Ростелеком перехватывает SSL запросы к блоченым сайтам


Собственно сабж. Проверить можно так[link1]. Если бы правильный сертификат, то было бы ещё красивей. Работает через любой прокси или напрямую (почему на пути лежит ростелеком для адреса из lv при доступе из de, кстати?)

Комментарии
Гость (07/02/2013 11:51)   
de это Германия? Тоже самое из Белоруссии, пишет "Вход для России заблокирован", хотя ip Белорусский.
Гость (07/02/2013 13:51)   
de это Германия?

Угу.

Появление ростелекома при доступе к сайту снаружи обусловлено тем, что хостинг на мощностях оператора который с 2008 года входит в группу компаний «Ростелеком». Блокируют родственный хостинг, бывает. Но MitM атаку это не извиняет.
Гость (07/02/2013 14:23)   
Судя по всему это не целенаправленный mitm, просто так получилось. У них весь трафик идущий на заблокированные ip заворачивается на фронтенд который отдает сообщение о блокировке. Фронтенд в том числе обслуживает сайт ростелекома rt.ru и на нем включен https. Полагаю ни о каких mitm там никто и не думал, просто завернули трафик одной строчкой в iptables.
— neverever (08/05/2013 15:16)   
Видел уже много примеров вот таких заблокированных РТ сайтов, и они уже в этом состоянии месяцы, отсюда вопрос: почему хозяева сайтов упорно не меняют хостинг. Просто я бы это сделал в течении первой же недели. Даже регистратора сменить не проблема если что.
Гость (08/05/2013 15:59)   

Толку, роскомнадзор используя астрал периодически просматривает заблокированное и чистит список или обновляет адреса, хотя по закону их никто не обязывает. Есть толпы пользователей которые постукивают на один и тот-же ресурс, хоть заменяйся адресов. Кроме того, РТ сам заявлял что они обновляют адреса для блокировки на основе доменных имен из реестра. Но возможно инженегры РТ надругались над своей пресс службой, а служба надругалась над журналистами, и это всё не так.
— neverever (08/05/2013 19:51)   
да я не про это, что мешает купить хостинг в эквадоре за три копейки и в жизни ты не заблокируешь сайт? Но увы и ах хостинг у них прямо на РТ. Глупость.
Гость (08/05/2013 20:44)   
и в жизни ты не заблокируешь сайт?

Уже полгода в РФ действует обязательная внесудебная система блокировок любых IP-адресов. Бежать серверам некуда, если только вместе с посетителями.
— neverever (08/05/2013 20:53)   
вкурсе. Для ясности конечно же берем ситуацию упомянутую выше, заходим с анонимного|иностранного|затореного айпишника. Вы все-таки думаете что они блокируют пакеты Тор вынимая из них ip запроса? Ну это было-бы невероятной, новой и смертельной атакой на анонимность. :)
Гость (08/05/2013 22:03)   

Нет, журнал.либ хостится на площадке РТКом, который тесно связан с Ростелекомом. Почти все маршруты к РТКом проходят через РТ, за исключением прямых пиров с провайдерами внутри РФ. Поэтому все зарубежье видит заставку РТ, а некоторые счастливые пользователи РФ не видят.

У этого журнала.либ есть другое имя и адрес, но у того же хостера и всё содержимое видно всем.

Речь шла про "перехват" ssl трафика ростелекомом, а журнал.либ был лишь как пример доступный для проверки практически всем.
Гость (02/12/2014 21:52)   
Провайдеры в РФ нашли способ подменять сертификаты в целях фильтрации контента без возможности это обнаружить в большинстве случаев. Возможно нашелся CA готовый им помогать. Детектирует подмену только хром/хромиум в котором особо важные сертификаты зашиты в код.
твиттер временно и дальше будет ругаться. Браузер Opera легко игнорирует это. Опять же проблема с SSL-сертификатами – временная и уже решается. Операторы связи обязаны исполнять распоряжения роскомнадзора и следовать законодательству РФ. Мы обязаны блокировать контент, который присутствует в едином реестре запрещённых сайтов (а в нём присутствуют и ссылки на ресурсы с поддержкой SSL).[link2]

