[AdmSasha]

Как интересно идет проверка

T xxx.xxx.xxx.xxx:60309 -> 195.216.243.234:80 [AP]
 GET /watch/IsNbUmKvSTu/mirovoi-prizyv-hizb-ut-tahrir-2016/08.html HTTP/1.1..Host: www.myhit.kz..Connection: clos
 e..User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537
 .36..Accept-Encoding: identity;q=1.0, *;q=0..Accept-Charset: utf-8;q=1.0, *;q=0.1....

А в реестре оно https...

 

 

И очень много идет запросов на rostelecom.ru. Проверка связи ?

[pers123]

Как интересно идет проверка

T xxx.xxx.xxx.xxx:60309 -> 195.216.243.234:80 [AP]
 GET /watch/IsNbUmKvSTu/mirovoi-prizyv-hizb-ut-tahrir-2016/08.html HTTP/1.1..Host: www.myhit.kz..Connection: clos
 e..User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537
 .36..Accept-Encoding: identity;q=1.0, *;q=0..Accept-Charset: utf-8;q=1.0, *;q=0.1....

А в реестре оно https...

 

 

И очень много идет запросов на rostelecom.ru. Проверка связи ?

Управляющий сервер в ростелеке?

[AdmSasha]

Управляющий сервер в ростелеке?

Речь идет о запросах таких

 

T xxx.xxx.xxx.xxx:55655 -> 109.207.14.3:80 [AP]
 GET / HTTP/1.1..Host: rostelecom.ru..Connection: close..User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537
 .36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36..Accept-Encoding: identity;q=1.0, *;q=0..Accept-Charset
 : utf-8;q=1.0, *;q=0.1....
#

[alibek]

Недавно заблокировали один сайт.

На сайте РКН к нему непонятное примечание — доступ не ограничивается.

Что это означает?

[AdmSasha]

Лично у меня этого сайта нет реестре, а у вас он есть ? Видать был, а потом сняли когда то.

[Tem]

Лично у меня этого сайта нет реестре, а у вас он есть ? Видать был, а потом сняли когда то.

 

С 15 января он в реестре

[pers123]

Управляющий сервер в ростелеке?

Речь идет о запросах таких

 

T xxx.xxx.xxx.xxx:55655 -> 109.207.14.3:80 [AP]
 GET / HTTP/1.1..Host: rostelecom.ru..Connection: close..User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537
 .36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36..Accept-Encoding: identity;q=1.0, *;q=0..Accept-Charset
 : utf-8;q=1.0, *;q=0.1....
#

Интересно, что в ответе сервера.

Это может быть просто тест доступности, а может быть управляющий сервер, хотя rostelecom.ru, это просто проверка доступности.

[AdmSasha]

С 15 января он в реестре

т.е. в вашем xml он есть ? Под каким он номером ? Специально сейчас еще раз проверил, нету его.

[alibek]

 <content id="369620" includeTime="2017-01-15T09:54:14" entryType="2" blockType="domain" hash="4D0DA71C39EE24B56A3E55A2F35028DE">
   <decision date="2016-10-20" number="определение о предварительном обеспечении по заявлению № 2и-0744/2016" org="Мосгорсуд"/>
   <domain><![CDATA[the-cinema.ru]]></domain>
   <ip>185.43.220.8</ip>
 </content>

Только вопрос не в том, когда он включен в реестр, а в том, что означает «доступ не ограничивается».

[AdmSasha]

С 15 января он в реестре

Да, точно, он есть. У меня в админ-форме поиск по доменам не работал :)

[uropek]

У кого-нибудь есть жалобы от абонентов на личный кабинет на zakupki.gov.ru.

 

Там ошибку выдает ERR_SSL_PROTOCOL_ERROR.

 

Может опять какой-нить центр сертификации в реестр попал или все таки у госзакупок руки немного кривоватые?

[snvoronkov]

Может опять какой-нить центр сертификации в реестр попал или все таки у госзакупок руки немного кривоватые?

