¿Qué sucede con los TLD específicos de un país en una guerra que involucra a ese país?

30

Estoy tratando de averiguar qué podría suceder y qué es probable que suceda: estoy basado en el Reino Unido y poseo dominios del Reino Unido, así como dominios extranjeros como TLD de Rusia y EE. UU., Por ejemplo: dominio.co.uk, dominio .ru, domain.us.

No entiendo completamente cómo funciona el DNS, pero lo que estoy tratando de descubrir es que si poseo TLD extranjeros y están alojados en un servidor que está en mi propio país, el acceso a la URL puede ser detenido o restringido por el país anfitrión del TLD, y luego, si esto es posible, ¿hay alguna probabilidad de que esto suceda en el caso de su participación en una guerra o un colapso político importante entre los países?

  • ¿Es físicamente posible que un país pueda restringir o prohibir el acceso a sus TLD específicos desde algunos o todos los demás países? (por ejemplo, EE. UU. y Rusia en guerra, ¿es físicamente posible impedir que Rusia acceda a sus .us TLD?)
  • ¿Es probable que los TLD estén restringidos o prohibidos de alguna manera? ¿Conseguiría alguna ventaja para algún país hacer esto? (por ejemplo, Reino Unido y EE. UU. en guerra, ¿tendría alguna ventaja para EE. UU. prohibir que el Reino Unido acceda a sus .uk TLD?)
  • ¿Algún país restringiría a su propio país el acceso a los TLD de otros países? (por ejemplo, Reino Unido en guerra con Rusia, ¿tendría el Reino Unido alguna razón para prohibir el acceso a sitios web rusos?)
5Diraptor
fuente
55
Un tema algo relacionado: los .eudominios de propiedad del Reino Unido ya no se permitirán debido al Brexit y aparentemente se cerrarán: dot-eu-is-going.uk
a_horse_with_no_name
1
@a_horse_with_no_name Página principal oficial en el registro sobre toda la información relacionada con Brexit: eurid.eu/en/register-a-eu-domain/brexit-notice . TL; DR: la situación no está clara, nunca lo fue desde hace meses, probablemente tampoco lo será para los próximos meses
Patrick Mevzek
@a_horse_with_no_name: es interesante ver que el enlace ahora tiene algunas fechas: el 1 de enero, el dominio .eu se cierra para los residentes del Reino Unido aparentemente ... ¿Cómo es eso posible cuando Brexit aún no se ha acordado?
5Diraptor

Respuestas:

35

Estoy tratando de averiguar si tengo TLD extranjeros y están alojados en un servidor que está en mi propio país, el país anfitrión de TLD puede detener o restringir el acceso a la URL

La respuesta corta es sí (pero no piense solo en las URL, es decir, en la web, sino en cualquier tipo de servicios, como correo electrónico, VOIP, etc.)

Aquí es por qué. La raíz DNS de la IANA delega cada TLD en algunos registros. Los gTLD son delegados por registros bajo contrato con la ICANN y los registros de ccTLD se delegan a gobiernos de países relevantes, que cada uno decide técnicamente cómo se administra el ccTLD (hay muchos modelos: a veces todavía lo administra el propio gobierno, a veces es externaliza a una organización sin fines de lucro y, a veces, solo se licita para obtener la mejor oferta, incluidas las empresas).

Estos registros administran servidores de nombres en los que luego se delega cada dominio registrado bajo el TLD, a través de registros NS.

Dicho de otra manera, sin ningún caché, cada acceso a un nombre de dominio en un TLD, para su resolución, en algún momento llega al servidor de nombres del TLD. Por lo tanto, teóricamente podrían responder cualquier cosa y reenviar su dominio a cualquier otra cosa.

Esto está restringido porque el DNS tiene una memoria caché, por lo que el servidor de nombres de TLD no se consultará en cada resolución, solo por algún tiempo.

Este proceso se ve fácilmente mediante el uso dns +trace, como:

dig www.openstreetmap.fr +trace @1.1.1.1 +nodnssec

; <<>> DiG 9.10.3-P4-Ubuntu <<>> www.openstreetmap.fr +trace @1.1.1.1 +nodnssec
;; global options: +cmd
.           6313    IN  NS  a.root-servers.net.
.           6313    IN  NS  b.root-servers.net.
.           6313    IN  NS  c.root-servers.net.
.           6313    IN  NS  d.root-servers.net.
.           6313    IN  NS  e.root-servers.net.
.           6313    IN  NS  f.root-servers.net.
.           6313    IN  NS  g.root-servers.net.
.           6313    IN  NS  h.root-servers.net.
.           6313    IN  NS  i.root-servers.net.
.           6313    IN  NS  j.root-servers.net.
.           6313    IN  NS  k.root-servers.net.
.           6313    IN  NS  l.root-servers.net.
.           6313    IN  NS  m.root-servers.net.
;; Received 431 bytes from 1.1.1.1#53(1.1.1.1) in 64 ms

