大家好,我是小林。俄乌军事冲突激化后,俄罗斯受到“金融核弹”制裁,SWIFT支付系统将与俄罗斯多家银行断开连接。就在上周,乌克兰想要引爆“网络核武器”。因为乌克兰官方给互联网名称与数字地址分配机构(ICANN)发了邮件,要求ICANN:1.撤销俄罗斯联邦使用的“.ru”、“.рф”、“.su”等域名;2.关闭服务于俄罗斯的DNS根服务器;3、协助撤销相关域名的TTL/SSL证书;第一个要求通过让根名称服务器不解析俄罗斯网站来从Internet上消除俄罗斯网站。第二个呼吁通过取消解析域名的能力来锁定俄罗斯互联网用户。第三个要求通过吊销HTTPS证书来抹黑俄罗斯网站。乌克兰之所以提出这些要求,是为了停止俄罗斯的宣传机器,防止进一步的舆论宣传和虚假信息。几天之内,ICANN首席执行官在一封电子邮件中拒绝了乌克兰的所有请求。我读过ICANN给乌克兰的这封信,信中的大部分内容都在说明ICANN的使命是保持互联网正常运行,而不是采取惩罚性行动、宣布制裁或限制访问互联网的某些部分。其中,ICANN从技术和政策的角度对乌克兰的三项要求做出了具体的答复,如下图:这里为大家简单翻译一下:对于国家代码顶级域,我们的工作主要是验证请求来自相应国家或地区的授权方。没有全球商定的政策规定ICANN可以根据您的请求采取单方面行动断开这些域。您可以理解为什么这样的系统无法处理一个地区或国家关于另一个地区或国家内部运营的请求。这种流程上的改变将对这个全球系统的信任和效用产生毁灭性和永久性的影响。根域名服务器系统由许多地理上分布的节点组成,由不同的独立操作维护。我们无法撤销您提到的域的特定SSL证书。这些证书由第三方运营商制作,ICANN不参与其颁发。从ICANN回答的三点可以看出,乌克兰的第一个请求,ICANN从技术角度可以满足,但由于政策原因无法完成,而第二、第三个请求,从技术角度ICANN的观点是不可能的。为什么ICANN有撤销域名的能力?ICANN的全称是InternetCorporationforAssignedNamesandNumbers。它是一个位于美国洛杉矶的非营利组织。它主要由互联网协会和互联网协会的成员组成。目的是管理全球域名和IP地址的分配。全球共有13个根域名服务器,以a到m命名,如a.root-servers.net、b.root-servers.net。一个是主服务器(也就是一台服务器),12个副服务器,10个在美国,2个在欧洲,1个在日本。这13台是逻辑概念,不仅仅是13台物理服务器。在root-servers.org网站上可以看到,目前全球有1524个实例,每个root都有几个镜像,分布在全球不同的地方。这13台根域名服务器有自己的IP地址,但同一个根域名服务器下的镜像共享根IP地址,这是通过“anycast”技术实现的。对具体实现细节感兴趣的同学可以去看看。在这个网站上可以看到13台根服务器的IP地址,https://www.internic.net/zones/named.cache:A.ROOT-SERVERS.NET。3600000A198.41.0.4A.ROOT-SERVERS.NET。3600000AAAA2001:503:ba3e::2:30B.ROOT-SERVERS.NET。3600000A199.9.14.201B.ROOT-SERVERS.NET。:200::bC.ROOT-SERVERS.NET。3600000A192.33.4.12C.ROOT-SERVERS.NET。3600000AAAA2001:500:2::c......根域名服务器由12个组织管理,其中根A为主根,由美国Verisign公司管理(Verisign是最大的ICANN的托管人)。根B到M称为二级根,负责同步根A的内容。A的根上有一个最重要的文件,就是根区文件,里面存放着所有顶级域的托管信息名字。根区文件由ICANN管理,可在ICANN官网查看:https://www.internic.net/domain/root.zone。这意味着ICANN有能力从根区文件中删除顶级域名。例如,如果.缓存过期后,世界上任何人都将无法访问.ru后缀的网站。但实际上,大多数国家都有根镜像服务器。所谓根镜像服务器就是同步根服务器的内容。根镜像服务器假设在本国,由本国管理。所以,自己国家可以控制镜像中的内容。假设ICANN删除.cn顶级域名。如果你不同步这个修改,你仍然可以正常访问.cn后缀的网站。我之前也写过一篇关于美国能否让中国从互联网上消失的文章:美国能让中国从互联网上消失吗?答案是否定的,国家有自己的根镜像服务器,我们可以控制根服务器同步的内容,加上在解析中国域名的时候,实际上并没有解析美国的根域名服务器,而是访问国内运营商维护的根镜像服务器。
