Блокировка URL роликов YouTube

Всем привет, на связи Carbon Soft!

Как вы знаете, YouTube с мая перешел на принудительный HSTS и скорее всего значительная часть сервисов тоже начнёт его использовать. В связи с этим, блокировка отдельных URL, которые находятся в реестре запрещенных сайтов стала практически невозможна.

Мы направили официальное письмо в Роскомнадзор с просьбой разъяснить ситуацию и предоставить решение проблемы, юридическое или техническое, ведь неразумно блокировать ресурсы, которыми пользуются десятки миллионов абонентов России.

И вот что нам ответили:

В случае, если оператор связи не имеет технической возможности расшифровать в информационном потоке данных конкретный указатель страницы сайта в сети «Интернет» полагаем, что блокировка доступа может осуществляться, в том числе по доменному имени.

Оригинал обращения в РКН
Оригинал ответа от РКН

Проще говоря РКН ответил: если не можете расшифровать трафик, исполняйте закон и блокируйте весь домен.

Попробуем рассмотреть потенциальные решения проблемы

Блокировать всю соцсеть по домену или адресу подсети

Жуткое решение, чреватое перебежками пользователей от одного провайдера к другому. Хотя Роскомнадзор на наш запрос ответил: «Как хотите, так и делайте, только чтобы те URL, которые есть в реестре были заблокированы. Не можете вырвать URL, блокируйте весь домен.»

В варианте с блокировками по подсетям IP, скорее всего будут заблокированы в том числе многие другие сервисы google, что точно оттолкнёт абонентов от провайдера.

Проксировать только трафик от ревизора

С первого взгляда кажется разумным — и Роскомнадзор и абоненты спокойны. А вот паре провайдеров, которые так делали, а потом напоролись на предписания от прокуратуры после внезапных проверок — не кажется.

Проксировать трафик всех абонентов до youtube

По URL HTTPS отфильтровать в принципе возможно, но только с использованием проксирования с подменой сертификатов. У некоторых так и работает (хотя не понятно насколько это законно). В случае использования HSTS это будет работать только в одном случае — если пользователь сам добавит в свою операционную систему корневой сертификат, который будет использоваться на прокси-сервере. Так уже сделали в Казахстане (и это очень грустно). Автоматически это сделать довольно тяжело — максимум, что сейчас приходит в голову — на странице заглушке давать ссылку на этот сертификат + сделать рассылку по e-mail’ам.

Дополнительно скорее всего придётся дропать весь QUIC-трафик до youtube (http(s) over udp), либо придумывать что с ним делать.

Мысли по поводу снижения болезненности такого подхода:

Направлять в такое прокси весь трафик — было бы очень нежелательно, так создаётся угроза безопасности при доступе к интернет-банкам и многим другим важным вещам. Из мыслей — поднять что-то вроде CA, который выдаёт провайдерам сертификаты с зашитыми в них доменами, которые можно проксировать, либо заставить провайдеров явно это делать самостоятельно.

Второй вопрос — как направить в прокси только нужный трафик, пока что остаётся не решённым. Возможно хитро патчить прокси + использовать DNS-спуфинг одновременно, как бы дико это не звучало.

Блокировать только HTTP, спорить с РКН в судах/до суда

Если есть юридический отдел, попробовать можно. Но, если с РКН это, допустим, прокатит, как быть с прокуратурами и списком Минюста, где есть ссылки с использованием HTTPS — неизвестно.

Итог

Мы готовим новую версию Carbon Reductor с технической возможностью фильтрации HSTS, но автоматически настроить и включить это вряд ли представляется возможным.

В любом случае, оставайтесь на связи и следите за нашими новостями по адресу: www.carbonsoft.ru/blog

Среди наших клиентов

Клиенты Carbon Soft