Жизнь после запрета Google Global Cache: Последствия для провайдеров и клиентов

    В сентябре этого года Роскомнадзор разослал провайдерам письма. В них было сказано, что серверы Google Global Cache, увеличивающие скорость доступа к ресурсам Google, не сертифицированы. Регулятор отметил, что наличие этого оборудования в сети провайдера повлечет наложение штрафа до 300 тыс. рублей.

    В нашем сегодняшнем материале мы посмотрим, чем грозит отказ от GGC интернет-провайдерам и клиентам.


    / Flickr / freestocks.org / PD

    Что такое Google Global Cache


    Google стремится обеспечить высокую надежность и производительность своих сервисов, сохранив низкой латентность. С этой целью компания инвестировала в разработку сетевой инфраструктуры. Она состоит из трёх «слоев»: дата-центров, точек присутствия (Points of Presence, или PoP) и кеширующих узлов (Google Global Cache, или GGC).

    Дата-центры являются сердцем контента и сервисов ИТ-гиганта. PoP — это узлы, которые соединяют сеть Google с остальным интернетом. Серверы GGC представляют собой часть инфраструктуры, которая находится к пользователям ближе всего и располагается в сети локальных операторов.

    На этих серверах временно хранится популярный контент, который часто запрашивают пользователи. Это ускоряет доступ к Google-сервисам: YouTube, Google Maps, Google Play и др. Такое решение экономит полосу пропускания и компании Google, и операторам связи.

    Подобные сети доставки контента (CDN) используют и другие компании. Например, «Яндекс». CDN российской компании служит для улучшения качества работы Яндекс.Почты.

    Как работает GGC


    Без GGC контент, запрашиваемый пользователями (например, видео), поступает напрямую с серверов Google. С кеширующими серверами всю цепочку проходит только первая копия видео. Запросы последующих пользователей обслуживает кеш-узел. Алгоритм работы, согласно презентации сотрудника Google Майка Аксельрода (Mike Axelrod), выглядит так:

    • Пользователь кликает на ссылку с видео.
    • DNS провайдера запрашивает у DNS Google IP-адрес контента, если тот ему неизвестен.
    • DNS-сервер Google знает, что у провайдера есть GGC-узел, способный предоставить запрашиваемый контент.
    • В ответе он передает IP-адрес этого узла, который пересылается пользователю.
    • Далее, пользователь получает нужную ему информацию с узла GGC, а не из сети Google.
    • Если запрашиваемого контента нет на GGC-узле, он запрашивает его у Google от имени пользователя и кеширует для будущих обращений.

    Подробнее о том, как устроена система и какое оборудование поставляет корпорация Google провайдерам, вы можете узнать по ссылке.

    Последствия запрета GGC


    Количество кеширующих серверов Google у крупного федерального оператора довольно велико. Если от них отказаться, то нагрузка на сервера Google и магистрали провайдера увеличится. Выключение серверов GGC скажется на качестве предоставляемых сервисов Google.

    Однако основной «удар» примет на себя видеохостинг. По данным аналитического сайта Statista, Россия занимает третье место в мире по количеству активных пользователей YouTube в месяц. Без Google Global Cache видеозаписи на YouTube будут грузиться медленнее, время загрузки самого сайта увеличится.

    Также пользователи могут лишиться возможности просматривать видео в высоком разрешении из-за ограничений пропускной способности (у многих провайдеров трафик YouTube считается локальным).

    Директор некоммерческой организации «Общество защиты интернета» Михаил Климарев говорит, что отказ от GGC ощутят на себе и интернет-провайдеры. По данным МГТС, стриминговые сервисы (YouTube, Google Видео и др.) потребляют 30% полосы пропускания. В случае отказа от серверов, операторы будут вынуждены расширить каналы передачи данных как минимум на эти 30%.

    Если по сети передается видеопоток, 90% которого — YouTube, то с GGC оператор оплачивает лишь часть трафика до сервисов Google. Остальной трафик обрабатывается в дата-центре провайдера и не покидает внутреннюю сеть. Если у провайдера есть филиалы по стране, GGC позволяет экономить на магистралях, потому что трафик не будет покидать пределы одного города.

    С уходом GGC этот трафик станет платным. Все это приведет к повышению цен на тарифы интернета. Или даже отказу от безлимитных тарифов. О других прогнозах можно почитать здесь.