Ругается на сертификат только хром/хромиум.[link3]

Пока это рыночное преимущество только одного провайдера, но скоро будет доступно и другим.
— unknown (03/12/2014 09:44)   
Т.е. или SSL будет блокироваться и на ресурс вы вообще не попадёте, или будет бракованный SSL, но пользователь обычно жрёт, что дают в таких тонкостях не разбирается. Интересно, можно сделать SSL-over-SSL? По типу HTTPS-прокси, снаружи — годный для роскомпозора, внутри — годный для пользователя.
Гость (03/12/2014 13:01)   
Для этого нужно чтобы сайт тоже поддерживал двойной SSL. Например, запустил обратный HTTPS-прокси на другом порту, но в этом случае в браузере настройки прокси должны меняться для каждого сайта с двойным SSL. Более удобный вариант – запустить stunnel в прозрачном режиме, тогда настройки браузера менять не нужно, т.к. все TCP-соединения, определённые в iptables (например идущие на заданный порт), будут перехватываться и заворачиваться в SSL.

Подмена SSL-сертификата это уже активная атака, подпадающая под статью о неправомерном доступе к информации, и возможно попытаться возбудить уголовное дело. Понятно, что перспективы наказать преступников малы, но обратить внимание общественности реально и кровь чекистам попортить.
Гость (04/12/2014 18:34)   
Ещё пример фильтрации[link4]. Из ссылки впрочем не понятно, митм ли это ради показа заглушки или митм ради фильтрации. Видимо пока там тестируют, используя самоподписанные и истёкшие сертификаты.
Гость (05/12/2014 09:04)   
Ещё один с фильтрацией[link5]
Добрый день!
Есть требование Роскомнадзора фильтровать трафик с целью ограничения доступа к ресурсам, которые содержат запрещенный контент. Пока будет ругаться, иначе не получается.

На вопрос, кто виноват, а главное что делать:
А не пробовали нажимать на надпись "I Understand the Risks"??

И закончили тему:
Товарищи, хочу прояснить ситуацию. Для фильтрации трафика по URL используется прокси. На данный момент проксируется только трафик к IP-адресам, на которых расположены запрещенные ресурсы, трафик к остальным IP маршрутизируется в обход прокси-сервера.
Для нас остается открытым вопрос, как фильтровать такие объемы трафика не нарушая SSL-сертификат. "Умные дяди" из Роскомнадзора, которые и придумали все это, на наши вопросы по поводу стандартов и протоколов пожимают плечами, зато грозят государевой "дубиной", если фильтрация работать не будет. В связи с этим у меня к вам два вопроса:

1. Есть ли у Вас на текущий момент вызванные проксированием реальные проблемы? (за исключением обоснованной обеспокоенности по поводу подмены SSL);
2. Есть ли у Вас идеи, как можно осуществить фильтрацию без подмены SSL? (За реально работающее предложение на free ПО "печеньки" гарантирую).

Выше товарищи писали про "некую криворукость", вот я их и попросил дать рекомендации по решению проблемы. Вдруг мы чего-то не знаем.