fr.         172800  IN  NS  f.ext.nic.fr.
fr.         172800  IN  NS  d.ext.nic.fr.
fr.         172800  IN  NS  g.ext.nic.fr.
fr.         172800  IN  NS  e.ext.nic.fr.
fr.         172800  IN  NS  d.nic.fr.
;; Received 357 bytes from 192.33.4.12#53(c.root-servers.net) in 62 ms

openstreetmap.fr.   172800  IN  NS  a.dns.gandi.net.
openstreetmap.fr.   172800  IN  NS  c.dns.gandi.net.
openstreetmap.fr.   172800  IN  NS  b.dns.gandi.net.
;; Received 110 bytes from 194.0.36.1#53(g.ext.nic.fr) in 68 ms

www.openstreetmap.fr.   10800   IN  CNAME   osm146.openstreetmap.fr.
osm146.openstreetmap.fr. 10800  IN  A   217.182.186.67
openstreetmap.fr.   10800   IN  NS  b.dns.gandi.net.
openstreetmap.fr.   10800   IN  NS  a.dns.gandi.net.
openstreetmap.fr.   10800   IN  NS  c.dns.gandi.net.
;; Received 147 bytes from 217.70.179.1#53(c.dns.gandi.net) in 81 ms

Puede ver cada paso de manera recursiva, a la izquierda la etiqueta (raíz, luego el TLD, luego el dominio, luego el nombre de host final) y a la derecha en los NSregistros los servidores de nombres autorizados en cada paso, primero los IANA para la raíz, luego los para el TLD, luego el del nombre de dominio.

En cada paso, un servidor de nombres puede mentir y proporcionar una respuesta falsa, como cualquier elemento activo en la ruta podría cambiar la consulta o la respuesta. DNSSEC proporciona algunas protecciones contra esto, pero primero no todos los dominios están protegidos con DNSSEC (muy pocos de hecho), y luego eso no podría resolver un TLD "falso".

Esta es la parte técnica. Sus otras preguntas son más un problema político. Pero tenga en cuenta que por estas mismas razones, algunos países decidieron, o al menos anunciaron, que quieren operar su propia raíz DNS. La razón es que la raíz actual está bajo la supervisión de los EE. UU. (Que es un punto complicado que podría discutirse sin fin, por lo que no desarrollaré ese punto específico aquí y ahora), y algunos países temen que los EE. UU. Puedan "censurar" un TLD de esa manera , especialmente en algunos países que el gobierno de los Estados Unidos considera enemigos. Sin embargo, muchos actores creen que si esto alguna vez ocurriera algún día, sería metafóricamente al mismo nivel que un ataque nuclear y fragmentaría Internet de una manera que nunca se volvería a unir.

Tenga en cuenta, por ejemplo, este caso: algunos demandantes demandaron para obtener indemnizaciones por víctimas después del ataque terrorista y exigieron (pero esto fue rechazado) para que obtuviera el control de los ccTLD que consideraban como la fuente del terrorismo. Vea este artículo para alguna parte de esta historia: " Matar .IR para compensar a las víctimas terroristas: ¿OIG al rescate? "

El otro punto importante que también debe entender primero es que tan pronto como compre un nombre de dominio en cualquier TLD, estará sujeto (incluso si no lo lee cuando debería) a las regulaciones de ese TLD, que dictan los requisitos de elegibilidad y cualquier otras restricciones con respecto al registro y mantenimiento de un nombre de dominio. Para los ccTLD, esto incluye específicamente cumplir con las leyes del país. Y dado que algunos ccTLD se comercializan como buenos TLD para juegos de nombres de dominio, algunas personas no se dan cuenta de esto. Por ejemplo, la tendencia en un momento estaba en .LYmarcha, y por más divertido que quiera mirarlo para hacer un buen nombre de dominio, este sigue siendo el ccTLD del país "Lybia" y, por lo tanto, debe seguir sus leyes y la Sharia. Algunas compañías perdieron o arriesgaron perder su nombre de dominio por estas mismas razones. Ver por ejemplo:Problemas en tierra de dominio inteligente: Bit.ly y otros corren el riesgo de perderlos Swift.ly "o" El cierre del dominio libio no es una amenaza, insiste bit.ly "

Dado que estamos .LYhablando y habló sobre guerras, estos artículos podrían darle una idea retrospectiva de lo que las guerras pueden hacer a los nombres de dominio (TLD) o simplemente luchan por los controles:

Pero también comente que pueden ocurrir cambios drásticos en los ccTLD, incluso sin guerras. Este es un ejemplo (in) famoso: " La historia del dominio de nivel superior nacional eslovaco robado .SK "

Volvamos a sus preguntas específicas, pero tenga en cuenta que implican parte de respuestas subjetivas.

