В эту пятницу на сайте неприметного американского ведомства появилось сообщение, что оно планирует отдать управление над корневой зоной DNS. Другими словами, США перестанет контролировать всю систему доменных имён, отдавая управление сообществу.
Техническая часть
В DNS рекурсивное определение имени начинается с точки в конце доменного имени. Чаще всего её пропускают, но, на самом деле вместоwww.grani.ru следует писать www.grani.ru. — именно так, с точкой. Когда клиент просит рекурсивный DNS сервер сказать, какой IP адрес у www, процесс начинается с определения авторитетных серверов для зоны ru. И начинается он с запроса в зону ".", сервера которых отвечают, что у зоны RU есть несколько авторитетных серверов, и дальше процесс рекурсивно продолжается, пока мы не узнаем, что A-запись для www указывает на 46.226.110.151, после чего браузер идёт по этому адресу и выясняет, что Роскомнадзор… Впрочем, пост не о цензуре.За корневую зону отвечают корневые сервера. У них 13 IP-адресов — это максимальное количество, которое можно уложить в один ответ DNS по UDP. Самих серверов больше (используется мультикастинг, балансировка нагрузки посредством DNAT'а и другие технологии), но адресов у них — 13. Адреса корневых серверов намертво «прибиты гвоздями» в конфигах практических любых DNS-серверов. И даже DNS-сервера, которые не поддерживают рекурсию, обычно отвечают списком корневых серверов (если мы не знаем корневых серверов и не знаем с чего начать процесс рекурсивного определения имени, то любой DNS-сервер нам укажет именно на них).
Именно в корневой зоне регистрируются TLD (top level domains), такие как .ru, .com, .jp, .info и т.д.
На этом техническая часть заканчивается и начинается политическая.
Политическая часть
DPI, великий китайский файрвол, малый русский файрвол — это всё ерунда. Кто контролирует корневую зону, контролирует весь интернет. Если из DNS удалить зону .no, то ни один норвежский сайт не будет открываться по имени. Точнее, перестанет открываться через некоторое время, как только протухнут кеши у ресолверов.Исторически, с момента разрешения использования Интернета для коммерческой деятельности, корневая зона находилась в формальном подчинении NTIA (полное название: U.S. Commerce Department’s National Telecommunications and Information Administration — американский аналог Роскомнадзора, правда, без функций цензуры). В ходе развития Интернета, была создана некоммерческая организация ICANN, которая занималась отношениями с регистраторами национальных доменов, созданием новых TLD и т.д. С нею был заключен договор — и ICANN выступала и в качестве IANA (верхнего распределяющего IP-адреса), она же управляла корневой зоной. Техническая же работа была поручена Verisign. Но формальный контроль оставался у США.
Надо сказать, США никогда ни малейшим образом не использовали этот «контроль» для влияния на интернет, но опасения «а если?» оставались. И усилились после публикаций о слежке NSA за всеми и вся. Требования перевести контроль над Интернетом (а, точнее, над ICANN) под управление международных организаций, например, ООН, раздавались давно. Сами США уже давно (ещё к 2000 году) обещали передать управление, но всё тянули и тянули.
И вот, этот момент свершился. США планируют отдать управление над Интернетом.
Подробности
Контракт между NTIA и ICANN истекает осенью 2015 года. До этого момента никаких фактических изменений не будет. Но к этому времени планируется разработать политику для ICANN, принципы участия заинтересованных сторон и общую идею, «как это будет». В списке т.н. stakeholders (заинтересованных лиц) — IETF, региональные регистраторы (RIR), две мне совсем неизвестные организации Internet Architecture Board (IAB), the Internet Society (ISOC), Verisign, операторы TLD (внезапно, владельцы .google, .yandex и т.д. могут получить кусочек ручки для управления всея DNS).В любом случае, с учётом текущего поведения NTIA (невмешательство), практические изменения для конечных пользователей (как посетителей сайтов, так и владельцев доменов) заметны не будут.