    Как быть провайдерам


    По мнению представителей телекоммуникационных компаний, сервер GGS — это не средство связи, потому не должен сертифицироваться. И запрещать пользоваться системой нельзя. Роскомнадзор, правда, такое определение отвергает.

    Также в Рунете можно встретить мнение, что Роскомнадзор требует сертификацию оборудования, чтобы исключить повторение ситуации с Японией. 25 августа сотрудники Google допустили ошибку в протоколе динамической маршрутизации, в результате которой клиенты крупных японских провайдеров не могли выйти в интернет на протяжении нескольких часов. У другой части населения скорость соединения значительно упала.

    Еще один вариант — действия регулятора, направленные на запрет GGC, являются формой давления на ИТ-гиганта. Роскомнадзор ждет ответных действий со стороны компании и есть вероятность, что «оппонентам» удастся договориться.

    Если этого не произойдет, интернет-провайдерам придется искать выход из ситуации. Одним из вариантов, как было отмечено выше, является увеличение стоимости тарифов или отказ от безлимитного интернета, но в этом случае операторы рискуют потерять клиентов. Увеличивать ширину канала также может быть невыгодно.

    Другой вариант — искать способы снижения издержек. Решить проблему запрета Google Global Cache без финансовых потерь нельзя, но можно эти потери минимизировать. Классификация и приоритезация трафика для экономии полосы пропускания способна снизить издержки, сохранив качество обслуживания (QoS) высоким.

    Реализуют этот функционал системы глубокого анализа трафика — DPI. Сегодня на рынке такие решения предлагают как иностранные поставщики, так и отечественные — в том числе компания VAS Experts. Количество установок нашей системы СКАТ по России перевалило за 500, при этом 166 лицензий выданы в 2017 году. К слову, в 2015 их было всего 60.

    Система DPI дает возможность менять приоритет проходящих пакетов в зависимости от протокола (DSCP/TOS в заголовке IP-пакетов, приоритет в заголовке VLAN- и QinQ-пакетов, класс трафика в заголовке MPLS-пакетов). Маршрутизаторы и шейперы используют эту информацию для обеспечения нужного качества обслуживания. Также системы DPI следят за сетью на уровнях 2–7 модели OSI и защищают её от перегрузок.

    При увеличении качества видео (720p, 1080p, 4K) растет нагрузка на канал оператора. Например, в марте 2015 в Австралии трафик сервиса Netflix составил 25% от общего трафика провайдера iiNet. Активное управление трафиком и гибкая настройка приоритетов обеспечивают достойную работу видеосервисов, слегка «подрезая» трафик других приложений в критические моменты.

    Еще одним вариантом может стать установка собственного кеш-сервера. Такая возможность есть у нашего решения СКАТ DPI. По статистике 3-терабайтное кеш-хранилище под Youtube-контент для 100 тыс. абонентов снижает внешнюю Youtube-полосу на 30%.


    / Схема подключения кеш-сервера

    Причем такая система позволит кешировать не только видеоконтент стриминговых сервисов, но и обновления для браузеров, Windows, антивирусов и другого ПО, а также часто повторяющие файлы, например картинки.

    P.S. Другие материалы из корпоративного блога VAS Experts:

    VAS Experts 86,48
    Российский разработчик DPI-системы СКАТ
    Поделиться публикацией
    Комментарии 77
    • +5
      Я заметил, что работа YouTube на самом деле ухудшилась. Часто натыкаюсь на буферизацию. Возможно это эффект самовнушения, потмоу что не думаю что провайдеры так быстро оттреагировали
      • 0
        вполне возможно, что просто CDN перегружен.
        • 0
          Посмотрите, каким именно GGC вы обслуживаетесь. redirector.c.youtube.com/report_mapping
          Правда, придется подбирать браузер, потому что хром, например, ссылку не откроет. Раздолбаи в гугле не знают, как работают SAN-сертификаты.

