Если у вас отвалятся сертификаты Let's Encrypt, то в этом виноват Роскомнадзор со своими блокировками по IP
На днях сообщество обратило внимание, что IP-адреса Letsencrypt.org попали в реестр запрещенных сайтов Роскомнадзора. Конкретно речь идет об адресах 142.93.108.123 и 167.99.129.42. Это означает, что сертификаты Let’s Encrypt тоже будут заблокированы на территории Российской Федерации, если на подобных IP-адресах будет размещен API сервиса.
Однако все не так просто: Роскомнадзор не банил Letsencrypt.org. Возможно, ведомство даже не в курсе о существовании подобной организации, однако вышло так, что сервис стал получать IP-адреса, которые ранее уже были внесены в реестр. То есть мы столкнулись с отложенной проблемой блокировок по IP — получением забанненых адресов честными ресурсами.
Пока на новые IP переехал только веб-сайт компании, однако ситуация может усугубиться, если на них перейдет и API Let’s Encrypt.
В качестве проверки мы дигнули letsencrypt.org с нашего питерского сервера:
# dig A letsencrypt.org
; <<>> DiG 9.9.4-RedHat-9.9.4–51.el7_4.2 <<>> A letsencrypt.org
;; global options: +cmd
;; Got answer:
;; →>HEADER<<- opcode: QUERY, status: NOERROR, id: 60567
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
; letsencrypt.org. IN A
;; ANSWER SECTION:
letsencrypt.org. 7 IN A 167.99.129.42
Как видите, сайт «сидит» на заблокированном IP-адресе. Из Иркутска нам возвращался уже совершенно другой IP, кстати, тоже заблокированный.
Вообще, вся эта история началась еще в 2017 году, когда суд вынес несколько постановлений о блокировки доступа к нескольким ресурсам. Вот что нам говорит Роскомсвобода:
Обратите внимание на дату внесения в реестр сайтов. Самая ранняя запись — от 2016 года, когда ведомство ограничило доступ к ресурсу primedice.com. Это анонимное криптовалютное казино. Вообще по запросу ФНС айпишников тогда побанили богато:
На этом же IP позже были замечены еще одно криптовалютное онлайн-казино, зеркало букмекерских контор, страница со стихами о любви и смерти и какой-то криминальный документ, где, видимо, были некие сомнительные инструкции или призывы к чему-либо. Все они были внесены в реестр уже в 2019 году.
Ситуация с тем, что Роскомнадзор банит по IP все подряд, в том числе и целые подсети, не нова. Вопрос в том, что заблокированных IP-адресов и целых подсетей уже стало так много, что под раздачу попадают вполне себе приличные сайты. Еще одна возможная причина проблем — переезд Let’s Encrypt несколько дней назад от Akamai Technologies, Inc. к Digital Ocean. Посмотреть можно тут.
Какого-либо оптимистичного прогноза в этой ситуации нет: надежда на то, что в Роскомнадзоре одумаются и осознают, что блокировка по IP бесполезное занятие, пока слаба. Иностранные же компании никогда не начнут работать с оглядкой на этот реестр — не настолько важен и велик рынок РФ для того, чтобы двигаться в этом направлении.