С другой стороны, существуют определённые риски получить конфликты уже вокруг TLD, политик выделения и т.д. При всей кажущейся коммерческо-технической точке зрения (с чем IETF справляется вполне), существует риск получить немалый конфликт вокруг национальных доменов. Должен ли быть национальный домен у Страны Басков? Крыма? Абхазии? Чечни? Любой другой сепаратистской группы? Если в строй подтянутся политики, то возможны очень серьёзные проблемы. Раньше они решались мягким давлением со стороны США. В отсутствие модератора проблемы могут стать ощутимыми.
иллюстрация с сайта web4realty.com
Комментарии (70)
AEP
16.03.2014 19:41«И даже DNS-сервера, которые не поддерживают рекурсию, обязаны отвечать списком корневых серверов» — с этим не согласен. Сейчас рекомендация — вообще никак не отвечать на запросы за пределами своей зоны, чтобы не быть инструментом для amplification-атаки. Источник: www.dns-oarc.net/oarc/articles/upward-referrals-considered-harmful.
amarao Автор
16.03.2014 19:41Я уберу слово «обязаны», но большинство серверов в настоящее время отвечает, и есть некоторое глубокое соображение об устойчивости DNS на случай каких-то больших потрясений, которое говорит «отвечать корневым сервером».
skyblade
16.03.2014 19:41А какая проблема в наличии корневых доменов у всяких сепаратистских групп? Это же не признак государства в конце концов!
amarao Автор
16.03.2014 19:41Я бы наличие национального TDL в одном ряду с гимном/флагом ставил. А с учётом, что TDL ресолвится всеми, его наличие неявно заставляет «несогласные страны» признавать существование такого символа.
areht
16.03.2014 19:41В том, что ради корневого домена каждый первый начнёт сепаратистские группы организовывать
skyblade
16.03.2014 19:41Вот это выглядит обоснованно. Но можно придумать какой-нибудь критерий для дистанцирования от политики. Например, признание минимум двумя (тремя) другими государствами, которые уже имеют свой корневой домен или по списку каких-то уважаемых стран или хотя бы одной из большой восьмёрки или еще хоть как-то. Тогда будет посвободнее, чем регулирование одними США, но и в то же время не совсем ещё хаос.
bypasser
16.03.2014 19:41То есть если Республику Байпасера признают Науру и Мадагаскар, то мне будет положен домен?
SantaCluster
16.03.2014 19:41думаю, если подобное правило будет прописано в регламенте, то да — будет положен :)
останется договориться с мадагаскарами :)
empr
16.03.2014 19:41существует риск получить немалый конфликт вокруг националных доменов. Должен ли быть национальный домен у Каталонии?
У Каталонии домен давно уже есть — .cat.
Домен для басков (.eus) будет запущен во втором квартале года, уже открыта предварительная регистрация.amarao Автор
16.03.2014 19:41Эм… ок, я был неправ. Хотя ИМХО потенциальных политических/религиозных дрязг вокруг TLD это не отменяет.
bubuq
16.03.2014 19:41Домены .cat и .eus не являются национальными в том смысле, что не соответствуют никакому государству, так что утверждение ".cat это домен для Каталонии" неверно. Формально целью их существования является поддержка и развитие соответствующих языков и культур, а фактически, любой, внёсший over $100K, может претендовать на регистрацию более или менее произвольного домена верхнего уровня.
Национальные же домены двухбуквенны, и в основном следуют ISO-3166.
rusevgen
16.03.2014 19:41На самом деле не очень однозначная новость — хорошо это или плохо. США не вмешивались никак функционирование, и скорее всего и не стали бы, если до сих пор не пользовались этой возможностью. Но при этом они гарант стабильности и отсутствия политических игр вокруг доменов, а так власть будет поделена, будут голосования, попытки создать влиятельную коалицию и протолкнуть свои интересы и всякое такое. Как вариант предельного развития событий: влиятельная коалиция может на фоне какого-то конфликта провести решение о «сносе» неугодной зоны полностью.
ploop
16.03.2014 19:41США не вмешивались никак функционирование, и скорее всего и не стали бы, если до сих пор не пользовались этой возможностью.
