<html>

  <head>

    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">

  </head>

  <body>

    <p><br>

    </p>

    <p>по суті питання</p>

    <br>

    <p>якщо Ви про сайти, е-мейли - аутентифікація клієнта не

      виконується у 99% випадків при підключенні (веб браузери з компів

      і телефонів і т.і.)</p>

    <p>тобто, клієнт вирішую підключатись чи не подключатись. Не сервер</p>

    <p>Деякі аплікухи можуть вирушувати (certificate pinning), але це

      доволі незначна частка і на суть питання не впливає<br>

    </p>

    <p><br>

    </p>

    <p>сертифікати видаються центром сертифікації (issuing CA)<br>

    </p>

    <p>Ось один з прикладів (роскомнадзор)<br>

    </p>

    <p><img src="cid:part1.0dDSqpIn.FueLq1Aw@melnik.org.ua" alt=""></p>

    <p><br>

    </p>

    <p>використувується let's encrypt. Детальніше</p>

    <p><img src="cid:part2.2xEQhZAA.NLF53L8K@melnik.org.ua" alt=""></p>

    <p><br>

    </p>

    <p>let's enrypt це проект що видає свої сертифікати від свого центру

      сертифікації R3 (Issuing CA)</p>

    <p>ISRG Root X1 - це корньовий</p>

    <p><br>

    </p>

    <p> Просто так забанити тількі російськи не вийде. R3 Центр

      сертифікації видає сертифікати всім. Це бот (let's encypt)  в

      будь-якій доменній зоні і з будь-яким ім'ям<br>

    </p>

    <br>

    <p>Які є інші варіанти?<br>

    </p>

    <p>якщо є доступ к Subject Names & SANs - можна відзивати

      сертифікати по доменним ім'ям в цих записах. Наприклад, xxxx.ru,

      *.xxxx.ru</p>

    <p>Але, такий варіант спрацює тільки при запиті до кожної

      компанії/проекту індивідуально (наприклад, COMODO, Verisign,

      Digicert, Globalsign, GoDaddy, Let's encrypt, ...)</p>

    <p><br>

    </p>

    <p>Чи спрацює це?</p>

    <p>Частково</p>

    <p>Як вже було написано, клієнт виріщує підключаться чи ні<br>

    </p>

    <p><br>

    </p>

    <p>Наприклад, було відізвано всі сертифікати для .ru доменів</p>

    <p>позиція apple (iphone, ipad), не дозволяти підключатись при

      наявності проблем с сертифікатом (не может бути перевірена його

      достовірніть у випадку, якщо його було відізвано)</p>

    <p>позиція google (android) - мені невідома. Враховуючи HTTPS

      політику гугл, думаю, аналогічно apple<br>

    </p>

    <p>на компах буде з'являтись попередження яке можна буде ігнорувати

      (в багатьох випадках) і підключатись. Сайти з HSTS - не так

      багато. Для HSTS сайтів ігнорування неможливе<br>

    </p>

    <p><br>

    </p>

    <p><br>

    </p>

    <p>які ще є варіанти? Список не повний<br>

    </p>

    <p>- фільтрація по IP (це спрацює для кожного сервісу чи компанії де

      проходить трафік. На роутері, не сервері)</p>

    <p>дивитись тут</p>

    <p><a class="moz-txt-link-freetext" href="https://blog.ip2location.com/knowledge-base/how-to-block-ip-addresses-from-a-country-using-ipset/">https://blog.ip2location.com/knowledge-base/how-to-block-ip-addresses-from-a-country-using-ipset/</a></p>

    <p>зручно, швидко, легко<br>

    </p>

    <p>- route blackholes</p>

    <p>зробити можна на софтових раутерах та залізних Cisco, Juniper,

      Huawei, ...</p>

    <p>можливо, потрібна підтримка advanced license або аналогічне щось

      для кожного вендора для додавання всіх RU IP блоків<br>

    </p>

    <p>потрібно буде список RU IP блоків (попереднє посилання) + скрипт</p>

    <p>аналогічно - зручно, швидко, легко<br>

    </p>

    <p>- BGP hijacking<br>

    </p>

    <p>найефективніший варіант. Якщо є контакти в точках обміну та ISP 

      - анонсуйте RU IP блоки. Всі або частково</p>

    <p>такі компії повинні приймати bogus BGP announces. Просто так не

      спрацює</p>

    <p>ці компії навіть самі можуть анонсувати. Але, це потрубує від їх

      партнерів аналогічних кроків. Доволі багато вже автоматизовано і

      таке не проканає в багатьох випадках<br>

    </p>

    <p>зручно і легко, не швидко<br>

    </p>

    <p><br>

    </p>

    <p>PS інтернет залишається фронтом в обидва боки. Його відмикання

      відімкне не тільки ЇХ, а ще, також, нашу можливість отримувати

      інформацію НАМ<br>

    </p>

    <p>Просто нагадаю про Кібератаки</p>

    <br>

    <p><br>

    </p>

    On 28/02/2022 22:48, Alex Cherevko wrote:<br>

    <blockquote type="cite"

