Новость от @daber, канал ТГ: Tech Talk. 11/04/2025.
Вчера РКН выкатил рекомендацию для компаний отказаться от иностранных протоколов шифрования. А если отказаться от таких не представляется возможным, организациям предложили писать на почту РКН с просьбами добавить IP-адреса в белые списки.
Интернет читает новое послание как "мы снова собираемся всё блокировать", РКН и раньше так делал, в этом нет ничего нового, смотрите сами:
▪в 2023 году уже было требование для банков предоставить Роскомнадзору данные об использовании конкретных VPN-протоколов, тоже по электронной почте;
▪в 2021 году у банков попросили отчитаться об использовании конкретных VPN-сервисов на случай их скорой блокировки - Psiphon, Tunnelbear, Thunder и Redshield.
Теперь же по сути требование распространяется не только на банки и госорганизации, но и на бизнес, конкретики же никакой нет. Ещё это все больше походит на очередную попытку популяризации отечественных криптографических алгоритмов и сертификатов безопасности Минцифры, а кто не может или не хочет переходить на российские решения, запишитесь в список.
Как быть в случае с VPN: переходить на протоколы AWG или Xray и настраивать split tunneling. И будет вам интернет.
Продолжение темы : 24.4.25.:
Еще немного про белые списки: как XTLS Reality обходит его в Китае
Китайские провайдеры на региональном уровне тестируют белый список SNI (Server name indication). Там блокируют всё, что не входит в него — это тот самый параметр в TLS-соединении, где указано, к какому домену вы хотите подключиться (ещё до того, как начнётся шифрованный обмен). Поэтому цензоры могут легко проверять, к какому домену вы подключаетесь, и блокировать нежелательные.
Если в России подобные подходы станут реальностью, многие привычные инструменты обхода блокировок перестанут работать.
XTLS REALITY — решение, способное противостоять таким ограничениям, мимикрируя под подключения к разрешенным доменам. В SNI — полный порядок. Но внутри TLS-соединения спрятаны метки в Session ID, которые понимает только сервер. Они подсказывают ему: это не просто юзер, это VPN-клиент. Сертификаты тоже выглядят легитимно — никакая глубокая проверка пакетов (DPI) не заподозрит ничего подозрительного.
