Суверенный интернет. Почему его не будет в 2017 году
Давайте попробуем рассмотреть детально.
Что представляет собой сейчас Интернет (в сильно упрощенном виде): в основном это работа клиент-сервер по протоколу HTTP/HTTPS/HTTP2 и в меньшем количестве остальные протоколы (обмен сообщениями, аудио-видео связь, торренты и т.п.). В связи с инициативой изготовителей браузеров, в 2017 году скорее всего сайты без шифрования будут считаться небезопасными и состоится полный переход с HTTP на HTTPS.
По рекомендации товарищей, которым я показывал черновик статьи, добавил информацию о том, что происходит при открытии сайта на устройстве клиента.
В РФ две типовые схемы доступа в Интернет — мобильный 4G/3G/2G и домашний (WiFi или провод от домашнего роутера). Таким образом, когда пользователь хочет обратиться к сайту https://vasyapupkin99.ru
, происходит следующее:
1. Браузер обращается в DNS рекурсору провайдера (или домашнего роутера) за получением IP и/или IPv6 адресов, соответствующих имени сайта. В свою очередь, DNS рекурсор обращается либо к вышестоящему рекурсору, либо к зарубежным корневым серверам (буква.root-servers.net.). Для доменов .RU и.РФ (точнее, xn--p1ai.) корневые сервера отдают записи NS, которые ссылаются на буква.dns.ripn.net. (корневые для .RU и.РФ), для зарубежных доменов — на другие аналогичные зарубежные DNS сервера. Для DNS также имеется цифровая подпись DNSSEC, ключи проверяются, начиная от корневых серверов и могут меняться периодически.
2. Браузер обращается на порт 443/tcp, начинает устанавливать шифрованное TLS соединение, проверяет сертификат сервера. Сертификат подписан зарубежным удостоверяющим центром, также браузер проверяет валидность сертификата (OCSP или устаревший CRL). В настоящее время в РФ нет своих удостоверяющих центров, которым доверяют производители браузеров.
3. В случае успешной установки TLS соединения, далее происходит получение страницы HTML и для содержимого страницы (графика, скрипты и т.п.) — аналогичные запросы (начиная с п.1).
Следует обратить внимание, что сайт может использовать ресурсы с других доменов, т.е. размещение сайта в зоне RU никак не гарантирует, что содержимое будет получено также из зоны RU, более того, весьма популярным у вебмастеров является размещение скриптов и графики на CDN, в том числе (а может быть и в основном) и на зарубежных.
Таким образом, мы видим, что система DNS не является «суверенной» и полностью зависит от зарубежной корневой зоны. Аналогично с SSL сертификатами — их выдача и отзыв также осуществляется зарубежными компаниями.
А что с IP адресами? Оказывается, что назначение IP адресов, номеров AS, ведение списков для взаимодействия провайдеров по BGP осуществляется организацией Réseaux IP Européens Network Coordination Centre (RIPE NCC), офис которой находится в Амстердаме, Нидерланды. Некоторые отечественные компании являются членами этой организации и ежегодно выплачивают членские взносы. Взамен получают возможность использовать IP и IPv6 адреса и номера автономных систем в протоколе BGP, размещать информацию о своих ресурсах в базе данных RIPE. Создать аналогичный «суверенный» центр затруднительно как минимум, ввиду того, что свободные IP (v4) адреса уже закончились.
Между клиентом и сайтом трафик проходит через несколько интернет провайдеров, которые принято разделять на магистральные и региональные. Магистральные провайдеры имеют высокоскоростные сети между регионами и продают трафик региональным провайдерам. Последние годы происходит «укрупнение» таких организаций, в итоге одна компания является и магистральным провайдером, и региональным — розничным (Ростелеком, ТТК, Мегафон, Билайн, МТС и т.д.), однако еще остаётся значительное число независимых провайдеров, которые зачастую работают более оптимизированно, чем крупные игроки, и предоставляют услуги с лучшим качеством и ценой. Обычно такие независимые провайдеры подключены к нескольким магистральным провайдерам и к региональной точке обмена трафиком. В свою очередь, магистральные провайдеры между собой не всегда имеют достаточное количество точек обмена трафиком в РФ, а иногда, в силу технических и экономических причин, внутрироссийский трафик может проходить через зарубежные точки обмена (в основном, Германия и Нидерланды).
