<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<p><br>
</p>
<p>по суті питання</p>
<br>
<p>якщо Ви про сайти, е-мейли - аутентифікація клієнта не
виконується у 99% випадків при підключенні (веб браузери з компів
і телефонів і т.і.)</p>
<p>тобто, клієнт вирішую підключатись чи не подключатись. Не сервер</p>
<p>Деякі аплікухи можуть вирушувати (certificate pinning), але це
доволі незначна частка і на суть питання не впливає<br>
</p>
<p><br>
</p>
<p>сертифікати видаються центром сертифікації (issuing CA)<br>
</p>
<p>Ось один з прикладів (роскомнадзор)<br>
</p>
<p><img src="cid:part1.0dDSqpIn.FueLq1Aw@melnik.org.ua" alt=""></p>
<p><br>
</p>
<p>використувується let's encrypt. Детальніше</p>
<p><img src="cid:part2.2xEQhZAA.NLF53L8K@melnik.org.ua" alt=""></p>
<p><br>
</p>
<p>let's enrypt це проект що видає свої сертифікати від свого центру
сертифікації R3 (Issuing CA)</p>
<p>ISRG Root X1 - це корньовий</p>
<p><br>
</p>
<p> Просто так забанити тількі російськи не вийде. R3 Центр
сертифікації видає сертифікати всім. Це бот (let's encypt) в
будь-якій доменній зоні і з будь-яким ім'ям<br>
</p>
<br>
<p>Які є інші варіанти?<br>
</p>
<p>якщо є доступ к Subject Names & SANs - можна відзивати
сертифікати по доменним ім'ям в цих записах. Наприклад, xxxx.ru,
*.xxxx.ru</p>
<p>Але, такий варіант спрацює тільки при запиті до кожної
компанії/проекту індивідуально (наприклад, COMODO, Verisign,
Digicert, Globalsign, GoDaddy, Let's encrypt, ...)</p>
<p><br>
</p>
<p>Чи спрацює це?</p>
<p>Частково</p>
<p>Як вже було написано, клієнт виріщує підключаться чи ні<br>
</p>
<p><br>
</p>
<p>Наприклад, було відізвано всі сертифікати для .ru доменів</p>
<p>позиція apple (iphone, ipad), не дозволяти підключатись при
наявності проблем с сертифікатом (не может бути перевірена його
достовірніть у випадку, якщо його було відізвано)</p>
<p>позиція google (android) - мені невідома. Враховуючи HTTPS
політику гугл, думаю, аналогічно apple<br>
</p>
<p>на компах буде з'являтись попередження яке можна буде ігнорувати
(в багатьох випадках) і підключатись. Сайти з HSTS - не так
багато. Для HSTS сайтів ігнорування неможливе<br>
</p>
<p><br>
</p>
<p><br>
</p>
<p>які ще є варіанти? Список не повний<br>
</p>
<p>- фільтрація по IP (це спрацює для кожного сервісу чи компанії де
проходить трафік. На роутері, не сервері)</p>
<p>дивитись тут</p>
<p><a class="moz-txt-link-freetext" href="https://blog.ip2location.com/knowledge-base/how-to-block-ip-addresses-from-a-country-using-ipset/">https://blog.ip2location.com/knowledge-base/how-to-block-ip-addresses-from-a-country-using-ipset/</a></p>
<p>зручно, швидко, легко<br>
</p>
<p>- route blackholes</p>
<p>зробити можна на софтових раутерах та залізних Cisco, Juniper,
Huawei, ...</p>
<p>можливо, потрібна підтримка advanced license або аналогічне щось
для кожного вендора для додавання всіх RU IP блоків<br>
</p>
<p>потрібно буде список RU IP блоків (попереднє посилання) + скрипт</p>
<p>аналогічно - зручно, швидко, легко<br>
</p>
<p>- BGP hijacking<br>
</p>
<p>найефективніший варіант. Якщо є контакти в точках обміну та ISP
- анонсуйте RU IP блоки. Всі або частково</p>
<p>такі компії повинні приймати bogus BGP announces. Просто так не
спрацює</p>
<p>ці компії навіть самі можуть анонсувати. Але, це потрубує від їх
партнерів аналогічних кроків. Доволі багато вже автоматизовано і
таке не проканає в багатьох випадках<br>
</p>
<p>зручно і легко, не швидко<br>
</p>
<p><br>
</p>
<p>PS інтернет залишається фронтом в обидва боки. Його відмикання
відімкне не тільки ЇХ, а ще, також, нашу можливість отримувати
інформацію НАМ<br>
</p>
<p>Просто нагадаю про Кібератаки</p>
<br>
<p><br>
</p>
On 28/02/2022 22:48, Alex Cherevko wrote:<br>
<blockquote type="cite"
cite="mid:01ef01d82cec$f7bd9350$e738b9f0$@gmail.com">
<pre class="moz-quote-pre" wrap="">Это не работает. Нужно либо с помощью всевозможных ограничений сделать жизнь обычных россиян невыносимой, прямо, как жизни тысяч моих коллег, которых мы сообща пытаемся вытянуть сейчас 24/7 из под обстрелов. Чтобы россияне либо окончательно захлебнулись, закрылись и стали зоной отчуждения для всех нормальных людей. Либо жизнь стала настолько невыносимой, чтобы они восстали и распались наконец-то на много маленьких воронежских республик.