¿Es físicamente posible que un país pueda restringir o prohibir el acceso a sus TLD específicos desde algunos o todos los demás países? (por ejemplo, EE. UU. y Rusia en guerra, ¿es físicamente posible impedir que Rusia acceda a sus .us TLD?)

Sí, técnicamente podría imaginarse que los .USservidores de nombres niegan responder a solicitudes provenientes de lugares geográficos específicos del mundo. Sin embargo, esto estaría lejos del 100% por muchas razones: la geolocalización de IP no es una ciencia difícil con 100% de confiabilidad, el DNS tiene cachés, es fácil usar una VPN, cualquiera (incluidas las personas de los países afectados) podría usar un resolutor abierto , como Google Public DNS o CloudFlare one o Quad9 one (de hecho, esto se usó en el pasado para contrarrestar la censura estatal, ver por ejemplo: " Google DNS Freedom Fight: 8.8.8.8 "), etc.

¿Es probable que los TLD estén restringidos o prohibidos de alguna manera? ¿Conseguiría alguna ventaja para algún país hacer esto? (por ejemplo, Reino Unido y EE. UU. en guerra, ¿tendría alguna ventaja para EE. UU. prohibir que el Reino Unido acceda a sus .uk TLD?)

Como se escribió anteriormente, técnicamente la raíz de IANA enumera el TLD activo hoy. Técnicamente, esto podría cambiar, y lo hace, pero bajo procesos específicos, como la ronda de nuevos gTLD de ICANN en 2012. En cuanto a los cambios en los ccTLD (dado que los países pueden decidir cambiar varios detalles sobre su TLD, incluido el gerente técnico), deben seguir " Delegar o transferir un dominio de nivel superior de código de país (ccTLD) ".

Ahora, además de la parte técnica, hay "política" en el sentido genérico:

  • Actualmente, la IANA es más una "función" que una estructura. La estructura es PTI (Public Technical Identifiers) que actualmente está afiliada a ICANN. Ver https://www.iana.org/about para más detalles.
  • ICANN es una organización sin fines de lucro, incorporada en California, EE. UU. Recientemente se produjo una serie de cambios profundos, luego de la presión de muchos gobiernos extranjeros para que pueda verse como más "internacional" y menos bajo control directo del gobierno de los Estados Unidos, como sucedió en el pasado (ver el infame fiasco en torno a la .XXXdelegación) . Ahora ya no existe un contrato específico entre ICANN y el gobierno de los EE. UU. Específicamente para las funciones de la IANA.
  • el operador técnico del servidor de nombres raíz A, que es el maestro de todos, del cual el servidor de nombres raíz es "puramente" una copia es administrada por VeriSign, una compañía estadounidense bajo contrato directo del gobierno de los Estados Unidos.

¿Algún país restringiría a su propio país el acceso a los TLD de otros países? (por ejemplo, Reino Unido en guerra con Rusia, ¿tendría el Reino Unido alguna razón para prohibir el acceso a sitios web rusos?)

Esta es una forma de censura de DNS y se dirige más a los servidores de nombres recursivos que a los autorizados. Sí, los países pueden ordenar a los operadores locales que prohíban el acceso (más precisamente: resolución) a algunos sitios web específicos. Esto sucede en todas partes: EE. UU., Alemania, Francia, China, Australia, etc. (para ser sincero, no estoy seguro de que pueda encontrar muchos países sin ninguna censura como esa) por varias razones basadas en la política local y porque algunos sitios web se consideran ilegales para ser consultados desde un país determinado.

Pero como cualquier forma de censura, puede ser evadida por mecanismos más o menos complicados. Al igual que en los ejemplos anteriores, cuando en algunos países se prohibió a los servidores de nombres recursivos locales resolver algunos nombres de pila, la gente escribió 8.8.8.8(dirección IPv4 de Google Public DNS Resolver) para que cualquiera pudiera reconfigurar su sistema para usarlo en lugar del local (mentira ) DNS resolver, ya que, obviamente, el país dado no podría imponer a Google que cambie sus respuestas para algunas de las consultas. En otros casos en el pasado, donde incluso Internet como transporte se interrumpió, algunos ISP en otros países proporcionaron líneas telefónicas conectadas a módems a las que puede marcar para volver a acceder a Internet, incluso si todas las FAI locales se cerraron.

Actualmente, la censura de DNS es más frecuente sobre algunos nombres de dominio específicos, en múltiples TLD, pero la base sería exactamente la misma para censurar un TLD completo.

