Роскомнадзор отрежет интернет-сервисам возможность обхода блокировки ресурсов с помощью DoH-протоколов

[душман]

Российский регулятор намерен вывести защиту пользователей на новый уровень. В этом месяце Роскомнадзор намерен оценить инструменты, имеющиеся в распоряжении ведомства, для блокировки иностранных интернет-протоколов. В частности, речь идёт о DoH, внедряемом Mozilla и Google — он скрывает имя сайта и усложняет блокировку доступа к запрещённым в стране сайтам.

Для сохранения работоспособности сетей в Роскомнадзоре настоятельно советуют компаниям переходить на используемую стране Национальную систему доменных имён (НСДИ), а в начале сентября госкомпании получили от ведомства письма, призывающие проверить собственные информационные системы на использование протоколов, скрывающих имена сайтов.

Речь идёт о DNS-серверах Google и Cloudflare, а также сервисе DoH (DNS поверх HTTPS), внедряемом Mozilla и Google. До 9 сентября компаниям рекомендовали подключиться к российским DNS-сервисам или НСДИ. По некоторым данным, тестирование блокировки DNS-сервисов Google и Cloudflare состоялось уже 8 сентября. DNS-сервер определяет IP-адрес ресурса по его доменному имени. Технологию DoH используют для шифрования запроса, направляемого DNS-серверу, поэтому конечный узел «невидим» для провайдера и не позволяет эффективно блокировать доступ к нему в случае, если тот находится в числе запрещённых на территории России.

Технологии постепенно внедряются Mozilla в браузерах Firefox и Google — в Chrome как минимум с осени 2020 года. В то же время Минцифры выступило с законопроектом, позволяющим блокировать протоколы шифрования, скрывающие имена сайтов. Хотя известно, что закон так и не был принят, ещё в феврале прошлого года принято постановление правительства №127 «Об утверждении Правил централизованного управления сетью связи общего пользования», наделяющего полномочиями блокировки Роскомнадзор.

Полномочия делегируются в рамках закона «о суверенном рунете», предписывающем с 1 января текущего года владельцам ASN (специальных номеров автономных сетей в интернете крупных компаний) подключаться к НСДИ. Именно на этом уровне блокируются запросы к запрещённым ресурсам, а Роскомнадзор, по некоторым данным, уже начал штрафовать за отказ компаний подключаться к системе. При этом известно, что регулятор действует посредством персональных «рекомендаций» крупным компаниям, поэтому отслеживать подобные действия регулятора довольно трудно.

По мнению некоторых экспертов, блокировка защищённых DNS-серверов и протоколов может, например, привести к остановке работы браузера Firefox. При этом блокировка DNS-серверов Google и Cloudflare приведёт к их оперативной замене на альтернативные серверы, но это неизбежно приведёт к снижению приватности и безопасности интернет-соединений, чем не замедлят воспользоваться мошенники.