никто по дороге узнать не может), но вот самый первый запрос содержит незашифрованное имя сайта, к которому мы обращаемся.

Привет, 212.224.112.193, мы пришли на pikabu.ru! Дальше все скрыто завесой мглы шифрования, но вот эта фраза передается открытым текстом, by design. Провайдерам поручается блокировать HTTPS-соединения, где SNI содержит имя запрещенного сайта. Мы отвечаем использованием зашифрованного SNI (Encrypted SNI, ESNI). Роскомпозор запрещает ESNI целиком и полностью… а заодно и TLS 1.3, чтоб два раза не вставать, видимо (но это неточно).

Сдается мне, этот высер похоронят, во всяком случае, в текущем виде. Но это тоже неточно…

Прекрасный сюжет от свидомых «журналистов» – «США отменили SSL-сертификат для ФСБ России». Прежде чем переходить по ссылке, имейте в виду: лапша утиная, сорт высший, продюсеры «Распятого мальчика» и «Жидобандеровских киборгов» курят в сторонке!

Для слабонервных рассказываю кратко, своими словами: какой-то дядя из Калифорнии, аттестованный как IT-бизнесмен из США российского происхождения, якобы сообщил, что США «отменили» SSL-сертификаты 35 российским «организациям», поэтому сайты Президента России и ФСБ России больше не поддерживают защищенное соединение (протокол HTTPS).

Скандалы, интриги, расследования… постойте, почему я узнаю об этом от какого-то местечкового издания? Где бешеное выражение озабоченностей Захаровой? Почему не блещет косноязычием Песков? Даже Пушков не разоблачает очередные происки заокеанских поджигателей войны. Я уж не говорю про «первую кнопку» или CNN, которым положено первыми реагировать на подобные события.

Шутка ли, Вашингтонский обком надавил на центры сертификации и те отозвали SSL-сертификаты по политическим мотивам – скандал на весь мир, под вопрос ставится вся система SSL-сертификации, сами основы современного Интернета! И тишина… и только дежурный по палате «искренне возмущен», призывает Русь к топору «жесткому ответу» и плюется в санитаров рад поводу напомнить о своем существовании.

Что еще удивительнее, я регулярно захожу на сайты Президента и ФСБ и они испокон не поддерживали защищенное соединение. Мораль? А какая тут может быть мораль… она выведена давно и не нами: все врут © но некоторые делают это под слишком забористыми веществами.