Рунет не для протокола
Сервисам отрезают возможности обхода блокировок
Газета «Коммерсантъ» №163 от 10.09.2021, стр. 1
Роскомнадзор предупредил, что в сентябре протестирует блокировку ряда иностранных интернет-протоколов, скрывающих имя сайта, включая DoH, который внедряют Mozilla и Google. Такие протоколы могут затруднить блокировку доступа к запрещенным ресурсам. Чтобы сохранить работоспособность сетей, ведомство рекомендует переходить на Национальную систему доменных имен (НСДИ). Блокировка современных протоколов шифрования приведет к снижению приватности и безопасности в рунете, говорят эксперты. Кроме того, может быть ограничен доступ к популярным ресурсам, например, браузеру Firefox.
В начале сентября госкомпании, по данным “Ъ”, получили письма от Роскомнадзора с просьбой проверить, не используют ли их корпоративные, технологические сети и приложения протоколы шифрования, скрывающие имя сайта. В частности, речь идет о DNS-серверах Google, Cloudflare (обеспечивает защиту веб-порталов) и сервисе DoH, который внедряют Mozilla и Google. Для устойчивой работы сетей Роскомнадзор предложил компаниям до 9 сентября подключиться к DNS-сервисам российских операторов связи или НСДИ. Прямо в письме о блокировках не говорилось, но обычно такие документы госструктуры получают незадолго до них. По данным независимого IT-эксперта Артема Ионова, тестирование блокировки протоколов состоялось вечером 8 сентября. Информацию об этом он опубликовал в Twitter. В Роскомнадзоре, Google, Cloudflare и Mozilla не ответили “Ъ”.
DNS-сервер позволяет определить IP-адрес узла в интернете по его доменному имени. Технология DoH (DNS поверх HTTPS) используется для шифрования запроса, который устройство пользователя направляет DNS-серверу провайдера, чтобы открыть желаемый сайт. При их использовании интернет-провайдер не видит, к какому домену обращается пользователь, что потенциально может затруднить блокировку доступа к запрещенным ресурсам.
Эти технологии внедряют разработчики браузеров Firefox (компания Mozilla) и Google Chrome, чтобы создавать защищенные интернет-соединения. Google начала поэтапно включать поддержку DoH для пользователей своего браузера Chrome на мобильной платформе Android в сентябре 2020 года. Тогда же Минцифры разработало законопроект, позволяющий блокировать протоколы шифрования, которые скрывают имя сайта (см. “Ъ” от 22 сентября 2020 года). Но инициатива не продвинулась дальше обсуждения.
В министерстве “Ъ” сообщили, что в феврале 2020 года было принято постановление правительства №127 «Об утверждении Правил централизованного управления сетью связи общего пользования», которое регулирует предмет законопроекта и наделяет соответствующими полномочиями Роскомнадзор.
Постановление принято в рамках закона «о суверенном рунете» (вступил в силу в ноябре 2019 года), по которому в случае угрозы отключения национального сегмента от глобального интернета Россия может ввести централизованное управление сетью. В рамках этого же закона с 1 января 2021 года начало действовать требование о том, чтобы владельцы ASN (специальных номеров автономных сетей в интернете крупных компаний) подключались к НСДИ, отмечает преподаватель Moscow Digital School Олег Блинов. Именно на уровне НСДИ решается задача блокировки запросов к запрещенным ресурсам, объясняет он. Ранее Роскомнадзор уже начал штрафовать компании за отказ подключиться к системе (см. “Ъ” от 31 августа).
Правовые основания тестовых блокировок Роскомнадзора зарубежных DNS-серверов непрозрачны, считает Олег Блинов: «Служба последний год все больше действует в режиме направления личных обращений крупным игрокам в формате «рекомендаций», что осложняет общественный контроль над такими действиями».
Роскомнадзор пресекает использование приложениями защищенных DNS-серверов по шифрованному соединению, которые помогают обходить блокировки, объясняет независимый эксперт, автор Telegram-канала «Эшер II» Филипп Кулин. Такие технологии, по его словам, использовал в 2018 году Telegram, чтобы избежать блокировки. Если будут заблокированы перечисленные DNS-серверы и протоколы, перестанет работать браузер Firefox, считает эксперт.
В случае блокировки DNS-серверов Google и Cloudflare провайдеры оперативно поменяют их на другие DNS-серверы, считает директор АНО «Информационная культура» Иван Бегтин. Но сейчас это самые быстрые DNS-серверы с высокой степенью защищенности, добавляет он: «Их блокировка может привести не только к снижению приватности, но и безопасности интернет-соединений, чем непременно воспользуются мошенники».