Subtotal $0.00
Email : 38
Imagine abrir o terminal numa segunda-feira de manhã, digitar docker pull nginx e receber um erro de certificado TLS. Você checa a conexão, reinicia o daemon, tenta de novo. Nada. Aí abre o navegador, tenta acessar o Docker Hub, e o que aparece na tela é um aviso judicial espanhol dizendo que o acesso foi bloqueado por ordem do Juzgado de lo Mercantil nº 6 de Barcelona.
Bem-vindo à Espanha em 2026, onde rodar docker pull pode falhar porque a La Liga — sim, a liga de futebol — decidiu bloquear IPs da Cloudflare para combater pirataria de transmissões esportivas.
O Erro que Ninguém Esperava
O problema começou a ganhar tração no Hacker News quando um desenvolvedor espanhol postou o erro que estava recebendo ao tentar puxar imagens Docker:
error pulling image configuration: download failed after attempts=6:
tls: failed to verify certificate: x509: certificate is not valid
for any names, but wanted to match
docker-images-prod.6aa30f8b08e16409b46e0173d6de2f56.r2.cloudflarestorage.com
O Docker Hub armazena suas imagens no Cloudflare R2 — o serviço de storage da Cloudflare. Quando os ISPs espanhóis bloqueiam IPs da Cloudflare por ordem judicial, o Docker Hub vira dano colateral. Simples assim.
E não estamos falando de um serviço obscuro. A Cloudflare processa entre 20% e 25% de todo o tráfego global da internet. Bloquear seus IPs é como fechar uma rodovia porque um carro roubado passou por ela.
Como a La Liga Conseguiu Esse Poder
Tudo começou em dezembro de 2024. O Juzgado de lo Mercantil nº 6 de Barcelona autorizou a La Liga e a Telefónica (dona da Movistar) a exigirem que todos os ISPs espanhóis bloqueassem IPs associados a transmissões ilegais de futebol. A condição? Que o bloqueio “não afetasse terceiros”.
Spoiler: afetou.
O mecanismo funciona assim:
- Antes de cada rodada de jogos, a La Liga identifica sites que transmitem partidas ilegalmente
- Anota os IPs dos servidores desses sites
- Envia a lista para os ISPs
- Os ISPs bloqueiam os IPs no nível de rede
O problema fundamental é que esses sites piratas usam CDNs como Cloudflare, Vercel e Fastly. E CDNs funcionam com IPs compartilhados — centenas ou milhares de sites legítimos rodam no mesmo IP que um site pirata qualquer.
É como se a polícia fechasse um prédio inteiro de escritórios porque um inquilino vendia produtos falsificados. O resultado? Todo mundo que trabalha no prédio fica sem acesso.
A Lista de Danos Colaterais
Quando a La Liga bloqueia IPs da Cloudflare durante jogos, a lista de serviços afetados é absurda:
| Serviço | Impacto |
|---|---|
| ——— | ——— |
| Docker Hub | docker pull falha com erro de certificado TLS |
| GitHub Pages | Sites estáticos ficam inacessíveis |
| X (Twitter) | Intermitente durante partidas |
| Twitch | Streams legítimas caem |
| Acesso bloqueado | |
| Steam | Gamers não conseguem baixar jogos |
| Vercel | Apps hospedados ficam offline |
| GitLab CI/CD | Pipelines falham durante jogos |
E não para por aí. Relatos no Hacker News incluem situações genuinamente perigosas: uma mulher que usava um serviço de GPS para rastrear seu pai idoso com demência não conseguiu acessar a plataforma durante uma partida. O serviço rodava na Cloudflare.
Sites do governo espanhol também foram afetados. Até o dicionário da Real Academia Española (RAE) ficou fora do ar em alguns momentos. A ironia de uma liga de futebol derrubar o dicionário oficial da língua espanhola não passou despercebida.
O Calendário do Caos
Existe até um site — hayahora.futbol — que os desenvolvedores espanhóis usam para verificar se haverá bloqueio em determinado horário. Basicamente, é um calendário de jogos da La Liga que serve como alerta para “sua internet vai funcionar hoje?”.
Eu já vi muita coisa na área de tech, mas um site que te avisa quando o Docker vai parar de funcionar por causa de futebol é algo que eu nunca imaginei que existiria.
O padrão é previsível: antes de cada rodada de jogos (geralmente sextas, sábados e domingos), os bloqueios são ativados. Durante a semana, tudo volta ao normal. Exceto quando não volta — em setembro de 2025, o Docker ficou fora do ar na Espanha por vários dias seguidos.
Fevereiro de 2026: A Escalada
Como se bloquear CDNs não fosse suficiente, em fevereiro de 2026 um tribunal espanhol ordenou que provedores de VPN — especificamente NordVPN e ProtonVPN — também bloqueassem IPs usados para streaming ilegal durante partidas.
