eesti.ee

Контекст

eesti.ee — государственный портал Эстонии, главные цифровые ворота государства: налоги, медицинские данные, голосование, бизнес-регистрация. Через него гражданин взаимодействует с государством в цифровой среде. HAR: 463 запроса за сессию — и здесь всё устроено иначе, чем у остальных.

Внешние домены за всю сессию

ruuter.buerokratt.eesti.ee (чат-бот), tara.ria.ee (государственная аутентификация), govsso.ria.ee (единый вход), buerokratt.eesti.ee (поддомен портала) и один раз static.cloudflareinsights.com на странице TARA. Всё. Больше никого. Никакого Google, Facebook, Microsoft, AddToAny.

Архитектура, которая работает правильно

Content Security Policy прописывает строгий белый список — только *.ria.ee и *.eesti.ee. Любой внешний скрипт блокируется автоматически: Cloudflare Insights попытался загрузиться 5 раз и 4 раза был заблокирован с кодом 0. Это не случайность — это решение. Аутентификация идёт только через государственную инфраструктуру: при входе через ID-карту или Mobile-ID данные остаются внутри *.ria.ee, не уходят в Google и не в США.

Единственное замечание

Cloudflare Insights загрузился один раз на странице TARA (+232,9 сек, статус 200) — единственный внешний запрос за всю сессию. На фоне общей картины это незначительно, но стоит отметить для полноты: даже на эталонном портале единичный внешний маяк всё же прошёл, и его стоит убрать.

Вывод

Один и тот же тип организации — государственный цифровой ресурс, — но принципиально разный подход. mil.ee передаёт данные в Microsoft и Google, riigikogu.ee запускает GTM за 170 секунд до баннера, tai.ee обещает «не передаём» и делает 7 передач в Google. eesti.ee — только эстонские домены, строгая CSP, данные внутри страны. Это доказывает: вопрос не в том, умеет ли эстонское государство строить безопасные цифровые сервисы. Умеет. Вопрос в том, почему тот же стандарт не применяется к остальным. Это не технический вопрос — это вопрос приоритетов.