Первый удар по VPN в США: как Юта хочет запретить анонимность, не имея на это технических средств

Юта решила закрыть лазейку в проверке возраста и сразу упёрлась в устройство интернета. Посетитель может сидеть в Солт-Лейк-Сити, открыть сайт через VPN с адресом в другой стране, а отвечать за проверку возраста всё равно должен владелец ресурса. Для США такой подход станет первым прямым ударом по VPN в законах о доступе несовершеннолетних к онлайн-контенту.

Поправки Online Age Verification Amendments, формально Senate Bill 73, вступают в силу 6 мая. Закон подписал губернатор Юты Спенсер Кокс 19 марта. Документ считает пользователя посетителем из Юты, если человек физически находится в штате, даже при подключении через VPN или прокси, скрывающие реальный IP-адрес.

Попавшим под закон сайтам запрещают не только пропускать несовершеннолетних к материалам, вредным для детей, но и объяснять, как обойти возрастную проверку с помощью VPN. Прямого запрета на использование VPN в тексте нет, однако ответственность перекладывается на владельцев сайтов: ресурс должен понять, что за скрытым адресом находится посетитель из Юты, и потребовать подтверждение возраста.

NordVPN назвал закон «нерешаемым парадоксом соответствия» и «ловушкой ответственности». Логика критиков проста: VPN создан для сокрытия местоположения, а закон требует от сайта распознать пользователя, который специально скрывает географию подключения. Electronic Frontier Foundation предупреждает, что владельцы ресурсов могут выбрать самый безопасный юридический путь: блокировать известные VPN-адреса или требовать проверку возраста у всех посетителей в мире.

Техническая проблема не сводится к одной базе IP-адресов. Сервисы вроде MaxMind и IP2Proxy могут пометить часть трафика из дата-центров, но коммерческие VPN-провайдеры постоянно меняют адреса, а резидентские VPN-узлы выглядят почти как обычные домашние подключения. Анализ автономных систем помогает заметить трафик из сетей хостинг-провайдеров, но не отличает личный туннель WireGuard на облачном сервере от обычного сайта на той же инфраструктуре.

Надёжнее всего VPN-сигнатуры выявляет глубокий анализ пакетов, или DPI, но такой метод работает на уровне сети, а не приложения или сайта. Например, китайская система интернет-фильтрации использует DPI через провайдеров связи, потому что оборудование стоит между пользователем и сервером. Обычный владелец сайта доступа к этому участку сети не имеет.

В итоге закон сильнее ударит не по технически подготовленным пользователям, а по людям, которые используют коммерческие VPN-сервисы для нормальной защиты приватности. В зоне риска журналисты, политические активисты, жители стран с жёстким контролем интернета и люди, которым нужно скрывать цифровые следы ради личной безопасности.

Юта не единственный регион, где проверка возраста начинает цеплять VPN. В январе Палата лордов Великобритании проголосовала 207 против 159 за ограничение VPN-сервисов для пользователей младше 18 лет, а поправки ещё должны пройти обсуждение в Палате общин. После запуска возрастных проверок в Великобритании в июле прошлого года интерес к VPN резко вырос, а французский министр по цифровым вопросам Анн Ле Энано уже говорила, что VPN стоят следующими в её списке.

Висконсин в начале года рассматривал похожие положения, но отказался от них после резкой критики. Пока заметных успехов в блокировке VPN добиваются в основном страны, где государство контролирует трафик на уровне провайдеров, а не отдельные сайты, пытающиеся угадать реальное местоположение посетителя по входящему запросу.