O tribunal classificou VPNs como “intermediários tecnológicos” sujeitos ao Regulamento Europeu de Serviços Digitais, argumentando que elas facilitam o acesso a conteúdo pirata.
A resposta da Proton foi reveladora: registros de novas contas do ProtonVPN na Espanha aumentaram 200% após os bloqueios da Cloudflare. As pessoas estavam usando VPNs não para piratear futebol, mas para conseguir trabalhar.
# A realidade de um dev espanhol em 2026
$ docker pull nginx:latest
Error: tls: failed to verify certificate...
# Solução: VPN para a Holanda
$ vpn connect nl-amsterdam-01
Connected.
$ docker pull nginx:latest
latest: Pulling from library/nginx
Status: Downloaded newer image for nginx:latest
Agora imagina ter que ligar uma VPN toda vez que quer rodar um docker pull. Em 2026. Num país da União Europeia.
O Que a Cloudflare e a Vercel Fizeram
A Cloudflare não ficou parada. Junto com a RootedCON (uma das maiores conferências de segurança da Espanha), apelaram ao tribunal. O resultado? O juiz rejeitou, afirmando que “apenas sites de pirataria são afetados”.
Claramente, o juiz nunca tentou fazer docker pull durante um Barcelona vs Real Madrid.
A Vercel publicou um posicionamento oficial detalhando que dois de seus IPs foram bloqueados, afetando startups espanholas como a Tinybird e o site da Hello Magazine. O CEO da Vercel, Guillermo Rauch, foi direto:
“Usuários não deveriam ser bloqueados de acessar sites legítimos, e desenvolvedores não deveriam perder acesso à sua audiência por causa de uma entidade privada.”
A RootedCON foi além e publicou templates de processos judiciais para que empresas e indivíduos espanhóis pudessem contestar os bloqueios. Uma conferência de segurança fornecendo munição legal contra uma liga de futebol — outro cenário que eu nunca imaginei presenciar.
O Argumento Técnico que o Tribunal Ignorou
Para quem trabalha com infraestrutura, o absurdo é evidente. CDNs usam IP anycast — o mesmo endereço IP é anunciado de múltiplos pontos de presença ao redor do mundo, e cada IP serve milhares de domínios diferentes.
IP 104.21.x.x
├── site-pirata-futebol.com
├── docker-images-prod.r2.cloudflarestorage.com
├── meu-portfolio.dev
├── startup-espanhola.com
├── governo-espanhol.gob.es
└── ... mais 50.000 sites
Bloquear um IP da Cloudflare para atingir um site é como bombardear um bairro para pegar um suspeito. A proporção entre dano colateral e objetivo é grotesca.
E o pior: não funciona. Os sites de pirataria simplesmente migram para outros IPs ou usam infraestrutura que não passa pela Cloudflare. Em questão de horas, os streams piratas estão de volta. Quem continua bloqueado é o Docker Hub.
O Impacto Real nos Desenvolvedores
Conversei com relatos de desenvolvedores espanhóis no Hacker News e em fóruns da comunidade Cloudflare. O cenário é desolador:
Deploys que falham no fim de semana: Se sua pipeline de CI/CD depende de imagens Docker (e qual não depende?), esqueça deploys durante jogos. Empresas espanholas passaram a agendar deploys apenas em horários sem partidas.
Custos adicionais com VPN: Equipes inteiras precisaram contratar serviços de VPN corporativa apenas para manter operações normais. Um custo que não deveria existir.
Registry mirrors: Algumas empresas montaram mirrors locais do Docker Registry para não depender do Docker Hub durante bloqueios. Mais infraestrutura, mais custo, mais complexidade — tudo por causa de futebol.
# Workaround: Docker registry mirror local
# docker daemon.json
{
"registry-mirrors": ["https://mirror-interno.empresa.es:5000"]
}
Perda de clientes internacionais: Startups espanholas que usam Vercel ou Cloudflare relataram que clientes de outros países não conseguiam acessar seus serviços — porque os ISPs bloqueiam o IP globalmente, não apenas o tráfego de pirataria.
A Dimensão Legal e Política
Em outubro de 2025, o Parlamento Espanhol rejeitou uma moção para agir contra os bloqueios. A justificativa? Pirataria é um problema sério e a La Liga tem direito de proteger seu conteúdo.
Ninguém discorda que pirataria é um problema. A questão é a proporcionalidade. Bloquear IPs compartilhados por centenas de milhares de sites legítimos para combater meia dúzia de streams piratas é como usar um canhão para matar uma mosca — e destruir a casa no processo.
As opções legais que restam para cidadãos e empresas espanhóis são:
- Tribunal Constitucional: Alegar violação de direitos fundamentais (acesso à informação)
- Comissão Europeia: Reclamar violação do Regulamento 2022/612 sobre acesso aberto à internet
- Processos individuais: Usando os templates da RootedCON, empresas podem processar por danos
A via europeia é a mais promissora. O Regulamento 2022/612 estabelece que ISPs devem tratar todo o tráfego de internet de forma igual, sem discriminação. Bloquear IPs inteiros da Cloudflare durante jogos de futebol parece uma violação bem clara.
