IP-адрес удостоверяющего центра Digicert внесен в реестр запрещенных сайтов08.10.2016 21:07

29 сентября Роскомнадзор, следуя решению Октябрьского районного суда г. Ставрополя от 2013 года, внес IP-адрес 93.184.220.29 в реестр запрещенных сайтов. Данное решение суда обязывает заблокировать сайты и мобильные приложения некоторых букмекерских контор, и если с блокировкой веб-сайтов все очевидно, то, по всей вероятности, с ограничением работоспособности приложений эксперты Ставропольской прокуратуры (от их имени было подано исковое заявление) сталкивались впервые, и просто задекларировали все IP-адреса, к которым обращалось приложение в момент запуска, включая адреса CRL (списка отзыва сертификатов) и серверов OCSP (сервер проверки состояния сертификатов) глобальных удостоверяющих центов, которые используются для шифрования по протоколу HTTPS.

Скриншот сайта eais.rkn.gov.ru

Об этом решении суда стало известно благодаря блокировке ссылок на файлы CRL Comodo в июле этого года («Роскомнадзор заблокировал самого себя и некоторые сайты правительства (Comodo)» от BupycNet), теперь же в реестр внесен адрес, принадлежащий другому удостоверяющему центру — Digicert.

$ host crl3.digicert.com
crl3.digicert.com is an alias for cs9.wac.phicdn.net.
cs9.wac.phicdn.net has address 93.184.220.29

$ host ocsp.digicert.com
ocsp.digicert.com is an alias for cs9.wac.phicdn.net.
cs9.wac.phicdn.net has address 93.184.220.29

Так, при попытке открыть сайты, использующие сертификаты Digicert, в Firefox и Chrome, вы столкнетесь с 3 или 10-секундной задержкой из-за невозможности проверки статуса сертификата, или вовсе лицезреть ошибку в браузерах, которые не позволяют открыть сайт в случае проблем проверки сертификата на отозванность (Safari на OS X).

Автор и комментаторы сайта shortcut.ru в заметке «Почему на Маке не работает Facebook»? отмечают неработоспособность Facebook.com и Github.com в Safari с 3 октября и предлагают отключить проверку отзыва в настройках ОС.

X509v3 Subject Alternative Name: 
    DNS:*.facebook.com, DNS:*.facebook.net, DNS:*.fb.com, DNS:*.fbcdn.net, DNS:*.fbsbx.com, DNS:*.m.facebook.com, DNS:*.messenger.com, DNS:*.xx.fbcdn.net, DNS:*.xy.fbcdn.net, DNS:*.xz.fbcdn.net, DNS:facebook.com, DNS:fb.com, DNS:messenger.com
X509v3 CRL Distribution Points: 

    Full Name:
        URI:http://crl3.digicert.com/sha2-ha-server-g5.crl

    Full Name:
        URI:http://crl4.digicert.com/sha2-ha-server-g5.crl


Запись в реестре на сайте Роскомсвободы

© Geektimes