Теперь перейдём к размещению сайтов. Крупные проекты (например, поисковые системы, социальные сети, почтовые службы) имеют собственные датацентры. Меньшие — арендуют мощности (например, новостные сайты, крупные интернет-магазины и т.п.). Для мелких и средних проектов цена размещения играет ключевую роль. Очень многие сайты в доменах RU и РФ размещены на зарубежных серверах. Даже с нынешним курсом иностранных валют это зачастую выгоднее, чем размещение внутри страны. Обычно, в комплекте с размещением сайта или арендой физического или виртуального сервера идут дополнительные услуги, часто бесплатно: выделение IP адресов, виртуальная локальная сеть, защита от DDoS атак. Сравните сами цены на аналогичные конфигурации у отечественных хостеров и, например, у французской компании OVH и немецкой Hetzner.
Теперь о содержимом. Большинство современных сайтов строятся на opensource технологиях, исходные тексты которых, в свою очередь, размещены на зарубежных (sourceforge, github, bitbucket и т.п.). Популярные JavaScript библиотеки зачастую не копируются в код сайта, а используются в виде ссылок на зарубежные CDN.
Давайте теперь предположим, что случился «судный день» и в РФ разорвалась трансграничная связность по Интернет. Что получаем:
1.Проблемы с DNS. Большая часть корневых DNS будет недоступна (в России есть зеркала только 3 корневых DNS). С большой вероятностью, это вызовет задержки в резолве доменов RU и РФ. Также пропадёт возможность резолва зарубежных доменов. Пропадет связь с скриптами на зарубежных CDN и сайтами на зарубежных хостингах.
2.Проблемы со связностью. К счастью, в настоящее время большинство провайдеров имеет хорошую связность в РФ и подключение к точкам обмена. Могут возникнуть проблемы из-за перестройки списков доступа у провайдеров, которые составляются по данным из базы RIPE.
3.Проблема с проверкой SSL сертификатов. Обычно это выглядит как огромный таймаут при подключении к сайту и страшное сообщение «небезопасный сертификат» в браузере.
4.Разные другие проблемы: не будут работать поисковики, мессенжеры, репозитории кода, SIP телефония от зарубежных провайдеров и т.д и т.п.
5.Наверняка еще что-то. Предложите свой вариант.
Вывод: в настоящее время невозможно отключить российский сегмент сети от остального мира так, чтобы он нормально продолжил работать.
Прошу прокомментировать, может быть я что-то не учел, или написал лишнего.
Комментарии (7)
2 января 2017 в 16:58
+1↑
↓
> Вывод: в настоящее время невозможно отключить российский сегмент сети от остального мира так, чтобы он нормально продолжил работать.В принципе, что хотел сказать автор, понятно.
И безболезненно не удастся «вырезать» ни один из сегментов интернета, даже китайский (с северокорейским отдельный вопрос, ибо не совсем понятно, там интранет с возможным шлюзом в интернет, или все-таки сегмент интернета), поскольку все очень завязано на международные (и не только) организации, т.е. на внешний мир.Но если подходить к вопросу исключительно формально, это не совсем так, ибо в тексте «чтобы он нормально продолжил работать» отсутствует слово «немедленно».
Вопрос в данном случае только в том, сколько времени и денег потребуется для подъема и настройки замещающих сервисов, размещения ресурсов российских сайтов на российских площадках и т.п.> 1.… Также пропадёт возможность резолва зарубежных доменов. Пропадет связь с скриптами на зарубежных CDN и сайтами на зарубежных хостингах.