          Потом посмотрите трейс до этого GGC — станет понятнее.
          • 0

            curl -D/dev/stdout -L --insecure вполне заменяет браузер, всё равно там plaintext:


            HTTP/1.1 200 OK
            Date: Sun, 29 Oct 2017 10:56:38 GMT
            Pragma: no-cache
            Expires: Fri, 01 Jan 1990 00:00:00 GMT
            Cache-Control: no-cache, must-revalidate
            Content-Type: text/plain; charset=UTF-8
            Server: ClientMapServer
            X-XSS-Protection: 1; mode=block
            X-Frame-Options: SAMEORIGIN
            Alt-Svc: quic=":443"; ma=2592000; v="41,39,38,37,35"
            Accept-Ranges: none
            Vary: Accept-Encoding
            Transfer-Encoding: chunked
            
            77.37.230.77 => rostelecom-bka3 (77.37.128.0/17)
            
            Debug Info:
            o-AAAuOQuco4GD4LDIN5IyPVuYRKGalWlWOBkkkR8_UfOhJj81eTi0Ji4QtHWJZ1romLjxg4Nvm49NGB
            IKufnfqu7Cl1fFKtAKHIn5U-RdRFQUwn7Mn7Te3Wo5KIDYx983C5j4K4KKQi4Lu21IKndP7qYNoG8PnP
            (и ещё практически три тысячи таких же непонятных строк, которые не base64,
            потому что имеют в своём составе подчёркивания и дефисоминусы и не ascii85,
            потому что есть только буквы, цифры, подчёркивания и дефисоминусы)

            (Оператор: onlime.)

            • 0
              В данном случае дебаг не важен, главное — имя GGC, содержащее название оператора и код аэропорта. bka — Быково.

              Если скорость ютьюба меняется существенно, а GGC при этом не меняется — проблема в загрузке конкретной ноды GGC или канала до нее. Если меняется GGC — значит, гугл или оператор перекидывает обслуживание вашего префикса между серверами с разной для вас доступностью.

              Нюанс в том, что, не будучи оператором, повлиять на это вы всё равно не можете, так что эта информация носит исключительно познавательный характер.
              • 0
                У меня выдает GGC в моем городе. Город не крупный, получается провайдеры такие кеш серверы ставят во всех городах?
                • 0
                  Условие для установки GGC у гугла было — не менее определенного объема трафика из автономной системы провайдера. Поэтому когда провайдер местный — он должен быть достаточно крупным, чтобы этот трафик порождать. С федералами, вероятно, гугл работал совместно, выбирая точки размещения (но это исключительно догадки, как федералы работают с гуглом лучше спрашивать у сотрудников федералов).
                  Т.е. если ваш провайдер локальный — его клиенты создают необходимый объем, а если федеральный — то, может быть, у вас стоит кэш уровня региона.
                  • 0
                    Провайдер Эртелеком. Просто город не такой миллионик далеко.
              • 0

                Это base64url, https://tools.ietf.org/html/rfc7515#appendix-C, правда легче от этого не становится — внутри все равно шифрованная белиберда.