      cite="mid:01ef01d82cec$f7bd9350$e738b9f0$@gmail.com">

      <pre class="moz-quote-pre" wrap="">Это не работает. Нужно либо с помощью всевозможных ограничений сделать жизнь обычных россиян невыносимой, прямо, как жизни тысяч моих коллег, которых мы сообща пытаемся вытянуть сейчас 24/7 из под обстрелов. Чтобы россияне либо окончательно захлебнулись, закрылись и стали зоной отчуждения для всех нормальных людей. Либо жизнь стала настолько невыносимой, чтобы они восстали и распались наконец-то на много маленьких воронежских республик.

И очень жаль, что талантливые умные люди в этом списке из тех, кто не в ТРО и не в армии, тратят свое время впустую вместо того, чтобы применить сейчас свои технические навыки по всем виртуальным фронтам. Не осталось полутонов - сейчас либо черное, либо белое.

Не желаю никому ничего плохого, но мнение быстро меняется, когда близко сталкиваешься с катастрофическими ситуациями. Следующие поколения - хорошо, но мы с вами, в том числе, живем здесь и сейчас.

</pre>

      <blockquote type="cite">

        <pre class="moz-quote-pre" wrap="">-----Original Message-----

From: uanog <a class="moz-txt-link-rfc2396E" href="mailto:uanog-bounces+allliv=gmail.com@uanog.kiev.ua"><uanog-bounces+allliv=gmail.com@uanog.kiev.ua></a> On Behalf

Of Eduard M

Sent: Monday, February 28, 2022 8:58 AM

To: Taras Heichenko <a class="moz-txt-link-rfc2396E" href="mailto:tasic@academ.kiev.ua"><tasic@academ.kiev.ua></a>

Cc: <a class="moz-txt-link-abbreviated" href="mailto:uanog@uanog.kiev.ua">uanog@uanog.kiev.ua</a>

Subject: Re: [uanog] Idea to block russia at DNS / SSL level or at IP level.

У людей повинна бути можливість отримувати інформацію з іншої

сторони

З цим сусідом потім жити. Сподіваюсь, адекватність можна привити

наступним поколінням

Як вже тут зазначили, роскомнадзор може забанити  :)

Sent from my iPhone

</pre>

        <blockquote type="cite">

          <pre class="moz-quote-pre" wrap="">On 28 Feb 2022, at 12:07, Taras Heichenko <a class="moz-txt-link-rfc2396E" href="mailto:tasic@academ.kiev.ua"><tasic@academ.kiev.ua></a>

</pre>

        </blockquote>

        <pre class="moz-quote-pre" wrap="">wrote:

</pre>

        <blockquote type="cite">

          <pre class="moz-quote-pre" wrap="">

</pre>

          <blockquote type="cite">

            <pre class="moz-quote-pre" wrap="">On 28 Feb 2022, at 12:27, VASYL MELNYK <a class="moz-txt-link-rfc2396E" href="mailto:basil@vpm.net.ua"><basil@vpm.net.ua></a> wrote:

У нас соревнования, кто придумает самую большую глупость?

Наоборот россияне должны иметь возможность получать

</pre>

          </blockquote>

        </blockquote>

        <pre class="moz-quote-pre" wrap="">информацию, а с блокировкой всего справится роскомнадзор.

</pre>

        <blockquote type="cite">

          <pre class="moz-quote-pre" wrap="">

Поки що ні з чим не сперечаюсь, просто питаю: навіщо?

</pre>

          <blockquote type="cite">

            <pre class="moz-quote-pre" wrap="">

</pre>

            <blockquote type="cite">

              <blockquote type="cite">

                <pre class="moz-quote-pre" wrap="">27 февр. 2022 г., в 05:32, Alex Cherevko <a class="moz-txt-link-rfc2396E" href="mailto:allliv@gmail.com"><allliv@gmail.com></a>

</pre>

              </blockquote>

            </blockquote>

          </blockquote>

        </blockquote>

        <pre class="moz-quote-pre" wrap="">написал(а):

</pre>

        <blockquote type="cite">

          <blockquote type="cite">

            <blockquote type="cite">

              <pre class="moz-quote-pre" wrap="">

Привет, долгое время не читал list и не получал писем. Может вы

</pre>

            </blockquote>

          </blockquote>

        </blockquote>

        <pre class="moz-quote-pre" wrap="">уже обсудили тут все и действуете.