Este artículo técnico podría brindarle muchas retrospectivas sobre cómo se hace y cómo se elude: " La censura de DNS (mentiras de DNS) según lo visto por RIPE Atlas "

Este único punto de censura de DNS / Internet podría ampliarse de muchas maneras para detallar todo lo que sucedió en el pasado, pero espero que los puntos anteriores ya le den ideas sobre lo que es técnicamente posible y cómo encaja esto en todo el marco político / de gobierno.

Patrick Mevzek
fuente
3

Esta es una pregunta interesante. ¿Es posible que un país niegue el acceso a subdominios de su ccTLD? Sí. ¿Es probable, incluso remotamente, que lo hagan? No.

Si alguien está navegando a sus direcciones de domain.ru, sus solucionadores finalmente irán a los servidores de nombres para el ccTLD .ru y preguntarán "¿dónde están los servidores de nombres para domain.ru?"

Según los estándares internacionales, el DNS es un protocolo justo, lo que significa que cada pregunta recibe una respuesta. Es posible que los servidores .ru TLD digan '¡ajá! esa IP es del Reino Unido y no les diremos dónde está el servidor de nombres domain.ru ', pero esto no les iría bien.

En definitiva, la dirección de todo está controlada por los servidores raíz. Estos son 13 servidores raíz independientes, operados por 12 organizaciones independientes, que trabajan juntos para mantener un acceso igual al DNS. Si esto realmente sucediera, los servidores raíz, en colaboración con los organismos estándar internacionales, podrían reemplazar literalmente los servidores rusos con alguien más. Es decir, en lugar de decir, 'busca a .ru allí en Rusia' podrían decir 'busca a .ru aquí en Urkraine'.

Si bien es posible, realmente va en contra de todo comportamiento internacional y es extraordinariamente improbable.

editado: cambie la redacción para aclarar no 13 organizaciones independientes, sino 13 servidores raíz.


fuente
1
Solo como una indicación de cuán poco probable es que un ccTLD esté desactivado: .SUel ccTLD para la Unión Soviética, un país que no ha existido durante más de un cuarto de siglo, todavía está vivo y bien.
Calle Dybedahl
Muy interesante y detallada respuesta, gracias! ¿Eso significa que el único control que tiene el país anfitrión es el control sobre los servidores que se encuentran en ese país? ¿Y si mi dominio .ru apuntaba a un servidor que estaba en el Reino Unido, entonces Rusia no tiene forma de interrumpir el servicio?
5Diraptor
No puedo garantizar su precisión, pero también encontré esto: theregister.co.uk/2017/12/01/russia_own_internet
5Diraptor
Para hacer trampa, hay 13 servidores raíz lógicos pero no 13 organizaciones. Por ejemplo, dos de ellos (A y J) son administrados por VeriSign. Consulte root-servers.org, que establece claramente: a partir del 15/06/2018, el sistema del servidor raíz consta de 928 instancias operadas por los 12 operadores independientes del servidor raíz.
Patrick Mevzek
3
@StreetDybedahl .sues un ejemplo famoso, pero ciertamente no es la regla. Tienes hoy .sky .czdespués de la división, y .csdesapareció. Lo mismo para .yuque desapareció para ser reemplazado por .si, .hr, .rsy .ms.
Patrick Mevzek
0

Estoy tratando de averiguar si tengo TLD extranjeros y están alojados en un servidor que se encuentra en mi propio país, si el país anfitrión de TLD puede detener o restringir el acceso a la URL, y si esto es posible, ¿Hay alguna probabilidad de que esto suceda en caso de su participación en una guerra o un colapso político importante entre los países?

Es posible y ya sucedió sin guerra.

China posee .cn TLD. Solía ​​estar abierto al mundo. Si el gobierno chino quisiera eliminar un dominio .cn porque no le gusta algún contenido, podría cambiar el registro DNS de ese dominio .cn.

Sin embargo, no era una forma perfecta para que el gobierno chino lo gestionara, porque quién sabe qué contenido se sirve desde qué dominio .cn. Entonces, un día el gobierno decidió que todos los dominios .cn deben apuntar a direcciones IP físicamente dentro de China. (Si poseía un dominio .cn que apuntaba a una IP fuera de China en ese momento, le dieron algo de tiempo para migrar o cerrar su dominio).

Al obligar a las personas a alojar dominios .cn físicamente dentro de China, el gobierno chino puede inspeccionar qué servicios proporciona cada dominio y qué contenido sirve cada dominio. Incluso podría obligar a las personas a instalar puertas traseras en sus servidores como requisito para colocar cualquier servidor en el centro de datos. (Probó esa idea por un tiempo).

Gato Chen
fuente