Cosa succede ai TLD specifici per paese in una guerra che coinvolge quel paese?

30

Sto cercando di scoprire cosa potrebbe accadere e cosa è probabile che accada: ho sede nel Regno Unito e possiedo domini britannici e domini stranieri come i TLD russi e statunitensi, ad esempio: domain.co.uk, domain .ru, domain.us.

Non capisco perfettamente come funziona il DNS, ma quello che sto cercando di scoprire è se possiedo TLD stranieri e sono ospitati su un server nel mio paese, l'accesso all'URL può essere bloccato o limitato da il paese ospitante del TLD, e quindi, se possibile, esiste la possibilità che ciò accada in caso di coinvolgimento in una guerra o in una grave crisi politica tra i paesi?

  • È fisicamente possibile che un Paese possa limitare o vietare l'accesso ai propri TLD specifici da alcuni o da tutti gli altri Paesi? (ad es. USA e Russia in guerra, è fisicamente possibile impedire alla Russia di accedere al loro TLD .us?)
  • È probabile che i TLD sarebbero limitati o vietati in qualche modo? Realizzerebbe qualche vantaggio per qualsiasi paese? (ad esempio, il Regno Unito e gli Stati Uniti in guerra, avrebbero alcun vantaggio per gli Stati Uniti vietare al Regno Unito di accedere ai loro TLD .uk?)
  • Qualche paese limiterebbe il proprio paese dall'accesso ai TLD di altri paesi? (ad esempio, il Regno Unito in guerra con la Russia, il Regno Unito avrebbe qualche motivo per vietare l'accesso ai siti web russi?)
url  dns  tld 
5Diraptor
fonte
5
Un argomento in qualche modo correlato: i .eudomini di proprietà del Regno Unito non saranno più consentiti a causa della Brexit e apparentemente quelli saranno chiusi: dot-eu-is-going.uk
a_horse_with_no_name
1
@a_horse_with_no_name Pagina principale ufficiale del registro su tutte le informazioni relative alla Brexit: eurid.eu/en/register-a-eu-domain/brexit-notice . TL; DR: la situazione non è chiara, non lo è mai stata da mesi, probabilmente non lo sarà nemmeno per i prossimi mesi
Patrick Mevzek
@a_horse_with_no_name - interessante vedere che il link ora ha alcune date ad esso - 1 gennaio, il dominio .eu si chiude per i residenti nel Regno Unito apparentemente ... Come è possibile quando la Brexit non è ancora stata concordata?
5Diraptor,

Risposte:

35

Sto cercando di scoprire se possiedo TLD stranieri e sono ospitati su un server nel mio paese, l'accesso all'URL può essere interrotto o limitato dal paese ospitante TLD

La risposta breve è sì (ma per favore non pensare solo agli URL, ovvero al web, ma a qualsiasi tipo di servizio, come e-mail, VOIP, ecc.)

Ecco perché. La radice DNS IANA delega ogni TLD ad alcuni registri. i gTLD sono delegati dai registri sotto contratto con l'ICANN e i registri dei ccTLD sono delegati ai governi dei paesi interessati, ognuno dei quali decide tecnicamente come è gestito il ccTLD (ci sono molti modelli: a volte è ancora gestito dal governo stesso, a volte lo è esternalizza a un'organizzazione senza scopo di lucro e talvolta viene messa in gara per la migliore offerta, comprese le società).

Questi registri gestiscono i nameserver in cui viene delegato ogni dominio registrato nell'ambito del TLD, tramite i record NS.

Detto diversamente, senza alcuna cache, ogni accesso a un nome di dominio in un TLD, per la sua risoluzione, arriva ad un certo punto al nameserver del TLD. Quindi, teoricamente, potrebbero rispondere a qualsiasi cosa e inoltrare il tuo dominio a qualsiasi altra cosa.

Questo è vincolato perché il DNS ha una cache, quindi il nameserver TLD non verrà interrogato ad ogni risoluzione, solo per qualche volta.

Questo processo è facilmente visibile usando dns +trace, come:

dig www.openstreetmap.fr +trace @1.1.1.1 +nodnssec

; <<>> DiG 9.10.3-P4-Ubuntu <<>> www.openstreetmap.fr +trace @1.1.1.1 +nodnssec
;; global options: +cmd
.           6313    IN  NS  a.root-servers.net.
.           6313    IN  NS  b.root-servers.net.
.           6313    IN  NS  c.root-servers.net.
.           6313    IN  NS  d.root-servers.net.
.           6313    IN  NS  e.root-servers.net.
.           6313    IN  NS  f.root-servers.net.
.           6313    IN  NS  g.root-servers.net.
.           6313    IN  NS  h.root-servers.net.
.           6313    IN  NS  i.root-servers.net.
.           6313    IN  NS  j.root-servers.net.
.           6313    IN  NS  k.root-servers.net.
.           6313    IN  NS  l.root-servers.net.
.           6313    IN  NS  m.root-servers.net.
;; Received 431 bytes from 1.1.1.1#53(1.1.1.1) in 64 ms

