Правительство Казахстана решило блокировать сайты по национальному признаку серверов.
Блокировка введена в Казахстане Приказом Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 28 сентября 2020 года № 354/НҚ «О внесении изменений в приказ Министра оборонной и аэрокосмической промышленности Республики Казахстан от 13 марта 2018 года № 38/НҚ «Об утверждении Правил регистрации, пользования и распределения доменных имен в пространстве казахстанского сегмента Интернета». Хотя Приказ вступает в силу в течение 10 дней, блокировать сайты начнут с 1 февраля 2021 года.
По мнению диктатуры Казахстана ограничения и блокировки сайтов должны привести к бурному экономическому росту, стремительному развитию технологий и Интернета в Казахстане. Так по мнению чиновников, трансграничный трафик приносит вред экономике, так как терабайты Казахстанской информации утекают заграницу и оседают в карманах Рокфеллеров, Цекербергов, Потаниных и Сечиных. Только блокировки сайтов могут защитить и поддержать Казахскую экономику, а создание региональной сети вместо глобального Интернета защитит граждан Казахстана от пагубного влияния западных игр, контента, новостей и литературы.
Чиновники Казахстана уверены, что запреты и ограничения позволят создать мультипликативный эффект в экономике:
- Это дополнительные рабочие места в отрасли
- Утилизация профицита электроэнергии
- Сокращение внешнего интернет-трафика
Операторы связи смогут больше вкладывать в развитие местных сетей связи и повышать качество оказываемых услуг.
Это официальная информация с государственных сайтов Казахстана. Каким образом мультипликативный эффект будет достигнут, правительство Казахстана не уточняет, видимо в связи с уже начавшимся подсчетом дополнительных денег хлынувших в бюджет Казахстана от введения новых запретов. Конечно, это смешно, мы понимаем что чиновники достаточно глупые и не дальновидные люди, которые не способны создать более-менее вменяемы правила для Интернет индустрии. Несмотря на миллиардные бюджеты и доступ к лучшим экспертам, неразвитые государства продолжают политику локализации Интернета. Однако эта политика обречена на провал, не потому что это технически чрезвычайно сложно для для Китая, но это еще и требует систематических миллиардных инвестиций и создание соответствующей стандартизации и оборудования. Не Россия, не Китай с этой задачей пока не справились и попытки Казахстана, соответствовать тоталитарной повестке этих государств выглядят глупо.
Условия диктатора Казахстана о размещении и использовании серверов
Территориальное образование Казахстан выдвигает ряд технических требований к сайтам и их владельцам для улучшения экономики и ускорения развития информационных технологий. Так Казахские чиновники выдвигают следующие требования к владельцам сайтов в зоне .KZ:
Размещение сайтов на аппаратно-программных комплексах вне территории Республики Казахстан запрещено.
Сайт (веб-сайт, веб-приложение, веб-сервис, конструктор) использующий домен .kz обязан размещаться на компьютере-сервере (арендованном, собственном, облачном хостинге, VDS-хостинге, виртуальном хостинге), размещенном в датацентре (серверной, офисе) в любом городе Казахстана. Сервер обязан быть подключен к казахстанскому интернет-провайдеру и использовать казахстанский ip-адрес (выделенный или общий).
Если вы обходите законодательство Казахстана о блокировке сайтов обратите внимание на пункты:
16. Пользование доменным именем в пространстве казахстанского сегмента Интернета приостанавливается – перечислены все условия, простым языком:1. Разместили сайт на серверах не в Казахстане
2. На сайте не установлен и не настроен SSL сертификат
3. На сайте есть зараза – вирусы, дефейсы, результаты взломов, спам
Если ваш сайт или сервер не казахской национальности, то рисовать на сервере узкие глазки и обливать кумысом не поможет
Решили обмануть проверяющих и скрыли ip-адрес через проксирование и нет договора на хостинг в Казахстане – отключат домен (в теории). Но с другой стороны, доменная зона .KZ мертва, а рынок доменов предлагает сотни более респектабельных и красивых донных зон, причем по очень адекватным ценам.
Хостинг должен быть в Казахстане для основного домена и для субдоменов.