И очень жаль, что талантливые умные люди в этом списке из тех, кто не в ТРО и не в армии, тратят свое время впустую вместо того, чтобы применить сейчас свои технические навыки по всем виртуальным фронтам. Не осталось полутонов - сейчас либо черное, либо белое.
Не желаю никому ничего плохого, но мнение быстро меняется, когда близко сталкиваешься с катастрофическими ситуациями. Следующие поколения - хорошо, но мы с вами, в том числе, живем здесь и сейчас.
</pre>
<blockquote type="cite">
<pre class="moz-quote-pre" wrap="">-----Original Message-----
From: uanog <a class="moz-txt-link-rfc2396E" href="mailto:uanog-bounces+allliv=gmail.com@uanog.kiev.ua"><uanog-bounces+allliv=gmail.com@uanog.kiev.ua></a> On Behalf
Of Eduard M
Sent: Monday, February 28, 2022 8:58 AM
To: Taras Heichenko <a class="moz-txt-link-rfc2396E" href="mailto:tasic@academ.kiev.ua"><tasic@academ.kiev.ua></a>
Cc: <a class="moz-txt-link-abbreviated" href="mailto:uanog@uanog.kiev.ua">uanog@uanog.kiev.ua</a>
Subject: Re: [uanog] Idea to block russia at DNS / SSL level or at IP level.
У людей повинна бути можливість отримувати інформацію з іншої
сторони
З цим сусідом потім жити. Сподіваюсь, адекватність можна привити
наступним поколінням
Як вже тут зазначили, роскомнадзор може забанити :)
Sent from my iPhone
</pre>
<blockquote type="cite">
<pre class="moz-quote-pre" wrap="">On 28 Feb 2022, at 12:07, Taras Heichenko <a class="moz-txt-link-rfc2396E" href="mailto:tasic@academ.kiev.ua"><tasic@academ.kiev.ua></a>
</pre>
</blockquote>
<pre class="moz-quote-pre" wrap="">wrote:
</pre>
<blockquote type="cite">
<pre class="moz-quote-pre" wrap="">
</pre>
<blockquote type="cite">
<pre class="moz-quote-pre" wrap="">On 28 Feb 2022, at 12:27, VASYL MELNYK <a class="moz-txt-link-rfc2396E" href="mailto:basil@vpm.net.ua"><basil@vpm.net.ua></a> wrote:
У нас соревнования, кто придумает самую большую глупость?
Наоборот россияне должны иметь возможность получать
</pre>
</blockquote>
</blockquote>
<pre class="moz-quote-pre" wrap="">информацию, а с блокировкой всего справится роскомнадзор.
</pre>
<blockquote type="cite">
<pre class="moz-quote-pre" wrap="">
Поки що ні з чим не сперечаюсь, просто питаю: навіщо?
</pre>
<blockquote type="cite">
<pre class="moz-quote-pre" wrap="">
</pre>
<blockquote type="cite">
<blockquote type="cite">
<pre class="moz-quote-pre" wrap="">27 февр. 2022 г., в 05:32, Alex Cherevko <a class="moz-txt-link-rfc2396E" href="mailto:allliv@gmail.com"><allliv@gmail.com></a>
</pre>
</blockquote>
</blockquote>
</blockquote>
</blockquote>
<pre class="moz-quote-pre" wrap="">написал(а):
</pre>
<blockquote type="cite">
<blockquote type="cite">
<blockquote type="cite">
<pre class="moz-quote-pre" wrap="">
Привет, долгое время не читал list и не получал писем. Может вы
</pre>
</blockquote>
</blockquote>
</blockquote>
<pre class="moz-quote-pre" wrap="">уже обсудили тут все и действуете.