              • +9
                badidea просто напишите на этой страничке в хром(иуме).
              • 0
                А что означает собственный IP-адрес на этой странице?
                • 0
                  Ничего особенного. «Я знаю, что вы приходите с этого адреса, это адрес попадает под вот этот префикс, который будет обслуживаться таким вот GGC node».
                  Поскольку чтобы вы могли пользоваться GGC, ваш оператор должен проанонсировать префиксы в сторону GGC node по BGP.
                  • 0
                    Не, там адреса самой ноды не оказалось (2КОМ). На Билайне адрес есть и до него всего пара хопов с 1 ms, но Ютуб работает намного медленнее.
              • +1
                Та же проблема. Хром часто в последнее время не может проигрывать видео с ютуба в высоком качестве(сьезжает на 240/360р). С Лисы при этом всё нормально воспроизводится в 1080р. Могу разве что предположить что хром плохо работает с медленным интернетом(ростелеком, скорость 7-9мб/с). Порой и Лис не тянет видео в высоком качестве, но если перезагрузить страницу скорость восстанавливается.
                • 0
                  Возможно, проблема в формате WebM, который форсируется Гуглом и, соответственно, используется по умолчанию в Хроме.
                  • 0
                    Мозилла: Codecs vp9 (303) / opus (251)
                    Хром: Codecs avc1.64002a (299) / mp4a.40.2 (140)
                    Одно и то же видео принудительно в одинаковом качестве.
                    Все станьше и страньше.
                    • 0
                      Ну, WebM/vp9 вроде как лучше жмёт (конечно, зависит от обработки ютюбом), может, и в сочетании с плохим интернетом и правда стабильнее работает.
                      • 0
                        Странно то что webm не хром использует, а лис. Может где галочку в настройках поставить, но где её искать.
                  • 0
                    Такой эффект наблюдаю на СМАРТ ТВ. На компьютерах воспроизводится нормально, только Firefox не использую — Safari или Opera.
                    А по теме — можно на карте увидеть расположение Google's Global Cache access points
                  • +2
                    Да нет, не самовнушение. С недавнего времени стало проще(и быстрей) скачать видео в нужном качестве, ибо время ожидания в браузере порой просто неразумное.
                    Мегафон-Сибирь.
                    • +1
                      Попробуйте для начала выключить DASH playback. Правда, качество выше 720р исчезнет, но 720 хватит всем! У меня раньше с 200 мбит\с видео регулярно зависало. С отключенным DASH стало загружаться мгновенно.
                      • 0
                        Включен «по умолчанию»(media.mediasource.enabled). Браузер PaleMoon.
                        Думаете стоит отключить?
                        Я тут нечаянно, в ходе экспериментов, включил media.gmp.decoder.enabled и youtube/rutube начали показывать ошибку.
                        • 0
                          Попытка не пытка! Для лисы есть расширения, которые его выключают. Проверить, что сработало, легко: исчезнут 1080, 2к и 4к.
                          • 0
                            По моим подпискам таких и нет :)
                            • 0
                              Вот здесь. Хотя, говорят, с новым апдейтом не работает… Но ради науки можно поставить 54 из архива.
                            • 0
                              Выключил. Максимум 36Кб. Загрузка нормальная. Спасибо.
                              • 0
                                360
                                • 0

                                  Ого. Значит и остальное они на свой DASH перевели — это печально. Но теперь вы знаете в чем причина! Я бы на вашем месте рассмотрел что-нибудь типа svptube чтобы смотреть не в браузере видео. Должно решить проблему.

                                  • 0
                                    А смысл? Я редко смотрю. Что то большое(типа полные игры КВН) я банально закачиваю, а из-за чего то 5-10 минут… Ну не знаю, сейчас, после изменения(media.mediasource.enabled=false) работает нормально.
                                    На «свистке» от Мегафон больших скоростей и не видел никогда, максимум 720. Теперь 360, но загружается нормально.
                      • +1
                        Такая беда стала наблюдаться с марта месяца гдето. И только в Хроме. От провайдера не зависит.
                      • +6
                        В целом вся эта фигня с «якобы запретом GGC» идет от некомпетентности контролирующих органов (ну и дальнейшей истеричности СМИ). Операторы связи не используют в сети (несертифицированное) оборудование гугл — в таком случае еще можно было бы как-то на них давить. Но поскольку операторы связи всего лишь предоставляют гуглу (Райдену) услуги хостинга, не приобретая это оборудование и не устанавливая его в свою сеть — запретить GGC через давление на оператора не так и просто.
                        • 0
                          Да какая «некомптентность»? Вы что? ))
                          Хотят выгнать иностранное неуправляемое оборудование из страны перед возможной войной. Чиновники не остановятся на этом.
                          Движения Гугла по решению возникшей проблемы — это просто начало пути. Решат — им придумают ещё затруднений. Цель — выгнать.
                          • 0
                            Вполне возможно. Особенно на фоне слухов с частей связи, да вот прислали форму из администрации для заполнения. Сколько в фирме работает военнообязанных и находящихся в запасе, на каких должностях. Вот вам даже сами формы:
                            Форма №6
                            Форма №18
                            Работаю уже 3 года, подобных писем еще не получал.
                            • 0
                              Хотят выгнать иностранное неуправляемое оборудование из страны перед возможной войной.

                              И заменяют его на такое же, но с переклеенным шильдиком от распилочной конторы.
                          • –2
                            Если учесть, что гугл бесплатно раздавал свои сервера (за точность данного утверждения не ручаюсь), то все встает на свои места.
                            • +2
                              Не совсем раздавал. Сервера продолжают принадлежать гуглу. И мало того, они еще и платят операторам за хостинг.
                              • 0
                                Я имел в виду, что провайдеру они доставались бесплатно, в отличии от рекламируемого решения.
                            • +3
                              Как ни грустно, конец статьи тупо скатывается на рекламу.

