Сетевые технологии
Стандарты связи
2 января 2017

Суверенный интернет. Почему его не будет в 2017 году

UPD. К сожалению, многие комментарии скатываются в политоту, но есть несколько интересных технических мыслей. Постепенно вынесу их в конец статьи.


Последнее время всё чаще пробегают новости про «суверенный интернет», «отключение интернета» и прочие ужасы. Однако, по состоянию на начало 2017 года, отключить российский сегмент от остальной сети и оставить его работоспособным представляется маловероятным.

Давайте попробуем рассмотреть детально.

Что представляет собой сейчас Интернет (в сильно упрощенном виде): в основном это работа клиент-сервер по протоколу HTTP/HTTPS/HTTP2 и в меньшем количестве остальные протоколы (обмен сообщениями, аудио-видео связь, торренты и т.п.). В связи с инициативой изготовителей браузеров, в 2017 году скорее всего сайты без шифрования будут считаться небезопасными и состоится полный переход с HTTP на HTTPS.

По рекомендации товарищей, которым я показывал черновик статьи, добавил информацию о том, что происходит при открытии сайта на устройстве клиента.

В РФ две типовые схемы доступа в Интернет — мобильный 4G/3G/2G и домашний (Wi-Fi или провод от домашнего роутера). Таким образом, когда пользователь хочет обратиться к сайту https://vasyapupkin99.ru, происходит следующее:

1. Браузер обращается в DNS рекурсору провайдера (или домашнего роутера) за получением IP и/или IPv6 адресов, соответствующих имени сайта. В свою очередь, DNS рекурсор обращается либо к вышестоящему рекурсору, либо к зарубежным корневым серверам (буква.root-servers.net.). Для доменов .RU и.РФ (точнее, xn--p1ai.) корневые сервера отдают записи NS, которые ссылаются на буква.dns.ripn.net. (корневые для .RU и.РФ), для зарубежных доменов — на другие аналогичные зарубежные DNS сервера. Для DNS также имеется цифровая подпись DNSSEC, ключи проверяются, начиная от корневых серверов и могут меняться периодически.

2. Браузер обращается на порт 443/tcp, начинает устанавливать шифрованное TLS соединение, проверяет сертификат сервера. Сертификат подписан зарубежным удостоверяющим центром, также браузер проверяет валидность сертификата (OCSP или устаревший CRL). В настоящее время в РФ нет своих удостоверяющих центров, которым доверяют производители браузеров.

3. В случае успешной установки TLS соединения, далее происходит получение страницы HTML и для содержимого страницы (графика, скрипты и т.п.) — аналогичные запросы (начиная с п.1).

Следует обратить внимание, что сайт может использовать ресурсы с других доменов, т.е. размещение сайта в зоне RU никак не гарантирует, что содержимое будет получено также из зоны RU, более того, весьма популярным у вебмастеров является размещение скриптов и графики на CDN, в том числе (а может быть и в основном) и на зарубежных.

Таким образом, мы видим, что система DNS не является «суверенной» и полностью зависит от зарубежной корневой зоны. Аналогично с SSL сертификатами — их выдача и отзыв также осуществляется зарубежными компаниями.

А что с IP адресами? Оказывается, что назначение IP адресов, номеров AS, ведение списков для взаимодействия провайдеров по BGP осуществляется организацией Réseaux IP Européens Network Coordination Centre (RIPE NCC), офис которой находится в Амстердаме, Нидерланды. Некоторые отечественные компании являются членами этой организации и ежегодно выплачивают членские взносы. Взамен получают возможность использовать IP и IPv6 адреса и номера автономных систем в протоколе BGP, размещать информацию о своих ресурсах в базе данных RIPE. Создать аналогичный «суверенный» центр затруднительно как минимум, ввиду того, что свободные IP (v4) адреса уже закончились.

Между клиентом и сайтом трафик проходит через несколько интернет провайдеров, которые принято разделять на магистральные и региональные. Магистральные провайдеры имеют высокоскоростные сети между регионами и продают трафик региональным провайдерам. Последние годы происходит «укрупнение» таких организаций, в итоге одна компания является и магистральным провайдером, и региональным — розничным (Ростелеком, ТТК, Мегафон, Билайн, МТС и т.д.), однако еще остаётся значительное число независимых провайдеров, которые зачастую работают более оптимизированно, чем крупные игроки, и предоставляют услуги с лучшим качеством и ценой. Обычно такие независимые провайдеры подключены к нескольким магистральным провайдерам и к региональной точке обмена трафиком. В свою очередь, магистральные провайдеры между собой не всегда имеют достаточное количество точек обмена трафиком в РФ, а иногда, в силу технических и экономических причин, внутрироссийский трафик может проходить через зарубежные точки обмена (в основном, Германия и Нидерланды).

Теперь перейдём к размещению сайтов. Крупные проекты (например, поисковые системы, социальные сети, почтовые службы) имеют собственные датацентры. Меньшие — арендуют мощности (например, новостные сайты, крупные интернет-магазины и т.п.). Для мелких и средних проектов цена размещения играет ключевую роль. Очень многие сайты в доменах RU и РФ размещены на зарубежных серверах. Даже с нынешним курсом иностранных валют это зачастую выгоднее, чем размещение внутри страны. Обычно, в комплекте с размещением сайта или арендой физического или виртуального сервера идут дополнительные услуги, часто бесплатно: выделение IP адресов, виртуальная локальная сеть, защита от DDoS атак. Сравните сами цены на аналогичные конфигурации у отечественных хостеров и, например, у французской компании OVH и немецкой Hetzner.

Теперь о содержимом. Большинство современных сайтов строятся на opensource технологиях, исходные тексты которых, в свою очередь, размещены на зарубежных (sourceforge, github, bitbucket и т.п.). Популярные JavaScript библиотеки зачастую не копируются в код сайта, а используются в виде ссылок на зарубежные CDN.

Давайте теперь предположим, что случился «судный день» и в РФ разорвалась трансграничная связность по Интернет. Что получаем:

1. Проблемы с DNS. Большая часть корневых DNS будет недоступна (в России есть зеркала только 3 корневых DNS). С большой вероятностью, это вызовет задержки в резолве доменов RU и РФ. Также пропадёт возможность резолва зарубежных доменов. Пропадет связь с скриптами на зарубежных CDN и сайтами на зарубежных хостингах.

2. Проблемы со связностью. К счастью, в настоящее время большинство провайдеров имеет хорошую связность в РФ и подключение к точкам обмена. Могут возникнуть проблемы из-за перестройки списков доступа у провайдеров, которые составляются по данным из базы RIPE.

3. Проблема с проверкой SSL сертификатов. Обычно это выглядит как огромный таймаут при подключении к сайту и страшное сообщение «небезопасный сертификат» в браузере.

4. Разные другие проблемы: не будут работать поисковики, мессенжеры, репозитории кода, SIP телефония от зарубежных провайдеров и т.д и т.п.

5. Наверняка еще что-то. Предложите свой вариант.

Вывод: в настоящее время невозможно отключить российский сегмент сети от остального мира так, чтобы он нормально продолжил работать.

Прошу прокомментировать, может быть я что-то не учел, или написал лишнего.



Из каментов:

NoRegrets Поднимаем bgp на лубянке
k0ldbl00d дублирующие системы

трактовка «суверенности»
Jump раз,
bitrixworkshop два

связность между отечественными провайдерами через другие страны
раз,
два

ссылка на интервью на RT (читать надо не заголовок, а текст)
+16
41,7k 68
Комментарии 307