CERT-In VPN kuralları, dört yıl sonra

Nisan 2022'de Hindistan Bilgisayar Acil Durum Müdahale Ekibi — CERT-In — Hindistan'daki VPN pazarını temelden yeniden yapılandıran bir direktif yayımladı. Gizlilik baskısı olarak haberleştirildi. Daha spesifik olarak, birkaç sağlayıcının karşılamamayı seçtiği bir uyumluluk gereksinimiydi. Dört yıl sonra Hint VPN pazarı hâlâ sonuçlar etrafında işliyor.

Bunun hakkında dürüstçe yazabiliyoruz çünkü Hindistan'da hiç sunucumuz olmadı. Büyük Batılı markalar — NordVPN, ExpressVPN, Surfshark, ProtonVPN, Mullvad — Hindistan'da sunucuları vardı ve 2022 ortasında bir seçim yapmak zorunda kaldılar. Çoğu fiziksel olarak ayrılmayı seçti. O zamandan beri "Hindistan'ı terk ettik" başlıklı blog yazıları yayımlamaya hevesli olmadılar.

İşte gerçekte olan, o zamandan beri değişen ve nasıl düşünülmesi gerektiği.

CERT-In gerçekte ne gerektiriyor

Nisan 2022 direktifi kısa. Hindistan'da altyapısı olan VPN sağlayıcılarına, cloud sağlayıcılarına ve veri merkezi operatörlerine uygulanıyor. İlgili gereksinimler:

Beş yıl müşteri KYC tutma. Gerekli alanlar: ad, adres, telefon numarası, email, müşteriye atanan IP adresi, sözleşme süresi, ödeme yöntemi ve VPN'in beyan edilen kullanım amacı. Sonuncusu olağandışı — çoğu tutma rejimi servisin ne olduğunu sorar, ne için kullanıldığını değil.
Altı saatlik olay raporlaması. Herhangi bir siber güvenlik olayının tanımlanmasından sonraki altı saat içinde CERT-In'e raporlanması gerekiyor. Karşılaştırma için, AB'nin GDPR'si 72 saat gerektiriyor.
Hint saatine senkronize log'lar (NIC ya da NPL sunucularına NTP-senkronize).
Genel sistem/ağ log'ları için 180 gün boyunca log tutma (5-yıllık müşteri KYC tutmasından ayrı).

Direktif 27 Haziran 2022'de yürürlüğe girdi. Uyumsuzluk için cezalar IT Yasası'nın 70B(7) Bölümü kapsamında şirket yetkilileri için bir yıla kadar hapis ve maddi para cezalarına ulaşıyor.

Çoğu saygın sağlayıcı neden uymayı reddetti

Tutma gereksinimi no-logs taahhüdüyle yapısal olarak uyumsuzdu.

Dürüst formuyla no-logs bir VPN, müşteriyi bağlantılarına, trafiğine ya da hedeflerine bağlayan kayıtlar tutmuyor. NordVPN, ExpressVPN, Mullvad, Proton ve Surfshark hepsi no-logs taahhütlerinde geniş çapta pazarlama yaptı ve çoğunun bunları desteklemek için üçüncü-taraf denetimleri var. CERT-In direktifi onlardan tutmamak için yıllarca altyapı inşa ettikleri kayıtları tam olarak tutmalarını gerektirdi.

Seçenekleri şunlardı: (1) uy, Hint müşterilerini beş yıl logla ve o müşteri tabanı için no-logs iddiasını sessizce terk et; (2) Hint altyapılarını fiziksel olarak çıkar, böylece direktif artık geçerli olmasın; ya da (3) uymayı reddet ve hukuki maruziyeti kabul et.

Çoğunlukla seçenek 2'yi seçtiler.

ExpressVPN 2 Haziran 2022'de — direktif yürürlüğe girmeden önce — Hint sunucularını çıkardı.
NordVPN 26 Haziran 2022'de, son tarihten bir gün önce, Hint sunucularını çıkardı.
Surfshark 27 Haziran 2022'de Hint sunucularını çıkardı.
ProtonVPN alternatif denedikten sonra 2023 başlarında Hint sunucularını çıkardı.
Mullvad Hint sunucularını çıkardı ve hiç sanal yedek eklemedi.
IPVanish ve Private Internet Access da fiziksel altyapıyı çekti.

Yapmayı bırakmadıkları şey müşterilerine "Hint IP'leri" sunmaktı. Sanal sunucu düzenlemelerine geçtiler: fiziksel olarak Singapur'da (en yaygın), Hollanda'da ya da Londra'da bulunan sunucu, peering düzenlemesiyle yönlendirilen Hint IP adresiyle konfigüre edildi, böylece trafik Hindistan'dan geliyormuş gibi görünüyor. NordVPN Ocak 2024'te Singapur'dan fiziksel olarak host edilen ilk sanal Hindistan lokasyonunu ekledi. ExpressVPN ve Surfshark benzer pattern'leri izledi.