2) Банить ресурс по IP – слишком радикально. Это чревато тем, что недоступен будет весь ресурс, а не отдельные его страницы. Если строго следовать требованиям законодательства, то банить нужно по URL. Адрес Youtube попадает в список для проксирования, т.к. есть на нем запрещенные страницы https://antizapret.info/index.php?search=youtube.com. Крупные провайдеры, по-видимому, не нашли ничего лучшего, чем банить по IP. Соответственно, Youtube целиком забанить они не могут по вполне понятным причинам. Таким образом, можно предположить, что эти провайдеры не выполняют всех требований российского государства в отличие от нас.
Гость (05/12/2014 09:38)   
Чекисты сейчас с вожделением ждут, как отреагирует стадо на такое наглое вторжение. Если проглотят, то подменять сертификаты будут вообще на всё, кроме возможно белого списка для электронных платежей. Чтобы ходить на интернет-ресурсы по SSL будет "рекомендовано" установить в браузер сертификат УЦ от ркн. Далее подмену можно сделать для всех видов трафика, а не только HTTPS – почта, мессенджеры и т.д. Ведь педофилы и террористы могут по email совращать детей и готовить взрывы. Без установки государственного сертификата SSL ресурсы станут недоступны. Так будет решена проблема с львиной долей шифрованного трафика. Потом можно вплотную взяться за VPN и Tor.
Гость (05/12/2014 12:48)   
Провайдер RUNNet[link6] (Федеральная университетская компьютерная сеть России[link7]), будущие мозги РФ учат принимать сертификаты по первому щелчку.
Гость (05/12/2014 15:30)   
Небольшого провайдер рассказывает как фильтрует https[link8]
Система с nginx проходила проверку на прочность неделю назад, когда в данный список был внесен один ролик с youtube.com. Кроме повышенного расхода памяти побочных эффектов замечено не было. С расходом памяти удалось побороться отключив keep-alive соединения с клиентами. А вот с удобством для пользователей вышло, конечно, не очень: просмотр и загрузка роликов на youtube.com в целом работала, но многие ролики были внедрены в другие страницы с помощью https, а с подмененным сертификатом браузеры их отображать не хотели. Волевым решением руководства провайдера домены google.com, google.ru, youtube.com были вынесены в список исключений, а еще один из сайтов был внесен в список «исключений наоборот»: по нему есть давнее решение блокировать целиком, однако в данном реестре он выгружается только с двумя запрещенными URL.

Игры с нулевой суммой по провайдерски, если где-то вынесли, значит в другом месте занесли.
Мелкие провайдеры, мелкие гадости:
И все же, если действительно буквоедствовать: как работают настоящие, дорогие DPI системы? Как они проверяют HTTPS трафик, если это необходимо? Объясните принцип и мы с удовольствием уйдем от технологии MITM.
Гость (05/12/2014 15:52)   
Провайдер учит других[link9], и гордится своей перверсией.
Если Вы все сделали без ошибок и поняли идею, Вы получили работающий полностью в автоматическом режиме сервер фильтрации трафика, синхронизированный с реестром Роскомнадзора, фильтрующий ВСЕ (!) ресурсы внесенные в реестр, в том числе URI написанные на русском языке и URI на защищенных SSL ресурсах.
Гость (05/12/2014 16:33)   
Баран даже нормально оформить своё "достижение" может, такую простыню накатал.

Кстати вопрос с аутентификацией по клиентскому сертификату уместен, т.к. если он используется, то проводящий атаку с подменой УЦ ворует аутентификационные данные клиента. При этом клиент может обращаться к странице, которая не запрещена. В Apache mod_ssl вроде позволяет[link10] установить SSL-аутентификацию только для части сайта.
Гость (05/12/2014 16:34)   
s/своё "достижение" может/своё "достижение" не может/
Гость (05/12/2014 17:19)   

Разве это возможно?? Это же будет атака "человек посредине"!
Гость (05/12/2014 20:11)   
Разве это возможно?? Это же будет атака "человек посредине"!

Это и есть атака, с любым сертификатом, даже когда провайдер хочет показать только свою заглушку. Некоторые провайдеры утверждают, что и "правильный" сертификат для них не будет помехой, а значит об атаке многие пользователи даже не узнают.
— unknown (05/12/2014 20:57, исправлен 05/12/2014 20:58)   

Любители активизма могут поставить себе плагин "HTTPS everywhere", не пользоваться тором и в самом плагине поставить опцию "SSL observatory". Вся активность по вашим https-соединениям будет отсылаться в EFF. Возможна анонимная отсылка через тор, но не очень понятно — не нарушит ли это чистоту эксперимента. Организация EFF собирает статистику по нарушению использования SSL-сертификатов по всему миру, можно и как-то особо сорганизовать на выявление злоупотреблений российскими властями в рунете. С фактами нарушения на руках они могут организовать кампанию по давлению на IT-организации, способствующие выдаче злонамеренных сертификатов, потребовать внесения изменения в ведущие браузеры и т.д. Может ещё и пресловутый госдеп с санкциями и гуманитарными бомбардировками подключат.