                              В то же время совершенно игнорируются вопросы безопасности. Никакой нормальный поставщик «обновления для браузеров, Windows, антивирусов и другого ПО» не будет передавать данные по нешифрованному каналу в связи с возможностью атаки man-in-the-middle, которой, по сути, и является DPI.

                              К счастью сейчас всё больше соединений проходит по https, содержимое которого по DPI недоступно.
                              • +1
                                Всю жизнь обновлял, обновляю и буду обновлять свою систему по «нешифрованному каналу». ЧЯДНТ?

                                Заголовок спойлера
                                После загрузки, естественно, проверяется подпись.
                                • –4
                                  В случае обновлений больше вопрос не к шифрованию содержимого, а в его достоверности. В случае проверки подписи также стоит вопрос, а достоверна ли она. Если она получена по тому же http, то в этом нет никакой гарантии.
                                  • +2
                                    Как связаны проверка подписи и канал, по которому она получена?
                                    • –4
                                      В случае незащищённого канала подпись (MD5, SHA-XXX) тоже можно подменить.

                                      Здесь я в первую очередь имею в виду, что подлинность контента гарантируется идентификацией подлинности сервера средствами сертификатов SSL.
                                      • +1
                                        https://ru.wikipedia.org/wiki/Электронная_подпись

                                        Если вам лень вникать в математику, достаточно поразмышлять над тем, зачем вообще кому-то понадобилось придумывать такое количество формул, если для передачи подписи требуется обязательно защищенный канал? Правильный ответ: потому что вы можете использовать цифровую подпись при передаче по незащищенным каналам (например: электронная почта, HTTP, FTP и т. д.)
                                        • 0
                                          Спасибо, я полностью в курсе технологий цифровой подписи. Наверное, Вы невнимательно прочли предыдущее сообщение — я говорил именно об идентификации подлинности отдающего сервера и отсутствии подмены данных от него, а не о шифровании содержимого.

                                          Вопрос в том, что для проверки цифровой подписи скаченного ПО необходимо знать корневой сертификат их издающего центра.
                                          Аналогично для проверки контрольной суммы MD5/SHA-XXX её значение должно быть сравнено с полученным из авторитетного источника.

                                          А вот в качестве авторитетного источника сейчас практически всегда выступает получение корневого сертификата издателя ПО или контрольной суммы по https, где достоверность сайта (и вот здесь уже обязательно его содержимого) проверяема теми интернет-центрами сертификации, чьи координаты уже зашиты в браузер.

                                          PS. Да, я знаю, что сертификаты можно распространять и на токенах, и на бумажках, но на практике это редкость.
                                          • 0
                                            я говорил именно об идентификации подлинности отдающего сервера и отсутствии подмены данных от него, а не о шифровании содержимого.
                                            И зачем нам это нужно? Вместо того, чтобы скачивать обновление с любого ближайшего сервера, который любезно согласится нам его отдать, мы будем ходить за тридевять земель. Кто выиграет от этого? Никто: провайдеру гонять туда-сюда ненужный трафик, владельцам программы испытывать повешенную нагрузку на сервера в день релиза, пользователю ждать по нескольку часов, пока все загрузится.

                                            Вопрос в том, что для проверки цифровой подписи скаченного ПО необходимо знать корневой сертификат их издающего центра.
                                            Наличие CA для этой решения этой задачи не обязательно. Но можно сделать и так, да. Не вижу проблем.

                                            Аналогично для проверки контрольной суммы MD5/SHA-XXX её значение должно быть сравнено с полученным из авторитетного источника.
                                            А вот тут неверно, аналогии никакой нет. Во-первых, я бы не рассматривал хеш-функции как надежную подпись вообще, это скорее контрольная цифра чтобы убедиться, что файл не был случайно (неумышленно) поврежден. Во-вторых, при использовании нормальных алгоритмов, нам не нужно «сравнение с эталоном». И подпись вместе с файлом мы могли получить хоть с серверов АНБ / ФСБ — что с ней сделается-то?