> 4.Разные другие проблемы: не будут работать поисковики, мессенжеры, репозитории кода, SIP телефония от зарубежных провайдеров и т.д и т.п.Насколько я понимаю, к проблеме существования суверенного интернета это никак не относится, поскольку это исключительно проблемы зарубежных ресурсов, провайдеров и проч, которые относятся к «внешнему интернету», т.е. не «суверенные» ресурсы.
2 января 2017 в 18:06
0↑
↓
Вопрос в том, сколько это будет стоить и сколько времени займет. Моё мнение — явно больше года, поэтому «не будет в 2017 году»
2 января 2017 в 17:20
+3↑
↓
>1.Проблемы с DNS. Большая часть корневых DNS будет недоступна (в России есть зеркала только 3 корневых DNS). С большой вероятностью, это вызовет задержки в резолве доменов RU и РФ. Также пропадёт возможность резолва зарубежных доменов.Зачем резолвить зарубежные домены если рубильник нажали изнутри?
>Пропадет связь с скриптами на зарубежных CDN и сайтами на зарубежных хостингах.
Тут про шерифа и негров. Перетянут на отечественные площадки, пополнят казну. Одни плюсы.
>2.Проблемы со связностью. К счастью, в настоящее время большинство провайдеров имеет хорошую связность в РФ и подключение к точкам обмена. Могут возникнуть проблемы из-за перестройки списков доступа у провайдеров, которые составляются по данным из базы RIPE
Перестроятся, куда денутся.
>3.Проблема с проверкой SSL сертификатов. Обычно это выглядит как огромный таймаут при подключении к сайту и страшное сообщение «небезопасный сертификат» в браузере.
Пипец. Ситуация — работает только отечественный сертификатор с которым работает только отечественная сборка хрома. Ваши действия? Писать в спортлото?
>4.Разные другие проблемы: не будут работать поисковики, мессенжеры, репозитории кода, SIP телефония от зарубежных провайдеров и т.д и т.п.
Ключевое слово — зарубежных. Импортозамещение, не?
>в настоящее время невозможно отключить российский сегмент сети от остального мира так, чтобы он нормально продолжил работать.
Боюсь, у тех кто планомерно ведет к тому что бы изолировать рунет другие взгляды на норму. Могут технически, не делают этого только потому что лягушка еще не доварилась. Но осталось немного — год, полтора по моим оценкам.
2 января 2017 в 18:20
0↑
↓
Не понятно, откуда нажмут рубильник, но, действительно, нельзя исключать, что именно изнутри.Можно сделать местный аналог RIPE, и к нему диапазоны IPv6 и BGP AS (с IPv4 не получится, они кончились), но это потребует времени и денег.
Можно сделать Certificate Authority, но тоже, не сразу. Китайцы сделали WoSign, купили StartCom, но в итоге браузеры забанили их.
Отечественные площадки — это хорошо (пинг, оплата безналом и т.п.). Но, по опыту, обычно не лучше по качеству и дороже, чем европейские. Аренда дедика в Европе по цене примерно равна размещению своего сервера в стойке, а еще нужно покупать и поддерживать железо, иногда нужно оплачивать трафик и мало предложений с анти-ддос, особенно бесплатным.
2 января 2017 в 19:00
0↑
↓
>Можно сделать Certificate Authority, но тоже, не сразу. Китайцы сделали WoSign, купили StartCom, но в итоге браузеры забанили их.Китайцы сидят на своей сборке (там firefox и хром в одном флаконе) — подозреваю что им покласть на бан своего сертификатора.
2 января 2017 в 18:46
+2↑
↓
— Где ещё получить качественную консультацию о том, как построить суверенный интернет?
— Элементарно! Пишем на Хабр пост о том, что это невозможно, а в комментариях читаем, что и как правильно делать)2 января 2017 в 18:51
0↑
↓
Отлично :)