Всё может закончиться чучхенетом со своими духовными браузерами, но зато может кому-то будет легче от осознания сопричастности к страданиям всего мирного хомячкового населения, а не только любителей гитхабов.

Гость (05/12/2014 22:16)   
Так что, можно считать, что безопасный и надежный SSL по сути прекратил свое существование?
Ибо кто там из юзеров реально будет реально заниматься сверкой статистики с EFF, и забастовками и т.п...
Гость (05/12/2014 22:36)   
"правильный" сертификат для них не будет помехой, а значит об атаке многие пользователи даже не узнают

Привильный, т.е. не скомпрометированный гебней сертификат, будет помехой и об атаке пользователь обязательно узнает, если пользуется нормальным браузером, который выдаст сообщение. Просто большинству похеру на безопасность и что за ними кто-то подглядывает, на эту инфантильность хомячков и рассчитывают злоумышленники.
Гость (06/12/2014 09:39)   


SSL после POODLE[link11] однозначно не надежен, но его заменил и довольно давно TLS (суть тот же SSL, впрочем)

Проблема в модели доверия на которую опираются браузеры, а не в самом протоколе SSL/TLS Вот отсюда начинается волшебство.[link12]
Гость (06/12/2014 14:14)   

Сколько таких сертификатов нужно подделать? Как у взломщика отмычек на все случаи жизни?

Просто атака не 3-х копеечная, чтобы вот так, от делать нечего, просматривать трафик всех пользователей.
А ну если конечно есть свой Центр сертификации, который будет удостоверять любой сертификат, тогда все упрощается до 2-х пальцев в туалете.
Гость (06/12/2014 16:56)   
Просто атака не 3-х копеечная, чтобы вот так, от делать нечего, просматривать трафик всех пользователей.
Вполне возможно повысить стоимость атаки на стоимость мощности более-менее приличной видеокарты, помножив на количество пользователей это внезапно станет неприлично много. Подход немного напоминает биткоин, но это уже для другой темы.
Гость (06/12/2014 20:16)   
Сколько таких сертификатов нужно подделать?

Достаточно скомпрометировать из сертификатов УЦ, установленных в браузере. Тогда им можно подписывать сертификат любого сайта и пользователь ничего не заметит. Если учесть что доверенных УЦ десятки, а также возможность делегирования подписи дочерним УЦ, подкуп и сговор с одним из них не выглядит сложным. Для такой прожорливой конторы, как фсб, это копейки. Имеется в виду целевые атаки на определённые сайты, и возможно что в сорм они уже доступны. Расшифровывать трафик ко всем сайтам существенно дороже, хотя принципиальных ограничений нет. Но понятное дело, что если скомпромерированные УЦ существуют, то они держатся в секрете. Поэтому провайдеры до них не допущены и пытаются тупо подменить УЦ, что не может остаться незамеченным.

Возможно что гебня стоит перед диллемой. С одной строны, хочется взвалить расходы на расшифровку всего трафика на провайдеров, а через них в конечном счёте на пользователей. И расходы это заметные, т.к. требуют нового оборудования в виде всяких криптоакселераторов. С другой стороны, не может доверить провайдерам свои грязные секреты. При этом всё-равно полной прозрачности и скрытности не получится, т.к. использование единственного (скомпрометированного) УЦ для всех сайтов будет выглядеть подозрительно, а для нестандартных УЦ и самоподписанных сертификатов это вообще может не работать. Так что, если шабаш будет продолжаться дальше, то следующие шаги – заявления о необходимости единого государственного УЦ, который должен быть установлен в системе, если пользователь хочет получить доступ к ресурсу по SSL.
Гость (06/12/2014 20:37)   

Отчего ж? Кабнэты в АТС по сей день на месте и никто особо не стесняется сего факта.
Гость (06/12/2014 20:41)   