fr.         172800  IN  NS  f.ext.nic.fr.
fr.         172800  IN  NS  d.ext.nic.fr.
fr.         172800  IN  NS  g.ext.nic.fr.
fr.         172800  IN  NS  e.ext.nic.fr.
fr.         172800  IN  NS  d.nic.fr.
;; Received 357 bytes from 192.33.4.12#53(c.root-servers.net) in 62 ms

openstreetmap.fr.   172800  IN  NS  a.dns.gandi.net.
openstreetmap.fr.   172800  IN  NS  c.dns.gandi.net.
openstreetmap.fr.   172800  IN  NS  b.dns.gandi.net.
;; Received 110 bytes from 194.0.36.1#53(g.ext.nic.fr) in 68 ms

www.openstreetmap.fr.   10800   IN  CNAME   osm146.openstreetmap.fr.
osm146.openstreetmap.fr. 10800  IN  A   217.182.186.67
openstreetmap.fr.   10800   IN  NS  b.dns.gandi.net.
openstreetmap.fr.   10800   IN  NS  a.dns.gandi.net.
openstreetmap.fr.   10800   IN  NS  c.dns.gandi.net.
;; Received 147 bytes from 217.70.179.1#53(c.dns.gandi.net) in 81 ms

Puoi vedere ogni passaggio in modo ricorsivo, a sinistra l'etichetta (radice, quindi il TLD, quindi il dominio, quindi il nome host finale) e a destra nei NSrecord i server dei nomi autorevoli ad ogni passaggio, prima quelli IANA per la radice, poi quelli per il TLD, quindi quello per il nome di dominio.

Ad ogni passaggio un nameserver può mentire e fornire una risposta falsa, come qualsiasi elemento attivo nel percorso potrebbe cambiare la query o la risposta. DNSSEC fornisce alcune protezioni contro questo, ma prima non tutti i domini sono protetti con DNSSEC (pochissimi in realtà), e quindi non è stato possibile risolvere un TLD "canaglia".

Questa è la parte tecnica. Le altre tue domande sono più un problema politico. Ma nota che per questi stessi identici motivi alcuni paesi hanno deciso, o almeno annunciato, di voler gestire la propria radice DNS. La logica è che l'attuale radice è sotto la supervisione degli Stati Uniti (che è un punto complicato che potrebbe essere discusso all'infinito, quindi non svilupperò quel punto specifico qui e ora), e alcuni paesi temono che gli Stati Uniti possano "censurare" un TLD in quel modo , in particolare alcuni paesi considerati nemici dal governo degli Stati Uniti. Tuttavia, molti attori ritengono che se un giorno dovesse accadere ciò sarebbe metaforicamente allo stesso livello di un attacco nucleare e frammenterebbe Internet in un modo che potrebbe non essere mai ricucito.

Si noti ad esempio questo caso: alcuni querelanti hanno fatto causa per ottenere indennità per perdite dopo l'attacco terroristico e hanno chiesto (ma questo è stato rifiutato) per ottenere il controllo dei CCTLD che consideravano essere la fonte del terrorismo. Vedi questo articolo per alcune parti di questa storia: " Uccidere .IR per compensare le vittime del terrorismo: IGO in soccorso? "

L'altro punto importante da comprendere per primo è che non appena acquisti un nome di dominio in un TLD sei vincolato (anche se non lo leggi quando dovresti) dai regolamenti di quel TLD, che dettano i requisiti di idoneità e qualsiasi altri vincoli relativi alla registrazione e alla conservazione di un nome di dominio. Per i ccTLD questo include specificamente il rispetto delle leggi del Paese. E dal momento che alcuni ccTLD sono commercializzati come simpatici TLD per i giochi di nomi di dominio, alcune persone non se ne rendono conto. Ad esempio, la tendenza ad un certo punto era attiva .LY, e per quanto divertente tu voglia guardarlo per fare un bel nome di dominio, questo è ancora il ccTLD del paese "Libia" e quindi devi seguire le sue leggi e la Sharia. Alcune aziende hanno perso o rischiato di perdere il loro nome di dominio per questi stessi identici motivi. Vedi ad esempio:Problemi nella terra dei domini intelligenti: Bit.ly e altri rischiano di perderli Swift.ly "o" Chiusura del dominio libico nessuna minaccia, insiste bit.ly "

Dato che siamo attivi .LYe hai parlato di guerre, questi articoli potrebbero darti un'idea di ciò che le guerre possono fare ai nomi di dominio (TLD) o semplicemente di lottare per i controlli:

Ma osserva anche che cambiamenti drastici possono accadere ai ccTLD, anche senza guerre. Questo è un (in) famoso esempio: " La storia del dominio nazionale slovacco di alto livello rubato .SK "

Torniamo alle tue domande specifiche, ma tieni presente che coinvolgono parte delle risposte soggettive.