                                            А вот в качестве авторитетного источника сейчас практически всегда выступает получение корневого сертификата издателя ПО или контрольной суммы по https, где достоверность сайта (и вот здесь уже обязательно его содержимого) проверяема теми интернет-центрами сертификации, чьи координаты уже зашиты в браузер.
                                            Если вы один раз получили программу из «надежного источника» (диск в запечатанной упаковке, сверили хеш-сумму через тот же HTTPS, в случае с WIndows проверили подпись инсталятора), то зачем ей использовать какие-то левые CA, если разработчик сразу может зашить в нее публичные ключи своих собственных серверов? Или даже публичный ключ своего CA, чтобы иметь возможность в будущем расширять свою инфраструктуру. В первый раз — да, нужно быть внимательнее. Но ведь и во всемогущество HTTPS вы верите только исходя из того, что вам не подсунули кукую-то левую сборку браузера или ОС. Тем более, что мы тут обсуждаем обновления.

                                            PS. Да, я знаю, что сертификаты можно распространять и на токенах, и на бумажках, но на практике это редкость.
                                            Не такая уж и редкость, но чтобы вы не подумали, что я придираюсь, допустим, что это так (правда, сам ключ на бумаге, конечно, не печатают — печатают его отпечаток для проверки человеком).
                                          • 0

                                            Если я правильно понял, то вы:


                                            1. Скачиваете с сайта Майкрософт (Эппл, убунта) обновление винды
                                            2. Скачиваете с сайта Майкрософт значение электронной подписи
                                            3. Проверяете подпись.

                                            Если канал не защищён то что мешает человеку который подменил файл обновления подменить значение электронной подписи? (Опять же если речь идёт о простой md5/sha).


                                            Настоящую безопасность дают более сложные алгоритмы подписи в которых фигурируют открытые и закрытые ключи, но что-то я редко встречаю обновления подписанные таким образом. Расскажите более конкретно про свой кейс, если можно воздержавшись от оскорблений и сомнений в способностях собеседников.

                                            • 0
                                              Если канал не защищён то что мешает человеку который подменил файл обновления подменить значение электронной подписи?
                                              Вероятно то, что измененная подпись не пройдет проверку?

                                              Опять же если речь идёт о простой md5/sha
                                              Нет, речь о них не идет.

                                              Расскажите более конкретно про свой кейс
                                              У меня их много. Взять ту же упомянутую вами «Убунту» — все обновления идут с ближайшего к вам зеркала, никак не подконтрольных создателям этой ОС (например, mirror.yandex.ru — откуда нам знать, что это зеркало не оприходовали ФСБшники?). После загрузки, но перед установкой, проверяется PGP-подпись с помощью публичного ключа, изначально зашитого в дистрибутив.
                                              • 0
                                                Нет, речь о них не идет.

                                                После загрузки, но перед установкой, проверяется PGP-подпись с помощью публичного ключа, изначально зашитого в дистрибутив.

                                                Спасибо за пояснение.
                                                • +1
                                                  перед установкой, проверяется PGP-подпись с помощью публичного ключа, изначально зашитого в дистрибутив

                                                  Откуда вам известна подлинность "изначально зашитого" ключа, если дистрибутив убунты вы тоже скачали с сервера кгб?

                                                  • 0
                                                    1. Речь идет про обновление системы, читайте внимательнее.
                                                    2. То же самое верно про HTTPS.
                                                    • 0
                                                      1. именно об обновлении. Ну, скачаете вы обновление подписанное ключём кгб и подтвердите его подлинность своей частью ключа, который зашит в ваш дистрибутив, скачанный до этого с серверов кгб же. Или какого другого злобного хацкера. Можете спать спокойно? Вы же проверили обновление! Ну, не работает только одна часть системы безопасности, только всё полностью. Думайте внимательно. А если строить полную систему, то удобнее с https. Распределение публичных pgp-ключей — та ещё боль.
                                                      2. Не совсем так. Вернее, совсем не так. Стандартная практика в нормальных компаниях — ручная установка собственных сертификатов и последующее обновление софта только с серверов компании, через, сюрприз, https и его разновидности, используя эти сертификаты. А для большинства других менее параноидальных случаев работает "просто" https с сертификатами, удостоверенными доверенными публичными центрами сертификации. Да, там атаки тоже возможны, но, если всё делать правильно, маловероятны. Для паранойи остаются "свои" сертификаты. Преимущество данного способа — всё работает автоматически.
                                                      • 0
                                                        который зашит в ваш дистрибутив, скачанный до этого с серверов кгб же
                                                        Еще раз, речь идет об обновлении. Вопрос того, откуда у вас взялся изначальный дистрибутив, выходит за рамки данного обсуждения.