На эту тему старая шутка: Add Honest Achmed's root certificate[link13]
Honest Achmed's uncles may invite some of their friends to issue certificates as well, in particular their cousins Refik and Abdi or "RA" as they're known. Honest Achmed's uncles assure us that their RA can be trusted, apart from that one time when they lent them the keys to the car, but that was a one-off that won't happen again.
Гость (06/12/2014 21:39)   

Комменты веселящи. ☺
Гость (06/12/2014 23:33)   
Кабнэты в АТС по сей день на месте и никто особо не стесняется сего факта

Речь не о факте сотрудничества с "органами" (этим никого не удивишь), а о необходимости раскрыть информацию об УЦ, с которым установлена тайная договорённость (если таковое имеется).

> заявления о необходимости единого государственного УЦ, который должен быть установлен в системе

На эту тему старая шутка: Add Honest Achmed's root certificate

Имелось в виду другое – пользователям предлагается самим установить сертификат, о включении в связку от Мозиллы разговора не было (вряд ли Мозилла на это пойдёт).
Гость (06/12/2014 23:46)   

Ммм.. О каком сертификате идет речь? В последних страницах речь идет о MiTM и ssl/tls.
Гость (07/12/2014 09:07)   

О корневом сертификате УЦ, который используется (будет использоваться) напрямую или через цепочку промежуточных при создании фальшивых сертификатов в целях проведения фильтрации/слежки за пользователями.
Гость (07/12/2014 11:08)   
Например, кто-то верил в PKI и SSL, в его невзламываемость, но потом прочитал статью[link14] и понял, что всё плохо. Тем не менее, появилось решение — Certificate Patrol, ставим себе аддон к браузеру и проблем не знаем. Но потом оказывается, что /comment53401[link15] и /comment52486[link16], т.е. про посещаемые высоконагруженные сайты мы вообще не знаем, какие у них должны быть сертификаты (инициатива EFF по созданию БД провалилась[link17] окончательно?), а про остальные сайты... ну никто вам не выдаст отпечаток ключа, нет механизмов его доверенного получения, т.к. админам сайтов наплевать. В конце концов, разочаровавшись, вы хотите сделать хотя бы certificate pinning, но тут вдруг оказывается, что и это невозможно[link18], надо делать специальный профиль браузера под конкретный сайт. А о чём вы думаете, когда видите замочек в строке адреса firefox? Вы верите в то, что HTTPS безопасен? :)[link19]
Гость (07/12/2014 13:08)   
Есть ощущение, что разговор уходит в непонятное русло.

Как вы себе представляете установку пользователем какого-то сертификата? Зачем это вообще нужно простому пользоваетлю? Он, этот пользователь, не представляет даже как функционирует ssl/tls. В лучшем случае, он знает что если в строке https то это защищенное соединение. Где хранятся сертификаты, какой тип сертификатов, кто их создает, кто их подписывает и т.д. все это темный лес для простого пользователя. И как такому пользователю "предложить самим установить сертификат".
Гость (07/12/2014 14:25)   
Как вы себе представляете установку пользователем какого-то сертификата?

Сертификат ставится несколькими кликами мыши. Даже картинок не надо, достаточно чего-нибудь вроде Preferences – Advanced – Ecryption – View Certificates – Authorities – Import.

Зачем это вообще нужно простому пользоваетлю?

Рассматривается гипотетическая ситуация, изложенная в comment84846[link20]. Прежде чем выдирать цитаты из контекста и задавать вопросы, сначала разберитесь в написанном.
Гость (07/12/2014 14:33)   

Гость отвечал на мой комментарий. Почему ж я не в курсе?
Ну а Вы же говорите о том, что пользователь должен сам себе установить "левый" сертификат или я неправильно вас понял? Зачем он это должен сделать? Почему? Вопрос не в простоте или сложности установки сертификата. НО зачем???
Гость (08/12/2014 11:51)   
Вопрос не в простоте или сложности установки сертификата

Т.е. уже не тёмный лес, как выше написали

Зачем он это должен сделать?

