На оборудовании ТСПУ блокируются однобуквенные домены a, d, i, m, s, t, w в TLS SNI, а также домен www.t.
$ for i in {a..z}; do curl https://${i} --connect-to ::webdav.yandex.ru:443 -k --max-time 2 -s -o /dev/null || echo ${i} error; done
a error
d error
i error
m error
s error
t error
w error
Формировать такие запросы могут некорректно написанные программы, которые, например, передают wide (UTF-16) строку в библиотеку шифрования, когда библиотека ожидает обычную C-строку, из-за чего используется только первая буква домена.
Фильтр был включён 26 января, обнаружен как раз из-за сломавшейся неправильно написанной программы.
Wow, great observation. So supposedly someone wanted to block (random example) mozilla.org, but what they submitted to the unified register was actually the UTF-16-LE string m\x00o\x00z\x00i\x00l\x00l\x00a\x00.\x00o\x00r\x00g\x00, which, when interpreted as a null-terminated C string, becomes just m.
I’m not sure whether these are manual or automatic blocks. I’d guess that some kind of anomaly detection algorithm has shown the requests with these SNI, based on the real network traffic, to the operator and the operator confirmed it’s block.
These are out-of-registry blocks on TSPU hardware.