                                                        Стандартная практика в нормальных компаниях — ручная установка собственных сертификатов
                                                        Что вам это даст, если ваш дистрибутив, как вы говорите, «скачан с серверов КГБ»? Вас там уже будет ждать «обновленный» OpenSSL, докачивать ничего не придется.
                                                • 0
                                                  но что-то я редко встречаю обновления подписанные таким образом

                                                  Обновления Винды подписаны сертификатом MS и просто не запустятся при повреждении или модификации файла.
                                          • +1
                                            А каким образом, защищенность (или незащищенность) канала передачи, влияет на аутентичность цифровой подписи?
                                            • 0
                                              Проверять полученную цифровую подпись нужно по достоверному сертификату, который тоже нужно получить. Аналогично для хеш-сумм.

                                              Лишний раз скажу, что здесь я имею в виду не шифрование содержимого в канале связи, а его соответствие содержимого оригиналу у автора. То есть именно web-сайт с подтверждённым в удостоверяющем центре сертификатом.
                                              • 0
                                                Верно, но я никак не могу понять, зачем вам на каждое обновление нужен новый ключ?
                                                • 0
                                                  Просто народ не может отличить хэширование от электронной подписи, не парьтесь :)
                                      • 0
                                        Похоже фраза «мы создадим свой интернет» уже в альфе…
                                        • +2
                                          А не проще разместить тоже самое но у не провайдера? Делаем дочку, лицензии на услуги связи у нее нет, закон о связи на нее не распространяется как и куча нормативных требований, дочка заключает договор в google, все запросы на youtube уходят на сервера дочки. Их по большому счету можно даже из стоек не вынимать.
                                          • +3
                                            На сколько я понял из статьи, оно сейчас так и есть. Вы просто предлагаете добавить еще одно звено, которое, по сути, излишне.

                                            Сейчас: Google арендует стойку в помещении провайдера.
                                            Будет: Google арендует стойку у фирмы, которая арендует стойку в помещении провайдера.
                                            • 0

                                              Так в статье же упомянуто, что сами сервера не подлежат сертификации. Что помешает сертифицировать не подлежащие сертификации дочки? Особенно когда органам вторит политика.

                                            • 0
                                              Чисто гипотетически, если вместо железяки будет запущена виртуалка, это как-то повлияет на решение РКМ?
                                              • 0
                                                Я работал в телекоме, и знаю как гугл сервера снижали нагрузку на аплинк. Что не инициатива, то сервис хуже — заплати больше. Прям грустно.
                                                • 0
                                                  По статистике 3-терабайтное кеш-хранилище под Youtube-контент для 100 тыс. абонентов снижает внешнюю Youtube-полосу на 30%.

                                                  Когда собиралась эта статистика, до 2015 или позже? ("As of March 2015, all Youtube videos are served through HTTPS by default." — https://superuser.com/questions/685851/how-to-redirect-youtubes-videos-url-googlevideo-com-from-https-to-https-autom; HSTS preload list " { "name": "googlevideo.com", "include_subdomains": true, "pins": "google" },": https://productforums.google.com/forum/#!topic/youtube/hf7SDRTmwdg )


                                                  Как вы можете кэшировать https сайты?


                                                  Требуется ли пользователям устанавливать дополнительный корневой сертификат в ОС или браузер, или у вас есть подписанный сертификат с правом выпуска https-сертификатов для любого домена (basicConstraints.cA = true; vasexperts.ru/blog/filtraciya-url-v-ramkax-zakona/)?


                                                  https://forum.nag.ru/index.php?/topic/110449-sistema-keshirovaniya/


                                                  DimaM Опубликовано 16 ноября, 2015 "https не кэшируется. youtube временно не кэшируется ( google борется с кэшированием и поломал используемую у нас схему, сейчас готовим решение на замену )"

                                                  Опубликовано 10 марта, 2016 Затеяли более глобальные работы: вместо поддержки отдельных видеосайтов делаем универсальное решение (с учетом контрольных сумм
                                                  для динамических ссылок). Выход версии планируется во 2 квартале.