Bu gerçek bir ürün uzlaşması. Sanal Hint IP, Mumbai ya da Bangalore'da fiziksel olarak duran sunucuyla aynı özelliklere sahip değil — gecikme profili farklı, IP-blok itibarı farklı olabilir ve routing yolu uluslararası bir bağlantıdan geçiyor. Çoğu kullanım durumu için fark fark edilmiyor. Gecikmeye duyarlı Hint-sunucu-gerektiren iş yükleri için (bazı online oyunlar, belirli düzenlenmiş bankacılık etkileşimleri), önemli.

Uyumlu olan — direktife göre fiziksel Hint sunucularını ve müşterileri loglayan — sağlayıcılar çoğunlukla daha küçük markalar ve daha az incelenen aggregator'lar. İsim vermiyoruz; nokta şu ki "Hint sunucuları kullanıyor" 2022 sonrası ortamda artık bir kalite sinyali değil, bir uyumluluk flag'i.

Ocak 2025: app store kaldırmaları

Neredeyse üç yıl sonra ikinci bir uygulama dalgası geldi.

2024 sonu / 2025 başında, İçişleri Bakanlığı altındaki Hint Siber Suç Koordinasyon Merkezi (I4C), Apple ve Google'a Hint Apple App Store ve Google Play'den belirli VPN uygulamalarını kaldırmasını emretti. İnternet Özgürlüğü Vakfı (IFF) ve MediaNama'nın haberlerine göre emir başlangıçta 14 uygulamayı hedefledi.

3 Ocak 2025'e kadar basında beş kaldırma teyit edildi:

Cloudflare 1.1.1.1 (teknik olarak DNS-ve-WARP uygulaması, ama ücretsiz WireGuard VPN tunnel'ı içeriyor)
Hide.me VPN
PrivadoVPN
Touch VPN
X-VPN

Büyük ticari markalar — NordVPN, ExpressVPN, Surfshark, Proton, Mullvad, Private Internet Access — o tarih itibarıyla teyit edilen kaldırma listesinde değildi. Uygulamaları Hint app store'larında kullanılabilir kaldı.

Yasal dayanak, IT Yasası'nın 69A Bölümü ile birlikte Bilgi Teknolojisi (Halk Tarafından Bilgi Erişimi İçin Bloklama Prosedürü ve Güvenceleri) Kuralları, 2009'du. IFF emrin standart şeffaflık prosedürleri olmadan ve etkilenen kullanıcılara bildirim verilmeden çıkarıldığını alenen belirtti.

Doda bölgesi VPN yasağı (Mayıs 2025)

Mayıs 2025'te Jammu ve Keşmir'deki Doda bölge yönetimi, Bharatiya Nagarik Suraksha Sanhita'nın (BNSS, CrPC'yi değiştiren yeni ceza muhakemesi kanunu) 163. Bölümü kapsamında, bölgede iki ay süreyle VPN kullanımını yasaklayan bir emir çıkardı. Belirtilen sebep belirli militan iletişimleriyle ilgili güvenlik endişeleriydi.

Bu, VPN sağlayıcı uyumluluğunu değil bireyler tarafından VPN kullanımını hedefleyen ilk bölgesel-seviye Hint uygulama eylemiydi. Coğrafi kapsam bir bölgeydi. Süre iki aydı. 2025 sonu itibarıyla emir yenilenmedi ya da diğer bölgelere uzatılmadı.

Bu kendi başına geniş anti-VPN uygulama kanıtı değil. Hint yetkililerinin Bölüm 163 BNSS'yi bu amaçla en az bir kez kullandığının kanıtı ve o pattern'in prensipte diğer güvenlik-hassas alanlarda tekrarlanabileceğinin kanıtı.

2026'da VPN seçimi için bunun anlamı

Yukarıdakilerden birkaç şey çıkıyor ve çoğunlukla listicle'ların sana söyleyeceğinden farklı.

1. "Hint sunucularına sahip" artık yararlı bir seçim kriteri değil

2022 öncesi pozitif bir sinyaldi: daha düşük gecikme, daha basit routing, bazen Hint içeriğine biraz daha hızlı yol. 2022 sonrası 5-yıllık log mandatesine uyumlulukla korelasyonu var. 2026'da saygın bir no-logs sağlayıcının Hindistan'da fiziksel sunucuları olmayacak. Bir sağlayıcı Hint sunucularını pazarlıyorsa, sorulacak soru bunların sanal mı (fiziksel olarak başka yerde) yoksa fiziksel mi (CERT-In tutmasına tabi) olduğu.

2. Sanal Hint sunucuları genelde iyi

Kullanım durumun "JioHotstar/Netflix India/Hint bankacılığa erişmek için Hint IP istiyorum"sa, no-logs sağlayıcısından sanal Hint IP bu senaryoların büyük çoğunluğu için çalışıyor. Streaming servisleri fiziksel Mumbai sunucusu ile Singapur üzerinden yönlendirilen sanal Hint IP arasında anlamlı bir ayrım yapmıyor. Hint bankacılık siteleri altta yatan fiziksel lokasyonu değil IP'yi önemsiyor.