Например, чтобы атака была незаметной и не вызывала неудобств. Потом не все программы имеют кнопку "I understand the risk", некоторые отказываются соединяться с рeсурсом.

Подумалоась ещё о такой уловке. Обязательная установка государственного сертификата УЦ для доступа к государственным сервисам. Для защиты персональных данных и всё такое. Таким образом, левый сертификат появляется в связке клиента, им можно подписывать сертификаты
других (негосударственных) сайтов незаметно для пользователя.
Гость (08/12/2014 12:32)   

Чтобы не переходить на личности нужно учится абстрагироваться. Я лично не говорил про себя. Речь шла о простом пользователе, который не имеет представления о местонахождении сертификатов и способе их создания/подписания/установки. Мое представление о простом пользователе складывается из личного опыта общения с пользователями, мнение знакомых и мнения окружающих, в т.ч. размещенных в инете. Мое мнение не истина в последней инстанции. Вы можете иметь мнение отличное от моего.

Видимо это Вы и имели ввиду, когда говорили о самостоятельной установке сертификатов пользователем. Но здравый смысл и уровень подготовленности пользователей(имхо) говорит о том, что этим большая часть заморачиваться не будет.
Гость (08/12/2014 13:55)   


Напишут программу которая будет добавлять сертификат в хранилища chrome и firefox. Поскольку большая часть этих пользователей использует windows, то это будет exe-шник, который ещё и добавит сертификат в хранилище windows. Пользователю нужно будет лишь кликнуть один или пару раз, плюс подтверждение для UAC, и всё готово.
— unknown (11/12/2014 17:53)   

Впрочем, да[link22].
Гость (28/12/2014 12:25)   
Это законно со стороны провайдера подменять dns запосы к другому серверу?[link23]
Какого [CENSORED] они подменяют траффик между мной и гугловским днс сервером? Что они будут подменять завтра?
Гость (31/12/2014 12:43)   
у других появляется надпись «Ваше подключение не защищено»[link24].
Статистически заметное число пользователей подвергаются атакам со стороны своих провайдеров.
Гость (30/01/2015 20:20)   
В местное учебное заведение пришло такое любопытное распоряжение inside systems.pdf[link25] которое как бы говорит "нагнитесь, раздвиньте ягодицы"...
Гость (30/01/2015 20:52)   

Цитата с сайта, про решение для операторов связи[link26]:

Запрет доступа к черному списку Минюста РФ
Всё, теперь всем 123.mp3 поставлен нерушимый заслон. https не пройдёт и там?
Гость (30/01/2015 20:55)   
Или они просто сайт минюста заблокируют?
Гость (30/01/2015 22:39)   
Никто не запрещает через MITM-соединение протуннелировать настоящее шифрованное, если только они не будут анализировать, что именно шлётся в потоке данных. Но вот такую[link27] лобовую лазейку это закроет.
— pgprubot (04/07/2015 03:17)   
В тему топика:

... П[link28]ри попытке открыть запрещённый ресурс по HTTPS, Yota приветствует своих пользователей попыткой подмены сертификата
— SATtva (04/07/2015 07:23, исправлен 04/07/2015 07:35)   

Кстати, после того, как пнул Йоту в твиттере, FF стал валиться с ошибкой:


An error occurred during a connection to lurkmore.to.

SSL received a record that exceeded the maximum permissible length.


(Error code: ssl_error_rx_record_too_long)

Видимо, из-за того, что они попытались что-то исправить: ванильный теперь корректно редиректится на http://forbidden.yota.ru без сообщения о подмене сертификата (раньше редиректили на HTTPS, что, очевидно, браузер и воспринимал как попытку MITM'а).


На всякий случай, вот сама цепочка сертификатов:


— pgprubot (04/07/2015 19:45)   

Ванильный firefox?
— SATtva (05/07/2015 07:46)   
Да, с более-менее стандартным конфигом и с минимумом расширений.
— Гость_ (26/08/2015 08:48)   
После блокировки википедии для россиян, у людей появились вопросы[link29]
При блокировке многие провайдеры использовали поддельные SSL-сертификаты. Если у вас сохранилась информация о них — пожалуйста, поделитесь.