                                                  Хм, была странная статья: https://vasexperts.ru/blog/ves-mir-shifruet-rossiya-deshifruet-p/


                                                  Дешифровать нельзя, но можно перехватить. Именно такой способ и обсуждается в министерствах. Операторы связи должны будут поставить на своих сетях оборудование, способное выполнять MITM-атаку (Man in the Middle). Это оборудование притворяется запрошенным сайтом для пользователя и пользователем – для сайта.… Чтобы браузер пользователя не выдал ошибки сертификата, российский УЦ должен быть добавлен в доверенные корневые центры сертификации на компьютере пользователя. Этот вопрос планируется к решению соглашением с производителями таких популярных обозревателей, как Google Chrome, Mozilla Firefox, Opera.
                                                  • 0
                                                    «Система DPI дает возможность менять приоритет проходящих пакетов»
                                                    «Маршрутизаторы и шейперы используют эту информацию для обеспечения нужного качества»

                                                    Как ни оптимизируй и не меняй приоритет, если трафика слишком много — это вообще не поможет. Вдобавок видеотрафик в приоритет никто ставить не будет.

                                                    Игроманы точно пострадают, ибо с увеличением внешнего трафика пинг во всяких cs:go, lol, SC, дота и др. вырастет. А ведь там и 10 мс заметны.
                                                    • 0
                                                      Использую сторонний опенсорсный плеер PotPlayer ru.wikipedia.org/wiki/Daum_PotPlayer для просмотра видео/плей-листов с Тытруба (в буфере ссылка > Ctrl+U > Enter).

                                                      Что характерно, в Хроме тормоза, буферизация, про 1080@60fps вообще можно забыть, плюс битва ADBlock'а с рекламной. В плеере же выставляю максимальное качество + в самом плеере можно дополнительно конвертировать 30 в 60 fps.

                                                      Екатеринбург @ Билайн [канал 100 Мбит/с]

                                                      Интересно услышать мнение других участников топика. Пользуетесь ли Вы альтернативными средствами просмотра?
                                                      • 0
                                                        А что мешает гуглу перейти на обычный CDN? (для ютуба)

                                                        При заходе на ютуб гугл знает твой IP и какой у тебя провайдер. Соответственно, можно разместить в этой сети свой CDN-сервер и просто обратиться к нему для подгрузки видео. От провайдера никаких действий не требуется, да и решение проще.

                                                        Разве что стоит отметить, что нужно открывать как минимум 2 соединения — для сайта и CDN, но это на всех CDN так (да и сейчас Google итак же открывает 2 соединения).
                                                        • 0
                                                          Именно так оно и работает. Не путайте Google Global Cache и рекламу DPI в этой статье.
                                                          • 0
                                                            Я имею ввиду, что гуглу не нужны ни Google Global Cache, ни DPI, а хватит лишь старого доброго CDN без всякого сотрудничества с провайдером, а уж тем более без вмешательства в его сети. При этом система будет проста, и работать не медленнее.
                                                            • 0
                                                              Это и сейчас есть CDN, размещенный максимально близко к конечному пользователю. В сети провайдера он вмешивается ровно настолько, насколько это делает любой другой пользователь.
                                                              • 0
                                                                Если уже и сейчас есть CDN, то чё гуглу переживать?
                                                                • 0
                                                                  Очевидно, из-за некомпетентности надзорных органов некоторых стран.
                                                        • 0
                                                          Мне кажется, использование российского аналога и может быть той самой целью РКН — импортозамещение, развитие бизнеса и т.д.
                                                          Причем такая система позволит кешировать не только видеоконтент стриминговых сервисов, но и обновления для браузеров, Windows, антивирусов и другого ПО, а также часто повторяющие файлы, например картинки.
                                                          Надеюсь, она не будет создавать конфликтов с предписаниями веб-серверов из заголовков ответа Cache-Control, Pragma и Expires.
                                                          • 0
                                                            Только забыли упомянуть, что Ваш кеш сервер не кеширует Ютубчик
                                                            • 0
                                                              Сам работаю в провайдинге небольшого городка вечерами действительно Ютубик тормозит, долго грузит а то и сбрасывает на качесвто 144р хотя общий арендуемы нами канал у магистрала прогружен где-то на 60% всего, и те-же торренты качают на нормальной скорости, speedtest.net показывает скорость по тарифу.

                                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                              Самое читаемое