Роскомнадзор обновил рекомендации по блокировке запрещенных сайтов
Блокировать сайты просто так больше не получится. Спустя полгода после начала проблем Роскомнадзор выпустил рекомендации для интернет-провайдеров, в которых запретил DNS-резолвинг операторам, не имеющим DPI. Теперь они должны фильтровать запросы к DNS-серверам. Распоряжение о рекомендациях подготовлено 23 июня. Информация о нем на сайте Роскомнадзора 27 июня.
До этого провайдерам приходилось извлекать IP-адреса из DNS-записей доменного имени. Эта процедура называется DNS-резолвинг и делать ее были обязаны все операторы. Владельцы запрещенных ресурсов могли вносить в DNS-запись сайта любой IP-адрес, а операторы, не имевшие систем фильтрации трафика (DPI) блокировали его. Из-за этой уязвимости в системе блокировок в начале июня 2017 года был ограничен доступ ко многим крупным российским сайтам.
DNS-резолвинг операторы были обязаны производить, так как иначе рисковали получить 100-тысячный штраф от Роскомнадзора. За соблюдением предписаний ведомства следит аппаратный комплекс Агент-Ревизор.
Новые правила Роскомнадзора запрещают не имеющим DPI провайдерам самостоятельно вычислять IP-адреса. Они должны ограничивать доступ к доменному имени посредством фильтрации запросов ко всем DNS-серверам — чтобы компьютер пользователя «не узнал», по какому адресу находится запрещенный сайт, и не мог к нему подключиться.
«Операторам связи, не использующим DPI и осуществляющим ограничение доступа к доменному имени при помощи иных программных, аппаратных или программно-аппаратных средств, рекомендуется ограничивать доступ к доменному имени посредством фильтрации запросов ко всем DNS-серверам.».
Операторы также могут договариваться о совместной блокировке: когда один провайдер получает трафик у другого и тот уже блокировал сайт, то дополнительно его фильтровать не нужно.
Слабое место рекомендаций
Операторам, использующим DPI, рекомендовано продолжать самостоятельно определять актуальный сетевой адрес информационного ресурса, доступ к которому должен быть ограничен. То есть они должны продолжить делать DNS-резолвинг.
Как считают в Telegram-канале , такая рекомендация не поможет справиться с проблемой избыточных блокировок.
«Большинство решений... "DPI" работают таким образом, что не могут распознать домен по https, и будут блокировать IP-адрес целиком. То есть эти "рекомендации" не меняют вообще ничего», — сказано в сообщении канала.
HTTPS — это защищенный протокол передачи данных. Поддерживает шифрование. Данные в протоколе передаются поверх криптографических протоколов SSL или TLS.
