烏克蘭:“我要讓俄羅斯從互聯網消失”,ICANN:“不可以!”
大家好,我是小林。
俄烏軍事沖突惡化后,俄羅斯就受到「金融核彈」的制裁, SWIFT 支付系統將斷開與俄羅斯多家銀行的連接。
就在上周,烏克蘭還想引爆「網絡核彈」。因為烏克蘭官員給互聯網名稱與數字分配機構(ICANN)發送了一封郵件,郵件上要求 ICANN:
1.撤銷俄羅斯聯邦使用的域“.ru”、“.рф”、“.su”等域名;
2.關閉為俄羅斯服務的 DNS 根服務器;
3.協助撤銷相關域名的 TTL/SSL 證書;
第一個要求通過讓根域名服務器不解析俄羅斯的網站,將俄羅斯的網站從互聯網上消失。第二個要求通過取消解析域名的能力,將俄羅斯互聯網用戶拒之門外。第三個要求通過吊銷 HTTPS 證書,使得俄羅斯網站失信。
烏克蘭之所以提出這些要求,目的是阻止俄羅斯的宣傳機器,并防止進一步的輿論宣傳和虛假信息。
沒過幾天,ICANN 的 CEO 就用一封郵件回絕了烏克蘭所有要求。
我看了 ICANN 發給烏克蘭的這封信,這封信的大半段內容是在說明,ICANN 的使命是為了確保互聯網的正常工作,而不是取懲罰性行動、宣布制裁或限制部分互聯網的接入。
其中,ICANN 從技術和政策對烏克蘭這三個要求做了具體回答,如下圖:
這里簡單給大家翻譯下:
- 對于國家代碼頂級域,我們的工作主要涉及驗證來自相應國家或地區內授權方的請求。全球商定的政策并未規定 ICANN 可根據您的要求采取單方面行動來斷開這些域的連接。您可以理解為什么這樣的系統不能根據來自一個地區或國家的關于另一地區或國家內部運營的請求來運行。過程中的這種變化將對這個全球系統的信任和效用產生毀滅性和永久性的影響。
- 根域名服務器系統由許多地理分布的節點組成,并由不同的獨立運營維護。
- 我們沒有能力撤銷您提到的域的特定 SSL 證書。這些證書由第三方運營商制作,ICANN 不參與它們的簽發。
從 ICANN 回答的這三點可以看的出,烏克蘭提出的第一個要求從技術角度看 ICANN 是可以做得到的,但是由于政策緣故不能做,而第二和第三個要求從技術角度 ICANN 是無法做到的。
為什么 ICANN 有能力撤銷域名?
ICANN 全稱叫互聯網名稱與數字地址分配機構,是位于美國洛杉磯的非盈利的機構,主要由互聯網協會互聯網協會的成員組成,目的是管理全球的域名和 IP 地址的分配。
全球共有 13 個根域名服務器,分別用 a 到 m 命名,如 a.root-servers.net、b.root-servers.net。一臺是主服務器(就是 a 服務器),12 臺輔助服務器,有 10 臺在美國,2 臺在歐洲,1臺在日本。
這 13 個是邏輯上的概念,并不是只有 13 臺物理的服務器。
可以在 root-servers.org 這個網站上看到,目前為止全球共有 1524 個實例(instance),每一個根都有若干個鏡像,分布在全球不同的地方。
這 13 個根域名服務器有著獨自的 IP 地址,但是同一個根域名服務器下的鏡像共享著此根的 IP 地址,是通過「任播」這個技術實現的,具體的實現細節感興趣的同學可以去查一查。
可以在這個網站看到 13 個根服務器的 IP 地址,https://www.internic.net/zones/named.cache:
A.ROOT-SERVERS.NET. 3600000 A 198.41.0.4
A.ROOT-SERVERS.NET. 3600000 AAAA 2001:503:ba3e :: 2:30
B.ROOT-SERVERS.NET. 3600000 A 199.9.14.201
B.ROOT-SERVERS.NET. 3600000 AAAA 2001:500:200 :: b
C.ROOT-SERVERS.NET. 3600000 A 192.33.4.12
C.ROOT-SERVERS.NET. 3600000 AAAA 2001:500:2 :: c
... ...
根域名服務器是由 12 家機構管理,其中 A 根是主根,由美國公司 Verisign 管理(Verisign 是 ICANN 最大的托管商)。B 到 M 根稱為輔根,負責同步 A 根的內容。
A 根上有個最重要的文件,就是根區文件,該文件保存所有頂級域名的托管信息。
根區文件是由 ICANN 管理的,在 ICANN 官網可以查看這個根區文件:https://www.internic.net/domain/root.zone。
這意味著 ICANN 就有能力將某個頂級域名從根區文件里刪除的,比如假設從根區文件中刪除了 .ru 域名的內容,很快就會同步到所有的根中,然后在所有的緩存過期之后,全球所有人都訪問不了 .ru 后綴的網站了。
但是其實大多數國家都有根鏡像服務器的,所謂的根鏡像服務器就是同步根服務器的內容,根鏡像服務器都是假設在自己的國家的,由自己國家管理。
所以, 自己國家是可以控制鏡像中的內容的,假設 ICANN 刪除了 .cn 頂級域名,如果不同步這個修改,其實還是可以正常訪問 .cn 后綴的網站的。
之前我也寫了一篇關于美國能能否讓中國從互聯網上消失的文章:??美國能讓中國從網絡上消失???答案也是不行的,國內有自己的根鏡像服務器,我們可以控制根服務器同步的內容,再加上國內解析域名的時候,其實并不會去解析美國的根域名服務器,而是訪問自己國內的運營商維護的根鏡像服務器。