А (ipv4), AAAA (ipv6), CNAME записи (за исключением записей для DNS и почты) для домена в зоне .KZ, субдомена www и прочих субдоменов обязаны ссылаться на IP-адреса, закрепленные за AS (автономная система) и анонсируемые в Казахстане. В России используется аналогичная система, но она не работает, единственное что пока предлагает Роскомнадзор, это уведомление РКН о настройке форвардеров на их сервера DNS и регистрацию в специальном реестре РАНР.
Whois по IP-адресу обязан отображать значение country – KZ. DNS и почту можно размещать в любой стране.
Записи NS (DNS-сервера), MX (почтовые сервера), TXT, SPF могут ссылаться на сервисы и IP-адреса в любой стране без ограничений.
Скрываете IP-адрес зарубежного хостинга через проксирование – нарушение, последует отключение домена и порка Талибами. Запрещается использовать проксирование трафика (перенаправления трафика, VPN, туннелирования, URL Frame forwarding) на зарубежные сервисы и IP-адреса для сокрытия хостинга вне Казахстана.
Защита от атак не запрещена, но нужно предоставить в адрес уполномоченного органа (КИБ МЦРИАП РК) документы на хостинг расположенный в Казахстане. При скрытии IP-адреса сайта вследствие использования сервисов защиты от DDoS-атак (Cloudflare, Stormwall, DDoS-GUARD, Qrator, Imperva Incapsula и др.) нужно предоставить (Регистратуре, уполномоченному органу) действующий договор или подтверждение оплаты услуг хостинга в Казахстане. Такой вот бред.
Перенаправление на домены в других зонах можно делать если сервер перенаправления в Казахстане. URL Redirect (URL Forwarding) разрешены на домены в любых зонах без ограничений при использовании сервера для переадресации в Казахстане.
И это не все. Правительство Казахстана пытается перехватывать трафик между пользователями и сайтами
Казахстан предпринял третью попытку внедрения системы перехвата HTTPS-трафика, в которой осуществляется подмена, используемых некоторыми сайтами TLS-сертификатов. Сегодня клиенты нескольких крупных казахских провайдеров в городе Нур-Султан, включая Beeline, Tele2 и Kcell, получили уведомление о необходимости установки на свои системы дополнительного сертификата для продолжения доступа к некоторым иностранным сайтам, таким как Twitter и Facebook. Утверждается, что перехват трафика производится в рамках учений “Кибербезопасность Нур-Султан 2020”.
Применяемый метод перехвата представляет собой классическую МiTM-атаку: при установке TLS-соединения реальный сертификат целевого сайта подменяется сгенерированным на лету новым сертификатом. Данный сертификат будет помечен браузером как достоверный, только если пользователь добавит в хранилище корневых сертификатов дополнительный сертификат, связанный цепочкой доверия с подменённым сертификатом. Навязываемый корневой сертификат нарушает схему проверки удостоверяющих центров, так как сгенерировавший данный сертификат орган не проходил аудит безопасности, не соглашался с требованиями к удостоверяющим центрам и не обязан следовать установленным правилам, т.е. может сформировать сертификат для любого сайта под любым предлогом и полностью контролировать трафик.
Напомним, что первая попытка перехвата HTTPS-трафика в Казахстане была предпринята в 2015 году. Правительство Казахстана попыталось добиться включения корневого сертификата подконтрольного удостоверяющего центра в хранилище корневых сертификатов Mozilla, но в ходе аудита было выявлено намерение использовать данный сертификат для слежки за пользователями, и заявка была отклонена. После этого в Казахстане были приняты поправки к закону «О связи», предписывающие установку “национального сертификата безопасности” самими пользователями. Внедрение системы перехвата было запланировано на 1 января 2016 года, но намерение не было воплощено в жизнь.
Вторая попытка произошла в июле 2019 года. Система перехвата была введена в строй многими крупными провайдерами под видом заботы о безопасности пользователей и желания оградить их от предоставляющего угрозу контента. Через две недели перехват был прекращён с пояснением, что это было лишь тестирование технологии. Спустя месяц Google, Mozilla и Apple добавили применяемый для перехвата корневой сертификат в список отозванных сертификатов (OneCRL). После данного шага навязываемый сертификат потерял смысл из-за того, что Firefox, Chrome/Chromium, Safari и основанные на их коде браузеры начали выводить предупреждение о нарушении безопасности, независимо от ручной установки “национального сертификата безопасности”.