</pre>

        <blockquote type="cite">

          <blockquote type="cite">

            <blockquote type="cite">

              <pre class="moz-quote-pre" wrap="">

Идея в том, чтобы запретить серверам и клиентам в рашке

</pre>

            </blockquote>

          </blockquote>

        </blockquote>

        <pre class="moz-quote-pre" wrap="">использовать DNS сервера, как минимум, в штатах (корневые, другие и

т.п.) + корневые и (intermidiate) SSL сертификаты.

</pre>

        <blockquote type="cite">

          <blockquote type="cite">

            <blockquote type="cite">

              <pre class="moz-quote-pre" wrap="">

А вообще – может и трафик из рашки.

Написал шеф:

терміново шукаю спеціаліста (не важливо наш чи з іншої компанії),

</pre>

            </blockquote>

          </blockquote>

        </blockquote>

        <pre class="moz-quote-pre" wrap="">що розуміє як працюють корньові ssl сертифікати. Суть ідеї - наскільки я

пам'ятаю, корньові належать компаніям зі США і можна заблокувати

тупо всю систему SSL Россії якщо коректно відізвати ключі російських

компаній.

</pre>

        <blockquote type="cite">

          <blockquote type="cite">

            <blockquote type="cite">

              <pre class="moz-quote-pre" wrap="">

(Я вже забув всі деталі то ж треба хтось, хто курив мануали пізніше

</pre>

            </blockquote>

          </blockquote>

        </blockquote>

        <pre class="moz-quote-pre" wrap="">за мене, і може валідувати можливість реалізації).

</pre>

        <blockquote type="cite">

          <blockquote type="cite">

            <blockquote type="cite">

              <pre class="moz-quote-pre" wrap="">

Якщо дійсно можна то підемо говорити з корньовиками та

</pre>

            </blockquote>

          </blockquote>

        </blockquote>

        <pre class="moz-quote-pre" wrap="">запустимо через наших і дружніх волонтерів наратив «US (company

name) take out Russian SSL certificates to destroy russian Internet).

</pre>

        <blockquote type="cite">

          <blockquote type="cite">

            <blockquote type="cite">

              <pre class="moz-quote-pre" wrap="">

Дякую.

Может я поздно и вы уже все обсудили?

Если нет – реализуемо с технической стороны?

Просьба дать ответы по тех части.

С уважением,

Александр

_______________________________________________

uanog mailing list

<a class="moz-txt-link-abbreviated" href="mailto:uanog@uanog.kiev.ua">uanog@uanog.kiev.ua</a>

<a class="moz-txt-link-freetext" href="https://mailman.uanog.kiev.ua/mailman/listinfo/uanog">https://mailman.uanog.kiev.ua/mailman/listinfo/uanog</a>

</pre>

            </blockquote>

            <pre class="moz-quote-pre" wrap="">_______________________________________________

uanog mailing list

<a class="moz-txt-link-abbreviated" href="mailto:uanog@uanog.kiev.ua">uanog@uanog.kiev.ua</a>

<a class="moz-txt-link-freetext" href="https://mailman.uanog.kiev.ua/mailman/listinfo/uanog">https://mailman.uanog.kiev.ua/mailman/listinfo/uanog</a>

</pre>

          </blockquote>

          <pre class="moz-quote-pre" wrap="">

--

Taras Heichenko

<a class="moz-txt-link-abbreviated" href="mailto:tasic@academ.kiev.ua">tasic@academ.kiev.ua</a>

_______________________________________________

uanog mailing list

<a class="moz-txt-link-abbreviated" href="mailto:uanog@uanog.kiev.ua">uanog@uanog.kiev.ua</a>

<a class="moz-txt-link-freetext" href="https://mailman.uanog.kiev.ua/mailman/listinfo/uanog">https://mailman.uanog.kiev.ua/mailman/listinfo/uanog</a>

</pre>

        </blockquote>

        <pre class="moz-quote-pre" wrap="">_______________________________________________

uanog mailing list

<a class="moz-txt-link-abbreviated" href="mailto:uanog@uanog.kiev.ua">uanog@uanog.kiev.ua</a>

<a class="moz-txt-link-freetext" href="https://mailman.uanog.kiev.ua/mailman/listinfo/uanog">https://mailman.uanog.kiev.ua/mailman/listinfo/uanog</a>

</pre>

      </blockquote>

    </blockquote>

  </body>

</html>