İstisnalar gerçek ama dar: Singapur-fiziksel sunucuya gecikmenin çok yüksek olduğu gerçek-zamanlı Hint-sunucu-gerektiren oyunculuk; yerel veri merkezinden bağlantı kaynağı gerektiren bazı düzenlenmiş trading platformları.

3. Büyük markalar ayrıldı, ama ayrılan sadece onlar değil

Birkaç küçük marka da aynı kararı sessizce verdi. Ürün sorusu "Hindistan'da hangi büyük-marka VPN çalışır" değil "bugün işleyen sağlayıcılardan hangisi işlettiği herhangi bir aktif sunucu lokasyonu tarafından zayıflatılmayan yapısal bir no-logs taahhüdüne sahip"tir. Cevap kümesi büyük Batılı markaları artı birkaç küçük olanı içeriyor — Fexyn dahil.

4. İkinci dalgadan haberdar ol

Ocak 2025 app store kaldırmaları kötü güvenlik itibarı olan ücretsiz ya da freemium VPN uygulamalarını hedefledi. Büyük ticari markalar etkilenmedi. Ama düzenleyici yön artımlı kısıtlama yönünde ve Doda bölge emsali bireysel-kullanıcı uygulamasının yetkililerin takip etmeyi seçtiği yerlerde artık yasal olarak mevcut olduğunu gösteriyor. Yüksek güvenlik endişeleri olan bir bölgede yaşıyor ya da seyahat ediyorsan, gelmeden önce bir VPN kurulu olması daha sonra potansiyel olarak throttle edilen bir bağlantıdan indirmeye çalışmaktan daha yararlı.

5. Son kullanıcı çoğunlukla düzenlenen bir taraf değil

CERT-In altyapı operatörlerini düzenliyor. Doda bölge yasağı bireysel kullanıcıların hedeflendiği bilinen tek vaka. Varsayılan Hint VPN kullanıcısı düzenlenen bir taraf değil ve doğrudan uyumluluk yükü taşımıyor. Ancak seçtiğin sağlayıcı direktife karşı kendi duruşunu seçti — ve seni etkileyen kısım o seçim.

Fexyn nasıl uyuyor

Fexyn Hindistan'da herhangi bir sunucu işletmiyor. Altyapımız Frankfurt, Helsinki, Kıbrıs ve Ashburn'da. Hint IP'lerini her diğer saygın no-logs sağlayıcı gibi sunuyoruz — fiziksel olarak Hindistan dışında bulunan sanal sunucular aracılığıyla.

Bu, tüm saygın VPN endüstrisinin 2022'de yaptığı uzlaşma. Bunu yapan tek biz değiliz; tek farkımız esas olarak bunun hakkında yazmaya istekli olmamız.

Spesifik olarak:

Tarama geçmişi, DNS sorguları ya da trafik içeriğini loglamıyoruz.
Vault PKI'dan 24 saatlik kısa-ömürlü sertifikalar veriyoruz, dolayısıyla herhangi bir tehlikeye atılmış kimlik bilgisinin ömrü sınırlı.
Hindistan için fiyatımız Tier 4 — $2.99/ay — herhangi bir saygın sağlayıcının yayımladığı en düşük oranlar arasında.
7-günlük ücretsiz trial önceden kart gerektirmiyor. Hint Visa/Mastercard ile kart ödemesi Stripe üzerinden çalışıyor; UPI henüz desteklenmiyor. Kripto ödeme alternatif olarak mevcut.

Pratik kurulum adımlarıyla ülke-sayfası özetini istersen, Hindistan için VPN'de.

Daha geniş bir not

2022 CERT-In direktifleri bazı Batılı basın kapsamında gizlilik baskısı olarak nitelendirildi. Daha doğru nitelendirme, ciddi siber suç sorunu ve gelişen teknoloji egemenlik gündemi olan bir ülkede düzenleyici rasyonalizasyon. Veri-tutma ve olay-raporlama gereksinimlerinin çoğu uluslararası olarak iyi-emsallenmiş.

No-logs VPN iş modelleriyle spesifik uyumsuzluk gerçek bir sonuç, ama no-logs taahhüdünün herhangi bir tutma rejimi altında sürdürülmesi zor olmasının sonucu — benzersiz bir Hint başarısızlığı değil. Birkaç diğer yargı yetkisi (2017'deki Yarovaya yasalarıyla Rusya, 2015'te Belarus, 2025 CVAS-Data lisanslamasıyla Pakistan) benzer sağlayıcı-çıkış dinamikleri üretti.

Dört yıl sonra dürüst versiyon: Hindistan VPN kullanıcılarına daha düşman olmadı. Saygın VPN sağlayıcılarının yerel sunucular olmadan işlediği bir yargı yetkisi haline geldi. Bu, listicle başlıklarının önerdiğinden daha küçük bir değişiklik. Aynı zamanda en çok etkilenen sağlayıcıların genelde hakkında konuşmaktan kaçındığı bir değişiklik, bu yüzden bu yazı var.

Fexyn'i 7 gün ücretsiz dene — Tier 4 fiyatlama, trial için kart gerekmiyor.