Sto cercando di scoprire se possiedo TLD stranieri e sono ospitati su un server nel mio paese, l'accesso all'URL può essere interrotto o limitato dal paese ospitante TLD
La risposta breve è sì (ma per favore non pensare solo agli URL, ovvero al web, ma a qualsiasi tipo di servizio, come e-mail, VOIP, ecc.)
Ecco perché. La radice DNS IANA delega ogni TLD ad alcuni registri. i gTLD sono delegati dai registri sotto contratto con l'ICANN e i registri dei ccTLD sono delegati ai governi dei paesi interessati, ognuno dei quali decide tecnicamente come è gestito il ccTLD (ci sono molti modelli: a volte è ancora gestito dal governo stesso, a volte lo è esternalizza a un'organizzazione senza scopo di lucro e talvolta viene messa in gara per la migliore offerta, comprese le società).
Questi registri gestiscono i nameserver in cui viene delegato ogni dominio registrato nell'ambito del TLD, tramite i record NS.
Detto diversamente, senza alcuna cache, ogni accesso a un nome di dominio in un TLD, per la sua risoluzione, arriva ad un certo punto al nameserver del TLD. Quindi, teoricamente, potrebbero rispondere a qualsiasi cosa e inoltrare il tuo dominio a qualsiasi altra cosa.
Questo è vincolato perché il DNS ha una cache, quindi il nameserver TLD non verrà interrogato ad ogni risoluzione, solo per qualche volta.
Questo processo è facilmente visibile usando dns +trace
, come:
dig www.openstreetmap.fr +trace @1.1.1.1 +nodnssec
; <<>> DiG 9.10.3-P4-Ubuntu <<>> www.openstreetmap.fr +trace @1.1.1.1 +nodnssec
;; global options: +cmd
. 6313 IN NS a.root-servers.net.
. 6313 IN NS b.root-servers.net.
. 6313 IN NS c.root-servers.net.
. 6313 IN NS d.root-servers.net.
. 6313 IN NS e.root-servers.net.
. 6313 IN NS f.root-servers.net.
. 6313 IN NS g.root-servers.net.
. 6313 IN NS h.root-servers.net.
. 6313 IN NS i.root-servers.net.
. 6313 IN NS j.root-servers.net.
. 6313 IN NS k.root-servers.net.
. 6313 IN NS l.root-servers.net.
. 6313 IN NS m.root-servers.net.
;; Received 431 bytes from 1.1.1.1#53(1.1.1.1) in 64 ms
fr. 172800 IN NS f.ext.nic.fr.
fr. 172800 IN NS d.ext.nic.fr.
fr. 172800 IN NS g.ext.nic.fr.
fr. 172800 IN NS e.ext.nic.fr.
fr. 172800 IN NS d.nic.fr.
;; Received 357 bytes from 192.33.4.12#53(c.root-servers.net) in 62 ms
openstreetmap.fr. 172800 IN NS a.dns.gandi.net.
openstreetmap.fr. 172800 IN NS c.dns.gandi.net.
openstreetmap.fr. 172800 IN NS b.dns.gandi.net.
;; Received 110 bytes from 194.0.36.1#53(g.ext.nic.fr) in 68 ms
www.openstreetmap.fr. 10800 IN CNAME osm146.openstreetmap.fr.
osm146.openstreetmap.fr. 10800 IN A 217.182.186.67
openstreetmap.fr. 10800 IN NS b.dns.gandi.net.
openstreetmap.fr. 10800 IN NS a.dns.gandi.net.
openstreetmap.fr. 10800 IN NS c.dns.gandi.net.
;; Received 147 bytes from 217.70.179.1#53(c.dns.gandi.net) in 81 ms
Puoi vedere ogni passaggio in modo ricorsivo, a sinistra l'etichetta (radice, quindi il TLD, quindi il dominio, quindi il nome host finale) e a destra nei NS
record i server dei nomi autorevoli ad ogni passaggio, prima quelli IANA per la radice, poi quelli per il TLD, quindi quello per il nome di dominio.