Всё зависит от тех, кто «у руля». Раньше не вмешивались, сейчас не вмешиваются, а завтра вмешаются. Такие же шансы имеет и ваш вариант развития событий.
Собственно, другого варианта нет, т.к. DNS (в её сегодняшнем виде) не может быть децентрализованной.rusevgen
16.03.2014 19:41Если стремиться к безопасности, то стоило бы как раз думать в направлении изменения этого
DNS (в её сегодняшнем виде) не может быть децентрализованной
Вполне логично, что бы национальный домен вне зависимости от «центра» работать мог.
mayorovp
16.03.2014 19:41Как раз эта сторона децентрализации работает. Нет никаких нерешаемых проблем для правительства создать свои корневые сервера для своей страны, где бы продолжал существовать нужный домен. Более того, при некоторой аккуратности можно даже использовать для них те же самые ip-адреса, что и для общих корневых серверов — тогда вообще никто перехода не заметит.
Другое дело, все те страны, которые способны держать свои корневые сервера, уже имеют свои домены, и на них никто не посягает — вот никто и не занимается децентрализацией ради децентрализации.
int19h
16.03.2014 19:41Заметьте, что речь здесь идет не о регуляции интернета, а об управлении корневой зоной DNS. Здесь напрашивается прямая аналогия с реестром телефонных кодов стран. У вас есть какие-то претензии к ITU по поводу последнего?
О децентрализации в данном случае тоже говорить не приходится, т.к. корневой зоной рулит кто-то один. Собственно, если бы децентрализация имела место, этот вопрос бы просто не встал. А так мы обсуждаем, кто именно должен этим заниматься — на сегодня это ровно такие же бюрократы, но подотчетные только и исключительно правительству США.amarao Автор
16.03.2014 19:41ITU точно не будет. ICANN останется, вопрос в том, кто ей будет управлять. ITU управляющая ICANN — это глупость какая-то.
int19h
16.03.2014 19:41С телефонной связью (которой рулит ITU) мы таких проблем не имеем, и цензуру каждая страна для себя делает сама, и не пытается распространить на других. Почему бы не взять эту работающую модель, и просто распространить её на корневой DNS? Собственно, пусть ITU этим и занимается.
catharsis
16.03.2014 19:41Кажется, одна из основных технологий, позволяющая поставить за 13 корневыми адресами значительно больше железок — anycast. Каждому зеркалу назначается один и тот же адрес и анонсируется местным провайдерам
bypasser
16.03.2014 19:41Должен ли быть национальный домен у Страны Басков? Крыма? Абхазии? Чечни? Любой другой сепаратистской группы?
Я только за.
Единственная проблема, как на латинице будет домен Ичкерии, .itch?
~_^
aulandsdalen
16.03.2014 19:41Википедия говорит (пусть и без источника), что самоназвание — Nóxçiyn Respúblik Içkéri. Получается, .nri.
Правда, остается открытым вопрос, зачем ЧРИ, которая де-факто кончилась в 2000 году, свой домен?SantaCluster
16.03.2014 19:41и правда, а зачем домен для какого-то «soviet union», который закончился в 1991 году?
pragmatik
16.03.2014 19:41И начинается он с запроса в зону "."
— не уверен, что данная формулировка корректна,
ибо существует концепция RFC 1034 www.rfc-editor.org/rfc/rfc1034.txt
в которой утверждается следующее "...the length of each label is omitted and the labels are separated by dots ("."). Since a complete domain name ends with the root label, this leads to a printed form which ends in a dot", т.е. точка — обычный разделитель. Поэтому, как мне кажется, корректнее использовать определение «корневая зона».mayorovp
16.03.2014 19:41Ну, точка — это и есть имя корневой зоны. Другое дело, что такое «имя» очень неудобно произносить.
lome_kingar
16.03.2014 19:41Точка это разделитель. Имя корневой зоны — пустая строка.
mayorovp
16.03.2014 19:41В конце всех абсолютных доменных имен ставится точка, также как в начале всех абсолютных путей в никсах пишется слэш.