Второе:

 

$ openssl s_client -connect zakupki.gov.ru:443 < /dev/null
CONNECTED(00000003)
3074066108:error:140920F8:SSL routines:SSL3_GET_SERVER_HELLO:unknown cipher returned:s3_clnt.c:946:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 47 bytes and written 7 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
   Protocol  : TLSv1
   Cipher    : 0000
   Session-ID: 
   Session-ID-ctx: 
   Master-Key: 
   Key-Arg   : None
   PSK identity: None
   PSK identity hint: None
   SRP username: None
   Start Time: 1484634668
   Timeout   : 300 (sec)
   Verify return code: 0 (ok)

 

Upd:

https://www.ssllabs.com/ssltest/analyze.html?d=zakupki.gov.ru

 

Assessment failed: Unsupported key algorithm: ECGOST3410

 

Вот так вот вам! Вражьими алгоритмами пользоваться некошерно! :-)

Изменено 17 января, 2017 пользователем snvoronkov

[DimaM]

openssl s_client -connect zakupki.gov.ru:443 < /dev/nullCONNECTED(00000003)3074066108:error:140920F8:SSL routines:SSL3_GET_SERVER_HELLO:unknown cipher returned:s3_clnt.c:946:

 

не, не так :)

 

openssl s_client -connect zakupki.gov.ru:443
...
SSL handshake has read 2504 bytes and written 522 bytes
---
New, TLSv1/SSLv3, Cipher is GOST2001-GOST89-GOST89
Server public key is 256 bit
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
   Protocol  : TLSv1
   Cipher    : GOST2001-GOST89-GOST89
...

[Sergey Gilfanov]

не, не так :)

SSL-Session:
   Protocol  : TLSv1
   Cipher    : GOST2001-GOST89-GOST89
...

И, кажется, все считаются устаревшими, что TLSv1, что ГОСТ 89. Насчет последнего могу ошибаться(, но TLSv1 - точно.

[snvoronkov]

не, не так :)

Это-ж ему еще и libgost.so в конфиге подсовывать надо!

[MATPOC]

Получили сюрприз в отчёте от Ревизора в виде тысячи (!) пропущенных ресурсов. В результате анализа "пропущенных" урлов выяснили, что Ревизор теперь стал запрашивать не только URL, но и IP этого урла, указанный в Реестре. И хоть у нас есть заглушки в локальном DNS для этих доменов, но IP в реестре указаны старые и на этих IP уже вполне добропорядочные ресурсы, типа http://www.ameliadavismd.com/

Изменено 19 января, 2017 пользователем MATPOC

[pers123]

Судя по всему разработчики ревизора и надзор экспприментируют на живых сетях

[AdmSasha]

Вот интересный запрос

T xxx.xxx.xxx.xxx:51842 -> 69.172.201.153:80 [AP]

GET /2016/12/20/& HTTP/1.1..Host: www.is-news.com..Connection: close..User-Agent: Mozilla/5.0 (Windows NT 6.1) A

ppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36..Accept-Encoding: identity;q=1.0, *;q=0..

Accept-Charset: utf-8;q=1.0, *;q=0.1....

 

Интерес в том, что url передана не верно и посчитали за нарушение.

[snik_1900]

Получили сюрприз в отчёте от Ревизора в виде тысячи (!) пропущенных ресурсов. В результате анализа "пропущенных" урлов выяснили, что Ревизор теперь стал запрашивать не только URL, но и IP этого урла, указанный в Реестре. И хоть у нас есть заглушки в локальном DNS для этих доменов, но IP в реестре указаны старые и на этих IP уже вполне добропорядочные ресурсы, типа http://www.ameliadavismd.com/

 

И как теперь быть? Кто как из этой ситуации планирует выбираться?

Сейчас ещё раз перечитал "Памятку оператору связи":

если content.blockType = domain то Если указано значение «domain», то указатели страниц сайтов (URL) для данной реестровой записи будут отсутствовать, необходимо ограничить доступ к домену целиком.