Ad ogni passaggio un nameserver può mentire e fornire una risposta falsa, come qualsiasi elemento attivo nel percorso potrebbe cambiare la query o la risposta. DNSSEC fornisce alcune protezioni contro questo, ma prima non tutti i domini sono protetti con DNSSEC (pochissimi in realtà), e quindi non è stato possibile risolvere un TLD "canaglia".
Questa è la parte tecnica. Le altre tue domande sono più un problema politico. Ma nota che per questi stessi identici motivi alcuni paesi hanno deciso, o almeno annunciato, di voler gestire la propria radice DNS. La logica è che l'attuale radice è sotto la supervisione degli Stati Uniti (che è un punto complicato che potrebbe essere discusso all'infinito, quindi non svilupperò quel punto specifico qui e ora), e alcuni paesi temono che gli Stati Uniti possano "censurare" un TLD in quel modo , in particolare alcuni paesi considerati nemici dal governo degli Stati Uniti. Tuttavia, molti attori ritengono che se un giorno dovesse accadere ciò sarebbe metaforicamente allo stesso livello di un attacco nucleare e frammenterebbe Internet in un modo che potrebbe non essere mai ricucito.
Si noti ad esempio questo caso: alcuni querelanti hanno fatto causa per ottenere indennità per perdite dopo l'attacco terroristico e hanno chiesto (ma questo è stato rifiutato) per ottenere il controllo dei CCTLD che consideravano essere la fonte del terrorismo. Vedi questo articolo per alcune parti di questa storia: " Uccidere .IR per compensare le vittime del terrorismo: IGO in soccorso? "
L'altro punto importante da comprendere per primo è che non appena acquisti un nome di dominio in un TLD sei vincolato (anche se non lo leggi quando dovresti) dai regolamenti di quel TLD, che dettano i requisiti di idoneità e qualsiasi altri vincoli relativi alla registrazione e alla conservazione di un nome di dominio. Per i ccTLD questo include specificamente il rispetto delle leggi del Paese. E dal momento che alcuni ccTLD sono commercializzati come simpatici TLD per i giochi di nomi di dominio, alcune persone non se ne rendono conto. Ad esempio, la tendenza ad un certo punto era attiva .LY
, e per quanto divertente tu voglia guardarlo per fare un bel nome di dominio, questo è ancora il ccTLD del paese "Libia" e quindi devi seguire le sue leggi e la Sharia. Alcune aziende hanno perso o rischiato di perdere il loro nome di dominio per questi stessi identici motivi. Vedi ad esempio:Problemi nella terra dei domini intelligenti: Bit.ly e altri rischiano di perderli Swift.ly "o" Chiusura del dominio libico nessuna minaccia, insiste bit.ly "
Dato che siamo attivi .LY
e hai parlato di guerre, questi articoli potrebbero darti un'idea di ciò che le guerre possono fare ai nomi di dominio (TLD) o semplicemente di lottare per i controlli:
Ma osserva anche che cambiamenti drastici possono accadere ai ccTLD, anche senza guerre. Questo è un (in) famoso esempio: " La storia del dominio nazionale slovacco di alto livello rubato .SK "
Torniamo alle tue domande specifiche, ma tieni presente che coinvolgono parte delle risposte soggettive.
È fisicamente possibile che un Paese possa limitare o vietare l'accesso ai propri TLD specifici da alcuni o da tutti gli altri Paesi? (ad es. USA e Russia in guerra, è fisicamente possibile impedire alla Russia di accedere al loro TLD .us?)
Sì, tecnicamente potresti immaginare che i .US
server dei nomi neghino di rispondere alle richieste provenienti da specifici luoghi geografici del mondo. Tuttavia, questo sarebbe lontano dal 100% per molte ragioni: la geolocalizzazione IP non è una scienza solida con affidabilità al 100%, il DNS ha cache, è facile usare una VPN, chiunque (comprese le persone dei paesi interessati) potrebbe usare un risolutore aperto , come Google Public DNS o CloudFlare one o Quad9 one (in effetti questo è stato usato in passato per contrastare la censura dello stato, vedi ad esempio: " Google DNS Freedom Fight: 8.8.8.8 "), ecc.
È probabile che i TLD sarebbero limitati o vietati in qualche modo? Realizzerebbe qualche vantaggio per qualsiasi paese? (ad esempio, il Regno Unito e gli Stati Uniti in guerra, avrebbero alcun vantaggio per gli Stati Uniti vietare al Regno Unito di accedere ai loro TLD .uk?)