Вы же не станете утверждать, что путь к корневому каталогу — пустая строка?lome_kingar
16.03.2014 19:41Третья глава RFC 1034 говорит:
«The domain name space is a tree structure. Each node and leaf on the
tree corresponds to a resource set (which may be empty). The domain
system makes no distinctions between the uses of the interior nodes and
leaves, and this memo uses the term „node“ to refer to both.
Each node has a label, which is zero to 63 octets in length. Brother
nodes may not have the same label, although the same label can be used
for nodes which are not brothers. One label is reserved, and that is
the null (i.e., zero length) label used for the root.»mayorovp
16.03.2014 19:41Ну да. Корневая зона имеет пустое имя относительно родительской зоны, а ее полное имя — точка. Да, ее полное имя состоит из одного разделителя. Что не так-то?
lome_kingar
16.03.2014 19:41Точка в доменном имени это как запятая в адресе. Доменная зона ".ru" или «ru»? Говорят и так, и так, но правильно (хотя и не принципиально) говорить «зона ru».
mayorovp
16.03.2014 19:41Смотря в каком контексте. В техническом тексте она должна называться «зона ru.».
Mezomish
16.03.2014 19:41Выше очень правильно сказали, что точка в доменном имени это как слэш ("/") в пути к файлу. Возьмите любой путь к файлу и замените слэши на точки и разверните (т.к. в доменных именах иерархия выстраивается справа налево): /etc/ssh/sshd_config ---> sshd_config.ssh.etc. — ничего не напоминает? ;) Однако я ни разу не слышал, чтобы говорили «имя корневого каталога — пустая строка».
SLY_G
16.03.2014 19:41На фоне появления таких дебильных доменов, как .sexy, .tatoo, .cool или .bike, вопрос существования «национального» домена для любой страны или области просто меркнет…
Magistr_AVSH
16.03.2014 19:41Хитро вы внедрили в текст IP =) Не поленился, запустил Tor и поглядел, что же там такое скрывается за четырьмя цифрами.
amarao Автор
16.03.2014 19:41Эм, я просто назвал A запись для домена.
Magistr_AVSH
16.03.2014 19:41Гм, вы правы. Что-то в 7 утра я не заметил что домен тоже написан в тексте. С добрым утром кстати! :)
nikitakrasulin
16.03.2014 19:41Техническая же работа была поручена Verizon
На сколько я понимаю не Verizon, а Verisign.
И им отдали не всю техническую работу, а управление 2-я из 13 корневых DNS-серверов и частью gTLD и ccTLD зон.
ru.wikipedia.org/wiki/Verisignamarao Автор
16.03.2014 19:41Упс, в одном месте правильно, в другом даже ссылку криво сделал. Спасибо, поправил.
conformist
16.03.2014 19:41Такой маленький нюанс. Серверы называют «корневые», при этом в словаре написано следующее:
КОРНЕВОЙ. 1. Относящийся к корню растения. 2. Представляющий собой корень, состоящий из корня, корней (лингв.).
КОРЕННОЙ. 1. Изначальный, исконный, постоянный, основной. 2. Касающийся самих основ, корней чего-либо, решающий, самый главный.
Так как же все таки правильнее?
aulandsdalen
Если из DNS удалить зону .nl, то все норвежские сайты будут открываться как и раньше, а вот в Королевстве Нидерланды возмутятся.
amarao Автор
(уже написали в приват и я поправил, а вот ваш коммент тут светиться будет).
aulandsdalen
Извините.
vvzvlad
Ну оно того стоило, смешной комментарий.
SirD
Тот самый редкий случай, когда можно плюсануть всю ветку.
agentx001
Ой, пост добра? Все комментарии зеленые.
Sap_ru
Только первые 6 комментариев.
agentx001
Ой да ладно, ни одного красного ведь.