Устойчивый стул с двумя ножками
Юрий Литвиненко о нюансах устройства «суверенного рунета»
Сбой работы сайтов в зоне .ru 30 января побудил многих лишний раз вспомнить об инфраструктуре «суверенного рунета». Одни считали, что проблемы возникли именно из-за нее, другие не без оснований утверждали, что именно «суверенность» рунета помогла быстро восстановить его работу. Но для обеих категорий есть один общий вопрос: почему пять лет неустанной борьбы за устойчивость рунета не предотвратили проблемы?
Отчитываясь об инциденте, координационный центр .RU/.РФ (управляет доменами верхнего уровня) заявил, что значительная часть провайдеров «оказалась фактически не подключена к национальной системе доменных имен (НСДИ)» — то есть к инфраструктуре, которая по закону о «суверенном рунете» дублирует международную систему. В НСДИ хранится копия корневой зоны DNS с информацией о всех доменах верхнего уровня («оригиналом» управляет организация ICANN).
Операторы обязаны помимо использования общепризнанной системы доменных имен подключаться и к НСДИ, но могут делать это разными способами: напрямую к файлу копии корневой зоны либо через относящийся к НСДИ рекурсивный резолвер (обработчик запросов к файлу). В последнем случае оператору, в частности, не нужно лишний раз заботиться о том, чтобы синхронизироваться с реестром заблокированных сайтов. При этом многим выгодно полагаться на собственный рекурсивный резолвер — это не только позволяет сохранять контроль над сетью, но и, например, помогает собирать большие данные.
Роскомнадзор, чья структура управляет НСДИ, после сбоя публично порекомендовал использовать национальную систему через резолвер, «чтобы пользователи всегда имели возможность доступа к ресурсам». Действительно, НСДИ в момент сбоя обрабатывала запросы как положено. Поскольку причина сбоя была связана с некорректными криптографическими подписями, можно предположить, что структура Роскомнадзора просто отключила проверку их корректности. Некоторым операторам, которые обращались к файлу НСДИ, пришлось делать то же самое «на местах», настраивая свои рекурсивные резолверы самостоятельно. Косвенным подтверждением может служить заявление Роскомнадзора, который на следующий день после сбоя рекомендовал тем, кто отключал валидацию, вернуть ее обратно.
Исходно НСДИ позиционировалась как защита от других рисков — гипотетического удаления зоны .ru по желанию ICANN. Но до этого дело не дошло, более того, организация в марте 2022 года отвергла идею отозвать российские домены верхнего уровня. Зато сейчас инфраструктура проявила себя с неожиданной стороны, пусть только в одном из сценариев использования. Не удивлюсь, если в результате, раз уж задачи меняются, Роскомнадзор может вовсе отказаться от требований по подключению к файлу копии корневой зоны из-за неэффективности этой системы.