если content.blockType = domain-mask, то Если указано значение «domain-mask», то указатели страниц сайтов (URL) для данной реестровой записи будут отсутствовать, значение доменного имени будет указано с маской в виде «*.domain.com». При этом необходимо ограничить доступ к основному доменному имени, а также ко всем доменным именам, подпадающим под маску.

ПРО БЛОКИРОВКУ ПО IP ПРИ content.blockType = domain-mask ИЛИ domain НЕТ НИ СЛОВА!!! Какой порт на этом IP нужно блокировать? Или полностью весь IP?

Я туплю или нас заставляют нарушать их же инструкцию?

Изменено 20 января, 2017 пользователем snik_1900

[alibek]

Я туплю или нас заставляют нарушать их же инструкцию?

А кто заставляет нарушать?

[snik_1900]

Я туплю или нас заставляют нарушать их же инструкцию?

А кто заставляет нарушать?

Когда, после очередной проверке, придет штраф - узнаем ;) :(

[Tosha]

Получили сюрприз в отчёте от Ревизора в виде тысячи (!) пропущенных ресурсов. В результате анализа "пропущенных" урлов выяснили, что Ревизор теперь стал запрашивать не только URL, но и IP этого урла, указанный в Реестре. И хоть у нас есть заглушки в локальном DNS для этих доменов, но IP в реестре указаны старые и на этих IP уже вполне добропорядочные ресурсы, типа http://www.ameliadavismd.com/

Правильно ли я понял:

Они сначала одобрили способ закрытия ресурсов с помощью специальных ответов DNS сервера, а потом сделали так, чтобы ревизор не использовал DNS сервер провайдера и обходил блокировку сделанную DNS сервером провайдера? Более того они скорее всего вообще DNS запросы не делают при этом варианте проверки.

 

Весьма забавно...

 

Лично мы уже давно поняли что их рекомендациям следовать опасно. Они как специально предлагают несовершенную методику (а совершенных не придумать) а потом, зная недостатки (еще бы они не знали недостатки и ограничения своей методики), они ловят тех простаков которые применяют методику.

[alibek]

Когда, после очередной проверке, придет штраф - узнаем ;) :(

Ни вижу причин для штрафов.

[snik_1900]

Получили сюрприз в отчёте от Ревизора в виде тысячи (!) пропущенных ресурсов. В результате анализа "пропущенных" урлов выяснили, что Ревизор теперь стал запрашивать не только URL, но и IP этого урла, указанный в Реестре. И хоть у нас есть заглушки в локальном DNS для этих доменов, но IP в реестре указаны старые и на этих IP уже вполне добропорядочные ресурсы, типа http://www.ameliadavismd.com/

Правильно ли я понял:

Они сначала одобрили способ закрытия ресурсов с помощью специальных ответов DNS сервера, а потом сделали так, чтобы ревизор не использовал DNS сервер провайдера и обходил блокировку сделанную DNS сервером провайдера? Более того они скорее всего вообще DNS запросы не делают при этом варианте проверки.

 

Весьма забавно...

 

Лично мы уже давно поняли что их рекомендациям следовать опасно. Они как специально предлагают несовершенную методику (а совершенных не придумать) а потом, зная недостатки (еще бы они не знали недостатки и ограничения своей методики), они ловят тех простаков которые применяют методику.

 

Не совсем так. Как я понял DNS провайдера используется. Но они ещё в довесок проверяют свой же список IP. Весьма удобный способ давления на операторов.

 

Я вот думаю 443 порт закрывать или ограничиться только 80 для ip из их списка адресов. Какие мнения?

 

Когда, после очередной проверке, придет штраф - узнаем ;) :(

Ни вижу причин для штрафов.

Покажут скрыншот со страничкой. Вот и причина. Формально правы они. Операторы должны соблюдать закон. А в законе сказано: "ограничить доступ". Их памятка не является "высшей инстанцией". Она лишь даёт рекомендации.

[alibek]

А в законе сказано: "ограничить доступ".

В законе сказано: "ограничить доступ к ресурсам из реестра".

Если в реестре некорректный адрес, это одно.

Но в реестре такого адреса нет. А запись 412202 содержит другой адрес.