È fisicamente possibile che un Paese possa limitare o vietare l'accesso ai propri TLD specifici da alcuni o da tutti gli altri Paesi? (ad es. USA e Russia in guerra, è fisicamente possibile impedire alla Russia di accedere al loro TLD .us?)

Sì, tecnicamente potresti immaginare che i .USserver dei nomi neghino di rispondere alle richieste provenienti da specifici luoghi geografici del mondo. Tuttavia, questo sarebbe lontano dal 100% per molte ragioni: la geolocalizzazione IP non è una scienza solida con affidabilità al 100%, il DNS ha cache, è facile usare una VPN, chiunque (comprese le persone dei paesi interessati) potrebbe usare un risolutore aperto , come Google Public DNS o CloudFlare one o Quad9 one (in effetti questo è stato usato in passato per contrastare la censura dello stato, vedi ad esempio: " Google DNS Freedom Fight: 8.8.8.8 "), ecc.

È probabile che i TLD sarebbero limitati o vietati in qualche modo? Realizzerebbe qualche vantaggio per qualsiasi paese? (ad esempio, il Regno Unito e gli Stati Uniti in guerra, avrebbero alcun vantaggio per gli Stati Uniti vietare al Regno Unito di accedere ai loro TLD .uk?)

Come scritto sopra, tecnicamente la radice IANA elenca il TLD attivo oggi. Tecnicamente questo potrebbe cambiare e cambia, ma in base a processi specifici, come i nuovi gTLD dell'ICANN nel 2012. Per quanto riguarda i cambiamenti nei ccTLD (poiché i paesi possono decidere di cambiare vari dettagli sul loro TLD, incluso il responsabile tecnico), devono seguire " Delega o trasferimento di un dominio di primo livello (ccTLD) di codice Paese ".

Ora oltre alla parte tecnica, ci sono "politiche" in senso generico:

  • IANA è attualmente più una "funzione" che una struttura. La struttura è PTI (Public Technical Identifiers) che è attualmente una consociata di ICANN. Vedi https://www.iana.org/about per i dettagli
  • ICANN è un'organizzazione senza fini di lucro, costituita in California, negli Stati Uniti. Recentemente è passato un profondo insieme di cambiamenti, dopo le pressioni di molti governi stranieri in modo che possa essere visto come più "internazionale" e meno sotto il controllo diretto del governo degli Stati Uniti, come è accaduto in passato (vedi il famigerato fiasco attorno alla .XXXdelegazione) . Ora non esiste più un contratto specifico tra ICANN e il governo degli Stati Uniti appositamente per le funzioni IANA.
  • l'operatore tecnico del nameserver di root che è il padrone di tutti, dal quale ogni altro nameserver di root è "puramente" una copia è gestita da VeriSign, una società americana sotto contratto diretto del governo degli Stati Uniti.

Qualche paese limiterebbe il proprio paese dall'accesso ai TLD di altri paesi? (ad esempio, il Regno Unito in guerra con la Russia, il Regno Unito avrebbe qualche motivo per vietare l'accesso ai siti web russi?)

Questa è una forma di censura DNS e si rivolge più ai server dei nomi ricorsivi anziché a quelli autorevoli. Sì, i paesi possono ordinare agli operatori locali di vietare l'accesso (più precisamente: risoluzione) ad alcuni siti Web specifici. Questo succede ovunque: USA, Germania, Francia, Cina, Australia, ecc. (A dire il vero non sono sicuro che potresti trovare molti paesi senza alcuna censura del genere) per vari motivi basati sulla politica locale e perché alcuni siti web sono considerati illegali essere consultati da un determinato paese.

Ma come ogni forma di censura può essere elusa da meccanismi più o meno complicati. Come gli esempi sopra riportati, quando in alcuni paesi i nameserver ricorsivi locali sono stati banditi per risolvere alcuni nomi, le persone hanno scritto 8.8.8.8(indirizzo IPv4 di Google Public DNS Resolver) in modo che chiunque potesse riconfigurare il suo sistema per usarlo al posto del locale (mentire ) Risolutore DNS, poiché, ovviamente, il Paese in questione non ha potuto imporre a Google di modificare le sue risposte per alcune delle query. In altri casi in passato, in cui persino Internet come mezzo di trasporto era interrotto, alcuni ISP di altri paesi fornivano linee telefoniche collegate a modem a cui era possibile chiamare per ottenere nuovamente l'accesso a Internet, anche se tutte le FAI locali fossero state chiuse.

La censura DNS riguarda attualmente più spesso alcuni nomi di dominio specifici, in più TLD, ma la base sarebbe esattamente la stessa per censurare un intero TLD.