O Que Isso Ensina Sobre Dependência de CDN
Para além do absurdo jurídico, essa situação expõe uma vulnerabilidade real da internet moderna: a concentração de infraestrutura.
Quando 25% do tráfego global passa por uma única empresa (Cloudflare), qualquer ação contra essa empresa — seja judicial, técnica ou política — tem efeito cascata desproporcional. É o mesmo princípio que torna ataques DDoS contra a Cloudflare tão perigosos: derrubar um ponto central afeta milhões.
Algumas lições práticas:
- Multi-CDN é mais importante do que parece. Se seu serviço depende exclusivamente da Cloudflare, um bloqueio regional pode tirá-lo do ar em um país inteiro.
- Registry mirrors são essenciais para resiliência. Manter um cache local de imagens Docker deveria ser prática padrão em qualquer empresa séria.
- DNS alternativo ajuda, mas não resolve. Usar 1.1.1.1 da Cloudflare ou 8.8.8.8 do Google não adianta quando o bloqueio é no nível de IP, não de DNS.
Comparação Internacional: Como Outros Países Lidam com Pirataria
Vale colocar em perspectiva. Outros países também combatem pirataria de transmissões esportivas, mas com abordagens muito diferentes.
| País | Abordagem | Dano Colateral |
|---|---|---|
| —— | ———– | —————- |
| Espanha | Bloqueio de IPs de CDN inteiros | Altíssimo — milhões de sites afetados |
| Reino Unido | Bloqueio por DNS de domínios específicos | Baixo — fácil de contornar, mas preciso |
| Itália | Piracy Shield (bloqueio automatizado) | Médio — já bloqueou Google Drive acidentalmente |
| França | Hadopi (notificações ao usuário) | Nenhum — foca no consumidor, não na infra |
| Brasil | Notificação e remoção de conteúdo | Baixo — mais lento, mas mais preciso |
A Itália tem seu próprio fiasco com o Piracy Shield, que já bloqueou o Google Drive e IPs da Cloudflare também. Mas pelo menos lá o sistema tenta ser automatizado e tem algum mecanismo de apelação. Na Espanha, a La Liga tem carta branca judicial para bloquear o que quiser, quando quiser.
O modelo francês do Hadopi é o mais interessante: em vez de bloquear infraestrutura, notifica o usuário final que está acessando conteúdo pirata. Não causa dano colateral nenhum. Funciona? Parcialmente. Mas pelo menos não derruba o Docker de ninguém.
O Papel dos ISPs Nessa História
Um ponto que muita gente não discute: os ISPs poderiam ter contestado as ordens judiciais. Movistar, Vodafone e Orange acataram sem resistência significativa.
Por quê? A Telefónica (dona da Movistar) é parceira comercial da La Liga — transmite jogos pelo Movistar Plus+. Tem interesse direto no combate à pirataria. A Vodafone e a Orange, por sua vez, não querem briga judicial com uma entidade tão poderosa quanto a La Liga.
O resultado é um alinhamento perverso de incentivos: os ISPs não têm motivação para defender seus usuários contra bloqueios excessivos. Para eles, é mais fácil cumprir a ordem judicial do que questioná-la. Quem paga o preço é o dev que precisa rodar kubectl apply num sábado às 17h.
Alguns ISPs menores tentaram uma abordagem mais cirúrgica — bloqueando apenas domínios específicos em vez de IPs inteiros — mas a La Liga exigiu o bloqueio por IP, e o tribunal apoiou essa exigência.
A Temporada Não Acabou
A La Liga espanhola vai até o final de maio de 2026. Isso significa que desenvolvedores espanhóis ainda têm semanas de bloqueios pela frente. Cada rodada de jogos é uma roleta: quais IPs serão bloqueados dessa vez? O Docker vai funcionar no sábado à tarde?
Enquanto isso, os piratas continuam transmitindo jogos. Migraram para infraestrutura fora da Cloudflare, usam proxies rotativos, exploram servidores em países que não respondem a ordens judiciais espanholas. O bloqueio afeta quem trabalha, não quem pirateia.
Se você é dev na Espanha, provavelmente já sabe disso tudo e tem uma VPN configurada. Se não é, agradeça — e fique de olho. Porque se um tribunal conseguiu fazer isso na Espanha, nada impede que a mesma lógica seja aplicada em outros países. Imagine a Premier League pedindo para bloquear IPs no Reino Unido, ou a CBF fazendo o mesmo no Brasil.
A internet foi construída para ser resiliente a falhas técnicas. Ninguém pensou que ela precisaria ser resiliente a ligas de futebol.
Fonte de inspiração: Tell HN: docker pull fails in spain due to football cloudflare block (Hacker News) | Football, Power, and Censorship: How La Liga Broke the Spanish Internet
