Редко, но все же нет нет, но публикую в блоге посты, которые могут быть полезны как мне так и посетителям. А тут однажды сижу вечером дома пытаюсь войти с телефона на блог, а он не открывается. Ни ошибки, ни кодов состояния, просто бесконечная загрузка. Переключаюсь на мобильный интернет, а там та же самая картинка.

Первая мысль — что-то с сервером. Первая же проверка и все успешно. Другие ресурсы открываются, сервер доступен и казалось бы хорошо. Почесал в затылке, подумал, да оставил на утро. Утром с другого места и соответственно совершенно другого провайдера пробую войти, все открывается и быстро. Переключаюсь на мобильный интернет оператора — тишина, ничего не грузится. Начинаю искать в каком месте затык. И первая же проверка IP адресов на доступность, демонстрирует картинку о том, что IP адреса попросту заблокированы. При этом ни один из провайдеров не выдал заглушку о том, что данный ресурс мол заблокирован и бла бла, вместо этого просто бесконечно долгая загрузка с сообщением о невозможности загрузить страницу в итоге.

Копаю дальше и выясняется, что заблокированы конкретные IP адреса сервиса CLOUDFLARE.COM, через который был настроен доступ к домену блога и основного сайта. Даже нашел постановление суда и даже три, где сначала блокировали некий нехороший сайт на том же диапазоне IP адресов, что и у меня и еще много других сайтов, а потом еще два постановления, где просто заблокировали всю сетку IP адресов без разбора, отсюда и проблема с доступом к блогу. И получается, что я долгое время даже не был в курсе, что на блог могут попасть лишь очень и очень ограниченный круг людей.

Для удобства, увеличения скорости доступа и снижения нагрузки на сервер, доступ на блог был настроен через сервис CLOUDFLARE.COM, через него мониторилась нагрузка, общая статистика и прочее. При этом сервис кешировал графику, скрипты и прочее, что дает быстрее доставлять информацию конечным пользователям. А попавшие под блокировку IP адреса сервиса, сделали работу с сервисом попросту невозможной. Сам же сервис CLOUDFLARE.COM не предоставляет возможности менять диапазон адресов, это пишет и техническая поддержка и технические консультанты в многочисленных темах на их форуме с похожими вопросами от пользователей столкнувшихся такой же точно проблемой. Ответ всегда один: извините, ничем не можем вам помочь.

Пришлось переключаться на обычный режим работы домена и сервера, так сказать напрямую. Но и тут не обошлось без приключений. Для наглядности я даже постарался проиллюстрировать общие моменты и в чем возникла проблема.

Самый примитивный вариант, это доступ к сайту через протокол HTTP:

Но в данное время, этот вариант не считается безопасным. И в таком случае практически все современные браузеры будут выдавать уведомление о том, что сайт не безопасный и включать индикатор в виде красного замка, говорящий о том, что сайт работает через HTTP, без шифрования и представляет потенциальную опасность для посетителя. Для того чтобы этого избежать, сайт должен работать через протокол HTTPS и иметь подписанный и гарантированно-безопасный сертификат шифрования. К слову эти сертификаты платные и далеко не дешевые и порой просто перевести сайт на HTTPS доставляет некоторые проблемы для его владельца, да еще и примерно раз в год эти сертификаты нужно продлевать. Но есть сервисы которые облегчают работу и помогают мало того снизить нагрузку на сервер владельца сайта, но и переключить без проблем на «современный и безопасный» HTTPS и получить бесплатный сертификат, который принимают браузеры и вот сервис CLOUDFLARE.COM один из таких.

Инфографика: Доступ к сайту через HTTPS средствами сервиса CLOUDFLARE.COM

И вот IP адреса сервиса CLOUDFLARE.COM заблокированы и теперь при доступе к сайтам, которые «висят» на этих адресах провайдер посетителя отклоняет подключение и в результате сайт просто не открывается или еще хуже висит плашка о том, что он заблокирован по решению суда или еще по какой причине. В результате все сайты у вас открываются (или многие) а один конкретный нет. В моем случае это несколько моих и несколько таких же попавших под раздачу.

Теоретически сайты блокировать должны так: блокировать один конкретный домен или аккаунт на сервере. Плохиш обезврежен, а сайты расположенные рядом работают и знать не знают о плохом соседе буквально под боком.

Но увы, куда как чаще сайты блокируют просто без разбирательств заблокировав IP адрес, на котором могут быть много других сайтов, которые и не виноваты.

А иногда блокируют даже так, просто заблокировав диапазон IP адресов и все.

Конечно можно обеспечить доступ к сайту через HTTPS напрямую.

Благо на сервере стоит панель I**r с бессрочной лицензией, а так же модуль от Let’s Encrypt, позволяющий получать сертификаты для работы через HTTPS и продлевать их в автоматическом режиме. А вот нифига, I**r с их бессрочной лицензией через год использования становится пустышкой. Обновления вы перестаете получать и будьте добры покупать обновления за каждый год отдельно, включая пропущенные. С учетом текущих потребностей, Let’s Encrypt поменяла алгоритм работы и стандарты, после чего ее модуль становится бесполезным так как I**r обновить модуль отказывается, а сам модуль при запросе сертификатов получает ошибку о том,что его протоколы поменялись и нужно их обновить. В общем итоге половина сайтов перестали работать в буквальном смысле. Панель и сервер просто переклинило, домены работавшие через HTTPS не открываются. Как итог, конечно все можно запустить, но в ручном режиме. Мне это удалось только благодаря обращению к специалистам, которые в рамках платного заказа исправили проблему, убрали ошибку и добавили возможность обновлять и выпускать сертификаты в ручном режиме, но на это ушло несколько дней и это несколько дней простоя многих сайтов. С услугами CLOUDFLARE.COM пришлось к сожалению распрощаться (по крайней мере на части проектов), так же чувствую придет пора распрощаться и с I**r, который с момента установки и так успел потрепать кучу нервов. Пришлось несколько раз выделять средства на решение вопросов, которые вспыли в ходе использования, да и часть функционала осталась в работающем виде только в описании. Если даже обращения в службу поддержки платные. Бесплатно доступны только два запроса, которые конкретно у меня ушли, но проблема так и осталась не решенной, а ответ в духе «обратитесь к специалистам» вообще шикарен. Стоит ли такое нервов и средств, не думаю. На данный момент доступность блога исправлена.