Come scritto sopra, tecnicamente la radice IANA elenca il TLD attivo oggi. Tecnicamente questo potrebbe cambiare e cambia, ma in base a processi specifici, come i nuovi gTLD dell'ICANN nel 2012. Per quanto riguarda i cambiamenti nei ccTLD (poiché i paesi possono decidere di cambiare vari dettagli sul loro TLD, incluso il responsabile tecnico), devono seguire " Delega o trasferimento di un dominio di primo livello (ccTLD) di codice Paese ".
Ora oltre alla parte tecnica, ci sono "politiche" in senso generico:
- IANA è attualmente più una "funzione" che una struttura. La struttura è PTI (Public Technical Identifiers) che è attualmente una consociata di ICANN. Vedi https://www.iana.org/about per i dettagli
- ICANN è un'organizzazione senza fini di lucro, costituita in California, negli Stati Uniti. Recentemente è passato un profondo insieme di cambiamenti, dopo le pressioni di molti governi stranieri in modo che possa essere visto come più "internazionale" e meno sotto il controllo diretto del governo degli Stati Uniti, come è accaduto in passato (vedi il famigerato fiasco attorno alla
.XXX
delegazione) . Ora non esiste più un contratto specifico tra ICANN e il governo degli Stati Uniti appositamente per le funzioni IANA.
- l'operatore tecnico del nameserver di root che è il padrone di tutti, dal quale ogni altro nameserver di root è "puramente" una copia è gestita da VeriSign, una società americana sotto contratto diretto del governo degli Stati Uniti.
Qualche paese limiterebbe il proprio paese dall'accesso ai TLD di altri paesi? (ad esempio, il Regno Unito in guerra con la Russia, il Regno Unito avrebbe qualche motivo per vietare l'accesso ai siti web russi?)
Questa è una forma di censura DNS e si rivolge più ai server dei nomi ricorsivi anziché a quelli autorevoli. Sì, i paesi possono ordinare agli operatori locali di vietare l'accesso (più precisamente: risoluzione) ad alcuni siti Web specifici. Questo succede ovunque: USA, Germania, Francia, Cina, Australia, ecc. (A dire il vero non sono sicuro che potresti trovare molti paesi senza alcuna censura del genere) per vari motivi basati sulla politica locale e perché alcuni siti web sono considerati illegali essere consultati da un determinato paese.
Ma come ogni forma di censura può essere elusa da meccanismi più o meno complicati. Come gli esempi sopra riportati, quando in alcuni paesi i nameserver ricorsivi locali sono stati banditi per risolvere alcuni nomi, le persone hanno scritto 8.8.8.8
(indirizzo IPv4 di Google Public DNS Resolver) in modo che chiunque potesse riconfigurare il suo sistema per usarlo al posto del locale (mentire ) Risolutore DNS, poiché, ovviamente, il Paese in questione non ha potuto imporre a Google di modificare le sue risposte per alcune delle query. In altri casi in passato, in cui persino Internet come mezzo di trasporto era interrotto, alcuni ISP di altri paesi fornivano linee telefoniche collegate a modem a cui era possibile chiamare per ottenere nuovamente l'accesso a Internet, anche se tutte le FAI locali fossero state chiuse.
La censura DNS riguarda attualmente più spesso alcuni nomi di dominio specifici, in più TLD, ma la base sarebbe esattamente la stessa per censurare un intero TLD.
Questo articolo tecnico potrebbe fornire molti spunti di riflessione sia sul modo in cui viene fatto, sia sul modo in cui viene eluso: "La censura del DNS (bugie del DNS) vista da RIPE Atlas "
Questo unico punto della censura DNS / Internet potrebbe essere ampliato in molti modi per dettagliare tutto ciò che è accaduto in passato, ma spero che i punti precedenti ti diano già idee su ciò che è tecnicamente possibile e su come si adatta all'intero quadro politico / di governance.
.eu
domini di proprietà del Regno Unito non saranno più consentiti a causa della Brexit e apparentemente quelli saranno chiusi: dot-eu-is-going.uk