</pre>
<blockquote type="cite">
<blockquote type="cite">
<blockquote type="cite">
<pre class="moz-quote-pre" wrap="">
Идея в том, чтобы запретить серверам и клиентам в рашке
</pre>
</blockquote>
</blockquote>
</blockquote>
<pre class="moz-quote-pre" wrap="">использовать DNS сервера, как минимум, в штатах (корневые, другие и
т.п.) + корневые и (intermidiate) SSL сертификаты.
</pre>
<blockquote type="cite">
<blockquote type="cite">
<blockquote type="cite">
<pre class="moz-quote-pre" wrap="">
А вообще – может и трафик из рашки.
Написал шеф:
терміново шукаю спеціаліста (не важливо наш чи з іншої компанії),
</pre>
</blockquote>
</blockquote>
</blockquote>
<pre class="moz-quote-pre" wrap="">що розуміє як працюють корньові ssl сертифікати. Суть ідеї - наскільки я
пам'ятаю, корньові належать компаніям зі США і можна заблокувати
тупо всю систему SSL Россії якщо коректно відізвати ключі російських
компаній.
</pre>
<blockquote type="cite">
<blockquote type="cite">
<blockquote type="cite">
<pre class="moz-quote-pre" wrap="">
(Я вже забув всі деталі то ж треба хтось, хто курив мануали пізніше
</pre>
</blockquote>
</blockquote>
</blockquote>
<pre class="moz-quote-pre" wrap="">за мене, і може валідувати можливість реалізації).
</pre>
<blockquote type="cite">
<blockquote type="cite">
<blockquote type="cite">
<pre class="moz-quote-pre" wrap="">
Якщо дійсно можна то підемо говорити з корньовиками та
</pre>
</blockquote>
</blockquote>
</blockquote>
<pre class="moz-quote-pre" wrap="">запустимо через наших і дружніх волонтерів наратив «US (company
name) take out Russian SSL certificates to destroy russian Internet).
</pre>
<blockquote type="cite">
<blockquote type="cite">
<blockquote type="cite">
<pre class="moz-quote-pre" wrap="">
Дякую.
Может я поздно и вы уже все обсудили?
Если нет – реализуемо с технической стороны?
Просьба дать ответы по тех части.
С уважением,
Александр
_______________________________________________
uanog mailing list
<a class="moz-txt-link-abbreviated" href="mailto:uanog@uanog.kiev.ua">uanog@uanog.kiev.ua</a>
<a class="moz-txt-link-freetext" href="https://mailman.uanog.kiev.ua/mailman/listinfo/uanog">https://mailman.uanog.kiev.ua/mailman/listinfo/uanog</a>
</pre>
</blockquote>
<pre class="moz-quote-pre" wrap="">_______________________________________________
uanog mailing list
<a class="moz-txt-link-abbreviated" href="mailto:uanog@uanog.kiev.ua">uanog@uanog.kiev.ua</a>
<a class="moz-txt-link-freetext" href="https://mailman.uanog.kiev.ua/mailman/listinfo/uanog">https://mailman.uanog.kiev.ua/mailman/listinfo/uanog</a>
</pre>
</blockquote>
<pre class="moz-quote-pre" wrap="">
--
Taras Heichenko
<a class="moz-txt-link-abbreviated" href="mailto:tasic@academ.kiev.ua">tasic@academ.kiev.ua</a>
_______________________________________________
uanog mailing list
<a class="moz-txt-link-abbreviated" href="mailto:uanog@uanog.kiev.ua">uanog@uanog.kiev.ua</a>
<a class="moz-txt-link-freetext" href="https://mailman.uanog.kiev.ua/mailman/listinfo/uanog">https://mailman.uanog.kiev.ua/mailman/listinfo/uanog</a>
</pre>
</blockquote>
<pre class="moz-quote-pre" wrap="">_______________________________________________
uanog mailing list
<a class="moz-txt-link-abbreviated" href="mailto:uanog@uanog.kiev.ua">uanog@uanog.kiev.ua</a>
<a class="moz-txt-link-freetext" href="https://mailman.uanog.kiev.ua/mailman/listinfo/uanog">https://mailman.uanog.kiev.ua/mailman/listinfo/uanog</a>
</pre>
</blockquote>
</blockquote>
</body>
</html>