После чего нашлась[link30] интересная ссылка[link31]
Там полная радуга с лесом отпечатков для подставленных сертификатов.
— Гость_ (26/08/2015 15:20, исправлен 26/08/2015 15:22)   

И все, кроме официального, самоподписные.

— Гость_ (26/08/2015 16:00)   

Скорее все кроме официального и отдельных мелких и/или мелочных провайдеров там появились так-же как у ростелекома[link32]. По ссылке можно скачать все собранные в ходе измерений сертификаты, распарсить и посмотреть кто же из них генерирует специально для лурка. Первые три (по популярности) там, настоящий от лурка, мтс и ттк от сайтов с заглушками.
— Гость_ (09/02/2016 13:18, исправлен 09/02/2016 13:33)   

Официальный ответ сотрудников компании GlobalNet ltd., которая является вышестоящим оператором для Етелеком[link33]

Чтобы иметь возможность проверить запрашиваемый ресурс на наличие нарушений, используется наш сертификат, который был выдан и авторизован сертификационным центром. Без применения собственного сертификата такая проверка невозможна.
В результате сайты и ресурсы, входящие в список запрещенных, блокируются, в остальных же случаях устанавливается безопасное соединение.
Наш сертификат является подлинным, не подвергает Ваши данные какой-либо опасности и его применение не влечет за собой каких-либо сетевых атак и несанкционированного доступа

Хотел запостить в юмор, но там затеряется

— Гость_ (09/02/2016 23:07)   

На ЛОРе нашел картинку[link34], на которой они умели в CA.

Ссылки
[link1] https://zhurnal.lib.ru/

[link2] http://forum.convex.ru/showthread.php?t=75635

[link3] http://s.jugregator.org/p/2752051

[link4] http://roem.ru/2014/12/03/addednews113075/#com221312

[link5] http://tmpk.net/forum/?PAGE_NAME=read&FID=6&TID=435

[link6] https://raw.githubusercontent.com/xaionaro/roskomnadzor/master/mitm/runnet-20141205.png

[link7] http://runnet.ru/

[link8] http://habrahabr.ru/post/216209/

[link9] http://www.ps-ax.ru/2013/10/20/реестр-роскомнадзора/

[link10] http://httpd.apache.org/docs/2.4/ssl/ssl_howto.html#arbitraryclients

[link11] https://en.wikipedia.org/wiki/POODLE

[link12] http://www.pgpru.com/comment51775

[link13] https://bugzilla.mozilla.org/show_bug.cgi?id=647959

[link14] http://www.pgpru.com/biblioteka/statji/certifiedlies

[link15] http://www.pgpru.com/comment53401

[link16] http://www.pgpru.com/comment52486

[link17] http://www.pgpru.com/comment51397

[link18] http://www.pgpru.com/comment53596

[link19] http://www.pgpru.com/comment58609

[link20] https://www.pgpru.com/comment84846

[link21] http://www.pgpru.com/comment84834

[link22] https://www.us-cert.gov/ncas/current-activity/2014/12/09/Certain-TLS-Implementations-Vulnerable-POODLE-Attacks

[link23] https://www.linux.org.ru/forum/talks/11166351

[link24] http://tjournal.ru/paper/navalny-com-blocked

[link25] http://www.idist.ru/load/0-0-0-320-20

[link26] http://inside-systems.ru/for_isp

[link27] http://www.pgpru.com/comment65717

[link28] http://vladmiller.info/blog/index.php?comment=355

[link29] https://twitter.com/ru_wikipedia/status/636116463707901952

[link30] https://twitter.com/mathemonkey/status/636277337311571970

[link31] https://atlas.ripe.net/measurements/2348305/#!map

[link32] http://www.pgpru.com/comment60550

[link33] http://www.etelecom.ru/ipboard/index.php?/topic/2828-подмена-ssl-сертификата/#entry21576

[link34] http://postimg.org/image/ec5mg9r8d/