Questo articolo tecnico potrebbe fornire molti spunti di riflessione sia sul modo in cui viene fatto, sia sul modo in cui viene eluso: "La censura del DNS (bugie del DNS) vista da RIPE Atlas "

Questo unico punto della censura DNS / Internet potrebbe essere ampliato in molti modi per dettagliare tutto ciò che è accaduto in passato, ma spero che i punti precedenti ti diano già idee su ciò che è tecnicamente possibile e su come si adatta all'intero quadro politico / di governance.

Patrick Mevzek
fonte
3

Questa è una domanda interessante È possibile per un Paese negare l'accesso ai sottodomini del proprio ccTLD? Sì. È probabile, anche a distanza, che lo farebbero? No.

Se qualcuno sta navigando verso i tuoi indirizzi domain.ru, i loro risolutori alla fine andrebbero ai server dei nomi per il .ru ccTLD e chiederanno 'dove sono i server dei nomi per domain.ru?'

Secondo gli standard internazionali, DNS è un protocollo equo, il che significa che ogni domanda riceve una risposta. È possibile che i server TLD .ru dicano 'aha! quell'IP proviene dal Regno Unito e non diremo loro dove si trova il server dei nomi domain.ru ', ma questo non andrebbe bene per loro.

In definitiva, la direzione di tutto è controllata dai server root. Si tratta di 13 server root indipendenti, gestiti da 12 organizzazioni indipendenti, che collaborano per mantenere un accesso equo al DNS. Se ciò dovesse realmente accadere, i server root, in collaborazione con gli organismi standard internazionali, potrebbero letteralmente sostituire i server russi con qualcun altro. Cioè, invece di dire "vai a trovare .ru lì in Russia", potrebbero dire "vai a trovare .ru qui in Urkraine".

Sebbene possibile, va davvero contro ogni comportamento internazionale ed è straordinariamente improbabile.

a cura: cambia la formulazione per chiarire non 13 organizzazioni indipendenti, ma 13 server root.

1
Proprio come un'indicazione di quanto sia improbabile che un ccTLD sia disabilitato: .SUil ccTLD per l'Unione Sovietica, un paese che non esiste da più di un quarto di secolo, è ancora vivo e vegeto.
Calle Dybedahl,
Risposta molto interessante e dettagliata, grazie! Significa che l'unico controllo che il Paese ospitante ha è il controllo sui server che si trovano in quel Paese? E se il mio dominio .ru indicava un server nel Regno Unito, la Russia non ha modo di interrompere il servizio?
5Diraptor,
Non posso garantire la sua precisione, ma ho anche trovato questo: theregister.co.uk/2017/12/01/russia_own_internet
5Diraptor
Per nitpick, ci sono 13 server root logici ma non 13 organizzazioni. Ad esempio, due di essi (A e J,) sono gestiti da VeriSign. Vedi root-servers.org che afferma chiaramente: a partire dal 15/06/2018, il sistema del server radice è costituito da 928 istanze gestite dai 12 operatori indipendenti del server radice.
Patrick Mevzek,
3
@CalleDybedahl .suè un famoso esempio ma certamente non la regola. Hai oggi .ske .czdopo la scissione e sei .csscomparso. Lo stesso vale per .yuscomparso per essere sostituito da .si, .hr, .rse .ms.
Patrick Mevzek,
0

Sto cercando di scoprire se possiedo TLD stranieri e sono ospitati su un server che si trova nel mio paese, è possibile che l'accesso all'URL venga interrotto o limitato dal paese ospitante TLD e, se possibile, c'è qualche probabilità che ciò accada in caso di coinvolgimento in una guerra o in una grave crisi politica tra i paesi?

È possibile ed è già successo senza una guerra.

La Cina possiede .cn TLD. Era aperto al mondo. Se il governo cinese volesse abbattere un dominio .cn perché non gli piace alcuni contenuti, potrebbe cambiare il record DNS di quel dominio .cn.

Tuttavia, non è stato un modo perfetto per il governo cinese di gestirlo, perché chissà quale contenuto viene fornito da quale dominio .cn. Quindi un giorno il governo ha deciso che tutti i domini .cn devono puntare fisicamente agli indirizzi IP all'interno della Cina. (Se possedevi un dominio .cn che puntava a un IP fuori dalla Cina in quel momento, ti davano del tempo per migrare o chiudere il tuo dominio.)

Obbligando le persone a ospitare fisicamente domini .cn all'interno della Cina, il governo cinese può controllare quali servizi fornisce ogni dominio e quali contenuti offre ogni dominio. Potrebbe persino costringere le persone a installare backdoor sui propri server come requisito per inserire qualsiasi server nel data center. (Ha provato quell'idea per un po '.)

Cat Chen
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.