Домен РФ, громкие обещания и альтернативный корень DNS

Кстати, про новый национальный домен РФ уже столько построено “твёрдых” планов с графиками и столько раз сказано, что домен “уже выделен и начнёт работу” (включая сообщения, сделанные на самом высоком государственном уровне) – теперь если ICANN заупрямится, Координационному центру, видимо, придётся делегировать домен на собственных серверах, чтобы озвученные адреса заработали.

Современная DNS так устроена, что можно договориться с группой провайдеров и создать несанкционированное дополнение к корневой зоне (ну или просто поднять свой, независимый от управления ICANN, корень DNS). В такой “дополненной реальности” может работать любой новый домен верхнего уровня, неделегированный ICANN. Правда, доступен он будет только клиентам участников, так сказать, технического доменного картеля – то есть, только для тех пользователей, чьи интернет-провайдеры используют отличные от общемировых настройки DNS. Иными словами, за пределами сегмента Сети, в котором действуют свои собственные правила адресации, дополнение к DNS работать не будет.

(Про то, что теоретически такой вариант возможен для РФ – совершенно неожиданно упомянули представители Координационного центра на доменной секции в рамках РИФа. А вариант этот, мягко говоря, самый плохой из возможных.)

Например, не так давно “Гарант-Парк-Телеком” проделал фокус с независимым “открытием” домена РФ, создав на своих серверах домен “гарант-парк-телеком.рф” и предложив желающим изменить настройки серверов DNS так, чтобы этот домен заработал. Действия ввели в заблуждение многих несведущих в технических аспектах журналистов, поспешивших язвительно написать, что “на практике сайт гарант-парк-телеком.рф не открывается ни в одном браузере”, хотя он и не должен был открываться, так как Гарант-Парк-Телеком нарушил принципы построения глобального Интернета.

Преодоление этих самых принципов происходит приблизительно по следующей схеме рассуждений: а что нам эти RFC и IETF? мы сами с усами! Действительно, международной законодательной основы для функционирования Интернета – нет, а есть лишь некие соглашения и рекомендации (RFC), которым большинство участников обмена данными следуют. На определённом этапе развития ожидаемо появляются группы, которые считают, что “нам эти RFC – не указ!” и “мы сами знаем, как лучше, у нас есть свои инженеры и сети!”. И вот на следующем шаге строят собственные альтернативные корни DNS (они, кстати, есть уже развернутые, если кому интересно) и вообще сегменты как бы глобального Интернета, помещающие пользователя в “иную сетевую реальность”. (Примеры тут известны самого разного уровня, начиная от домовых сетей, в которых “понравившиеся домены” настраивали так, что они показывали совсем не на те ресурсы, на которые должны бы по задумке “глобально признанного администратора”. Обмануть ведь пользователя не сложно, можно так сделать, что он, набирая yandex.ru, будет попадать на локальный ресурс администратора сети).

Между прочим, практически то же самое можно проделать и с IP-адресами, если кто из подготовленных пользователей сомневается: просто, перенастройка таблиц маршрутизации и работы с BGP – несколько более сложное дело. Но проблема решаемая: работает же ведь технология anycast для IP-адресов распределённых сервисов.

Есть и известный способ оправдания действий по созданию альтернативных интернетов. Например, локально запустив домен РФ альтернативным способом, без делегирования в глобальном корне DNS, можно говорить так: “это только для тестирования; до тех пор, пока в корневой зоне этого домена нет, а как только он появится – сразу уберём свой альтернативный механизм”. Именно так, запуская альтернативы, всегда давили на ICANN, пытаясь принудить корпорацию к принятию нужных решений. Впрочем, хитрая ICANN давно научилась бороться с подобными попытками и обращает их эффект себе во благо.

Что интересно: ICANN появилась как раз для того, чтобы эффективно победить возникавшие десять лет назад альтернативные сегменты адресного пространства Интернета. Сейчас именно ICANN при прямом и активном участии Минторга США вводит новые эффективные инструменты противодействия провайдерам, которые “себе на уме” – это DNSSEC и новые политики сертифицирования распределения блоков IP-адресов. И в DNSSEC, и в распределении IP уже в самые ближайшие годы появятся криптографические механизмы, которые перекроют все простые ходы по подделке ответов DNS и перехвату адресов. При этом, в случае с DNSSEC, механизмы проверки будут проталкивать прямо на клиентскую машину, силами производителей операционных систем (выпустит, скажем, MS очередной апдейт – и вот, готово).

Вот.

P.S. Спасибо всем, кто таки пришёл на нашу секцию на РИФе. Данная заметка как раз написана по результатам обсуждения и ответов на вопросы в ходе секции.

Адрес записки: https://dxdt.ru/2010/04/25/3074/

Похожие записки:



Далее - мнения и дискуссии

(Сообщения ниже добавляются читателями сайта, через форму, расположенную в конце страницы.)