В России хотят запретить протоколы ESNI, DoT и DoH

Сам текст законопроекта

Про запрет eSNI — почему это важно для всех
IT и СОРМ • September 21, 2020
Почему они запрещают eSNI
В АПшечке очень сильно припекло от очередного, ещё большего успеха Умного Голосования.
Как вы понимаете, их страшно бесит доступный для всех жителей России сайт УМ Г. Сайт УМГ — важнейшая часть


Помимо УМГ, на ресурсах Google хостятся другие сайты, чтобы избежать блокировки, включая зеркало Рутрекера.
В этом году Роскомнадзор добавил зеркало Рутрекера в реестр, но с каким-то неактуальным IP-адресом, чтобы не заблокировать другие сервисы Google.
Таким образом, зеркало рутрекера было заблокировано только у тех провайдеров, у которых стоит DPI на весь трафик. Только если пустить 100% трафика через DPI, для блокировки не нужны IP-адреса ресурса, чтобы завернуть их через «DPI-on-demand».
Они заблокировали зеркало Рутрекера с единственной целью: посмотреть процент доступности ресурса, если блокировать его только по домену, без актуализации IP-адресов в реестре.
По данным моей системы мониторинга, результат такой блокировки был около 60%, то есть примерно для 40% пользователей рунета сайт остался доступным.
Эти 40% пользователей выходят в интернет через провайдеров, у которых не установлен DPI на весь трафик, потому что это дорого.
По каким-то политическим причинам (на самом деле, понятным — все будут смеяться), они не были готовы блокировать сайт УМГ с 60% успеха в этом электоральном сезоне.
Как же достичь 100% блокировки сайта, который хостится на Google, при этом не заблокировав ресурсы самого Google?
Правильно, поставить всем операторам на весь трафик DPI, который сможет блокировать чисто по домену.
Именно для этого (и для блокировок Telegram по протоколам) был придуман «закон о суверенном интернете».
В рамках него всем операторам ставится ТСПУ (DPI производства конторы РДП.ру), но последний год установка почти не велась.
Знаете, когда она активизировалась? Правильно, на прошлой неделе, ровно после очередного успеха УМГ.

Что мы собирались делать (и будем)

Раз уж в АП прознали планы, расскажу о них и вам.
Следующим способом обхода блокировок со стороны ресурса является eSNI — это когда домен, который содержится в обмене данных между браузером и сайтом, зашифрован. В этом случае DPI, через который проходит трафик, не видит домен, и, соответственно, не блокирует трафик.
Даже если предположить, что все браузеры поддерживают eSNI, сам по себе он — не панацея, потому что в реестр вносятся IP-адреса ресурса, и всё, ресурс заблокирован несмотря на eSNI.
То есть, нужно использовать комплекс мер: серверы с поддержкой eSNI + быстрая ротация IP-адресов на основе фактической доступности с сети мониторинга.
Но с eSNI есть некоторые проблемы:
1. Он ещё не поддерживается браузерами, вокруг его драфтов идут большие споры, и всё вообще идёт к зашифрованному Client Hello в TLS 1.3 (который, под это дело, решили запретить вообще целиком).
2. Вместо принципа «разрешено всё, что не запрещено», некоторые популярные в РФ DPI, в том числе, производства РДП.ру (чей DPI начали ставить всем операторам за счёт государства), просто блокируют весь eSNI-трафик, потому что в нём нельзя найти домен.
То есть, нужна была большая кампания по «пробиванию» работы eSNI через такие DPI — нужно было долбить провайдеров, а те, в свою очередь, долбили бы поставщиков своего DPI.
Мы готовили такую кампанию, чтобы к моменту поддержки eSNI в браузерах, он работал в России в принципе.
В АП понимали всё это, именно поэтому появился закон, запрещающий eSNI.

Почему всё это снова аукнется для Роскомнадзора и Министерства Цифровой Деградации

Мир с космической скоростью летит в сторону зашифрованного SNI, чтобы никто, включая государства, не видел, на какие сайты вы заходите.
Достаточно скоро он будет поддерживаться всеми браузерами, а после этого на него начнут переходить сайты.
Никакой Google, Facebook или CloudFlare не будет смотреть, ходит ли eSNI-трафик в какой-то там России, поэтому они просто перестанут работать, и вам придётся открутить этот запрет.
А что касается нас — мы всё равно вас победим, по крайней мере, на цифровом поле.
Единственный способ заблокировать УМГ техническими средствами — выключить интернет.
Мы не сдадимся и будем идти до конца.
Сурс