На сайте regulation.gov.ru опубликован проект поправок к закону «Об информации», по которым на территории России предлагается запретить использование протоколов шифрования, скрывающих имя сайта. Согласно пояснительной записке, речь идет о протоколах TLS 1.3 с расширением ESNI (используется для размещения на одном IP-адресе нескольких HTTPS-сайтов), DoH (DNS поверх HTTPS), DoT (DNS поверх TLS) и расширении к протоколу, сообщает «Коммерсант».
Речь идет о протоколах, которые используют все крупные интернет-ресурсы, для того чтобы защитить пользователей от киберпреступников: скрыть адрес сайта, на который пользователь хочет перейти, и не дать возможности мошеннику подменить его фишинговым. Цель предлагаемых Минцифры поправок – противодействие распространению в интернете противоправной информации, указывают в пояснительной заметке авторы документа, ссылаясь на решение Совета безопасности. Шифрование способно снизить эффективность использования существующих систем фильтрации, что, в свою очередь, значительно затрудняет выявление ресурсов с запрещенной информацией. Принятие законопроекта окажет положительное воздействие на выявление таких сайтов, считают разработчики законопроекта.
В случае нарушения запрета Минцифры предлагает приостанавливать функционирование интернет-ресурса уполномоченным федеральным органом исполнительной власти. Вместе с тем в министерстве напомнили, что в Едином реестре российских программ для электронных вычислительных машин и баз данных содержатся сведения о протоколах шифрования, которые можно использовать в соответствии с законодательством, – эти сведения являются открытыми и общедоступными.
Пока технологии DoH и DoT экспериментальны, но их постепенно внедряют разработчики браузеров Firefox (компания Mozilla) и Google Chrome. В феврале в Firefox включили DoH по умолчанию для американских пользователей. Google начала поэтапно включать поддержку DoH для пользователей Chrome на Android в начале сентября.
DoH и DoT используются для шифрования запроса, который устройство пользователя направляет DNS-серверу провайдера, чтобы открыть желаемый сайт. Обычно он передается в открытом виде, что, например, позволяет узнать, какой сайт хочет посетить пользователь. Этим могут воспользоваться мошенники, если речь идет о публичных сетях. Кроме того, запрос видит и провайдер. Если пользователь собрался на заблокированный сайт, то провайдер, как правило, не позволяет его открыть. Но если DNS-запрос зашифрован, то сайт откроется.
Отработка возможностей блокировки трафика, зашифрованного с использованием технологий DNS поверх HTTPS и TLS, - одно из мероприятий плановых учений Минцифры по обеспечению устойчивой работы Рунета. Согласно опубликованному в начале 2020 года приказу министерства, эти учения должны были пройти 20 марта, но впоследствии были отменены. Другие учения Минцифры, запланированные на конец июня и сентября, также были отменены, проведение учений 20 декабря пока также под вопросом, заявлял ранее глава Минцифры Максут Шадаев.
Как пишут «Ведомости», ссылаясь на своих экспертов, законопроект является логичным продолжением закона о блокировке сайтов, принятого в 2013 году, так как с помощью протоколов шифрования заблокированные ресурсы обходят фильтры Роскомнадзора.
Также это может быть попыткой заставить работать существующий закон, однако такими протоколами пользуются также практически все легальные интернет-ресурсы – например, протокол TLS 1.3 прописан в стандарте Payment Card Industry Data Security, разработанном международными платежными системами Visa, MasterCard, American Express, JCB и Discover и направленном на обеспечение безопасности данных владельцев карт
По состоянию на 2020 г. сайты, которые не поддерживают протокол шифрования адреса, во всех ключевых интернет-браузерах помечаются как ненадежные и начиная с некоторого момента сами браузеры могут закрыть доступ к таким сайтам.
