Суверенний інтернет. Чому його не буде в 2017 році

Останнім часом все частіше пробігають новини про «суверенний інтернет», «відключення інтернету» та інші жахи. Проте, станом на початок 2017 року, відключити російський сегмент від решти мережі і залишити його працездатним представляється малоймовірним.

Давайте спробуємо розглянути детально.


Що являє собою зараз Інтернет (у сильно спрощеному вигляді): в основному це робота клієнт-сервер по протоколу HTTP/HTTPS/HTTP2 і в меншій кількості інші протоколи (обмін повідомленнями, аудіо-відео зв'язок, торренти і т. п.). У зв'язку з ініціативою виробників браузерів, в 2017 році, швидше за все сайти без шифрування будуть вважатися небезпечними і відбудеться повний перехід з HTTP HTTPS.

За рекомендацією товаришів, яким я показував чорновий варіант статті, додав інформацію про те, що відбувається при відкритті сайту на пристрої клієнта.
У РФ дві типові схеми доступу в Інтернет — мобільний 4G/3G/2G і домашній (WiFi або провід від домашнього роутера). Таким чином, коли користувач хоче звернутися до сайту
https://vasyapupkin99.ru
, відбувається наступне:
1. Браузер звертається до DNS рекурсору провайдера (або домашнього роутера) за отриманням IP і/або IPv6 адрес, відповідних імені сайту. У свою чергу, DNS рекурсор звертається або до вищестоящого рекурсору, або до закордонним кореневих серверів (буква.root-servers.net.). Для доменів .RU в. РФ (точніше, xn--p1ai.) кореневі сервери віддають записи NS, які посилаються на буква.dns.ripn.net. (кореневі .RU в. РФ), для зарубіжних доменів — на інші аналогічні закордонні DNS сервера. Для DNS також є цифровий підпис DNSSEC, ключі перевіряються, починаючи від кореневих серверів і можуть періодично змінюватися.
2. Браузер звертається на порт 443/tcp, починає встановлювати шифрування TLS з'єднання, перевіряє сертифікат сервера. Сертифікат підписаний закордонним центром, браузер перевіряє валідність сертифіката (OCSP або застарілий CRL). В даний час в РФ немає своїх засвідчують центрів, яким довіряють виробники браузерів.
3. У разі успішного встановлення з'єднання TLS, далі відбувається отримання сторінки HTML і для вмісту сторінки (графіка, скрипти тощо) — аналогічні запити (починаючи з п. 1).

Слід звернути увагу, що сайт може використовувати ресурси з інших доменів, тобто розміщення сайту в зоні RU ніяк не гарантує, що вміст буде отримано також із зони RU, більше того, досить популярним у вебмайстрів є розміщення скриптів і графіки на CDN, у тому числі (а може бути і в основному) і на зарубіжних.

Таким чином, ми бачимо, що система DNS не є «суверенною» і повністю залежить від зарубіжної кореневої зони. Аналогічно з SSL сертифікатами — їх видача та відкликання також здійснюється закордонними компаніями.

А що з IP адресами? Виявляється, що призначення IP адрес, номерів AS, ведення списків для взаємодії провайдерів за BGP здійснюється організацією Réseaux IP Européens Network Coordination Centre (RIPE NCC), офіс якої знаходиться в Амстердамі, Нідерланди. Деякі вітчизняні компанії є членами цієї організації і щорічно сплачують членські внески. Натомість отримують можливість використовувати IP і IPv6 адреси і номери автономних систем у протоколі BGP, розміщувати інформацію про своїх ресурсах в базі даних RIPE. Створити аналогічний «суверенний» центр важко як мінімум, в силу того, що вільні IP (v4) адреси вже закінчилися.

Між клієнтом і сайтом трафік проходить через декілька інтернет-провайдерів, які прийнято поділяти на магістральні та регіональні. Магістральні провайдери мають високошвидкісні мережі між регіонами і продають трафік регіональних провайдерів. Останні роки відбувається «укрупнення» таких організацій, в результаті одна компанія є і магістральних провайдером, та регіональним — роздрібним (Ростелеком, ТТК, Мегафон, Білайн, МТС тощо), однак ще залишається значна кількість незалежних провайдерів, які часто працюють більш оптимізоване, ніж великі гравці, і надають послуги з кращою якістю і ціною. Зазвичай такі незалежні провайдери підключені до декількох магістральних провайдерів і до регіональної точки обміну трафіком. У свою чергу, магістральні провайдери між собою не завжди мають достатню кількість точок обміну трафіком в РФ, а іноді, в силу технічних та економічних причин, російський трафік може проходити через закордонні точки обміну (в основному, Німеччина та Нідерланди).

Тепер перейдемо до розміщення сайтів. Великі проекти (наприклад, пошукові системи, соціальні мережі, поштові служби) мають власні датацентри. Менші — орендують потужності (наприклад, новинні сайти, великі інтернет-магазини тощо). Для дрібних і середніх проектів ціна розміщення грає ключову роль. Дуже багато сайти в доменах RU і РФ розміщені на закордонних серверах. Навіть з нинішнім курсом іноземних валют це часто вигідніше, ніж розміщення всередині країни. Зазвичай, в комплекті з розміщенням сайту або орендою фізичної або віртуального сервера йдуть додаткові послуги, часто безкоштовно: виділення IP-адрес, віртуальна локальна мережа, захист від DDoS атак. Порівняйте самі ціни на аналогічні конфігурації у вітчизняних хостерів і, наприклад, у французької компанії OVH і німецької Hetzner.

Тепер про вміст. Більшість сучасних сайтів будуються на opensource технологіях, вихідні тексти яких, у свою чергу, розміщені на зарубіжних (sourceforge, github, bitbucket тощо). Популярні JavaScript бібліотеки часто не копіюються в код сайту, а використовуються у вигляді посилань на закордонні CDN.

Тепер Давайте припустимо, що стався «судний день» і в РФ розірвалася транскордонна зв'язність по Інтернет. Що отримуємо:
1.Проблеми з DNS. Велика частина кореневих DNS буде недоступна (у Росії є дзеркала тільки 3 кореневих DNS). З великою ймовірністю, це викличе затримки в резолве доменів RU і РФ. Також пропаде можливість резолва зарубіжних доменів. Пропаде зв'язок з скриптами на зарубіжних CDN і сайтами на зарубіжних хостингах.
2.Проблеми зі зв'язністю. На щастя, в даний час більшість провайдерів має хорошу зв'язність в РФ і підключення до точок обміну. Можуть виникнути проблеми через перебудови списків доступу у провайдерів, які складаються за даними з бази RIPE.
3.Проблема з перевіркою SSL сертифікатів. Зазвичай це виглядає як величезний таймаут при підключенні до сайту і страшне повідомлення «ненадійний сертифікат» в браузері.
4.Різні інші проблеми: не будуть працювати пошуковики, мессенжери, репозиторії коду, SIP телефонія від зарубіжних провайдерів і т. д і т. п.
5.Напевно ще щось. Запропонуйте свій варіант.

Висновок: в даний час неможливо відключити російський сегмент мережі від решти світу так, щоб він нормально продовжив працювати.
Прошу прокоментувати, може бути я щось не врахував, або написав зайвого.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.