Конец иллюзий или цирк продолжается? (немного о системе корневых серверов DNS)
Для начала – дисклеймер. Несмотря на то, что я был знаком с большинством людей, имевших отношение к созданию этой системы, это не даёт мне возможности объективно оценить всю мотивацию принятых решений; я могу только предполагать, что же произошло. Оценку текущего процесса я, как и другие, строю по доступным документам и экспертным оценкам, которые мне близки, основываясь на своём опыте.
Написание этой колонки вызвано публикацией документа «The Root Server System Governance Structure» («Структура управления системы корневых серверов» (DNS)) – RSS-GS – СУСКС. Это отчёт рабочей группы The Root Server System Governance Structure Governance Working Group – RSS-GWG или РГУСКС.
Для начала – что это такое.
Система операторов корневых серверов DNS — это группа независимых организаций, которые управляют корневыми серверами DNS Интернета, обеспечивая работу корневой зоны системы доменных имён.
Корневые серверы относят к критическим важным компонентам инфраструктуры Интернета.
Корневая зона находится на самой вершине иерархии DNS. Она содержит информацию о серверах доменов верхнего уровня (TLD), таких как .com, .org, .net и национальные домены.
Исторически существует 13 логических корневых серверов, именуемых от A.ROOT-SERVERS.ORG до M.ROOT-SERVERS.ORG. Это ограничение было связано с максимальным размером пакета UDP DNS — 512 байт в ранних спецификациях.
На самом деле эти 13 логических серверов представляют собой сеть из более чем 1500 серверов-реплик по всему миру. Это достигается за счёт технологии Anycast, которая позволяет маршрутизировать запросы к ближайшей физической копии корневого сервера, имеющей один и тот же IP-адрес. Это обеспечивает высокую скорость отклика и устойчивость системы.
Эти 13 логических серверов управляются 12 различными независимыми организациями (университетами, некоммерческими организациями, правительственными учреждениями). Например, в число операторов входят Verisign, Internet Systems Consortium (ISC), NАSА и другие.
На сегодняшний день система работает по принципу, согласно которому каждый оператор корневого сервера несёт собственные расходы на предоставление данной бесплатной услуги, и покрытие расходов на дальнейшее масштабирование этой услуги является их собственной проблемой.
Органы поддержки корневых серверов (Root Server Operators, RSO) представляют собой совокупность независимых автономных организаций, которые обязуются добросовестно публиковать корневую зону и отвечать на все DNS-запросы, направляемые серверам корневой зоны, в меру своих возможностей. Их взаимодействие с ICANN организовано в основном в рамках Консультативного комитета по системе корневых серверов (Root Servers System Advisory Committee, RSSAC), который консультирует сообщество ICANN и правление ICANN по вопросам, связанным с функционированием системы. RSSAC состоит из представителей организаций-операторов корневых серверов и представителей организаций-партнёров, участвующих в техническом и операционном управлении корневой зоной.
ICANN (Internet Corporation for Assigned Names and Numbers) через функцию IANA (Internet Assigned Numbers Authority) отвечает за управление корневой зоной и её содержанием. Исполнение этой функции возложено на PTI («дочку» ICANN).
Можно отметить отдельно роль RZM – Root Zone Maintainer (служба поддержки корневой зоны), которую исторически исполняет Verisign, отвечая за формирование мастер-зоны и её раздачу остальным операторам корневых серверов.
Что забавно – сама ICANN получает сформированную подписанную корневую зону от Verisign.
Следует отметить, что можно поддерживать локальную копию корневой зоны вне anycast-системы корневых серверов, как описано в стандарте RFC 8806 (https://datatracker.ietf.org/doc/rfc8806/).
Интересующимся «древней» историей со многими забавными деталями рекомендую RSSAC023, построенный большей частью на интервью с участниками событий.
Теперь о новейшей истории.
К 2012 году ICANN, подгоняемая в какой-то степени требованиями к IANA transition, начала попытки формализовать и деятельность операторов корневых серверов.
C этого момента можно начинать отсчёт текущей деятельности – попытки максимально формализовать и упорядочить сложившуюся разношёрстную систему и построить защиту от претензий к данной инфраструктуре, которая давно стала считаться критической и с политической точки зрения.
Вокруг RSSAC было сформировано поддерживающее сообщество RSSAC Caucus.
Caucus – по мне – это когда внутрь не допускают, а потусоваться рядом дают.
В 2018 году RSSAC опубликовал предлагаемую модель управления системой корневых серверов DNS (см. RSSAC037) и представил её Совету директоров ICANN и более широкому сообществу пользователей ICANN и Интернета. В предложении отмечалось, что система корневых серверов масштабировалась и адаптировалась к росту сети и до сих пор продолжает обеспечивать отказоустойчивость, однако было сочтено, что пришло время принять новые структуры управления и бизнес-модели для соответствия более строгим требованиям к управлению, подотчётности и прозрачности.
Может показаться, что термин «Модель управления системой корневых серверов DNS» охватывает все функции, участвующие в формировании и распределении корневой зоны DNS, но он на самом деле ограничивается функцией распределения, в частности, развёртыванием и эксплуатацией набора авторитетных серверов имён, которые отвечают на запросы DNS к корневой зоне.
Меня в появившихся документах смущало возникновение термина «контракт» и понятий создания/уничтожения оператора. Это очень сильно напоминало корпоративный стиль ICANN – загнать всех по одному лекалу в контрактную систему и затем осуществлять руководство через систему жёсткого управления — по опыту работы с реестрами и регистраторами.
В ответ на отчёт RSSAC037, правление ICANN через год учредило рабочую группу по управлению системой корневых серверов — РГУСКС — в качестве специализированной рабочей группы, созданной для разработки рекомендаций по текущему развитию управления системой корневых серверов в соответствии с рекомендациями, первоначально принятыми и опубликованными RSSAC в RSSAC038.
Но система мультистейкхолдеризма продолжает производить себе подобное по старым лекалам, и исходя из опыта, можно ожидать, что это лишь начало длительного и тягомотного бюрократического процесса – возможно, на десятилетия, — в ходе которого не только исчезнут инициаторы, но будет утрачена и суть, и, как и прежде, всё станет достоянием юристов.
Отчёт, представленный РГУСКС в 2025 году, может стать всего лишь первым шагом на пути к дальнейшей формализации управления системой корневых серверов (CУСКС).
Отчёт вызывает разочарование (не без скрытого злорадства). В документе слишком много недостатков. Детали реализации были упущены и/или переданы гипотетическому органу-преемнику, который, как ожидается, создаст жизнеспособную структуру управления системой корневых серверов. В отчёте РГУСКС, похоже, мало что было сделано для расширения того, что было предложено в RSSAC037 и RSSAC038. В отчёте содержатся только ссылки на RSSAC058 (критерии успеха для структуры управления системы корневых серверов). В нём не объясняется, насколько предлагаемая структура управления соответствует этим критериям или превосходит их, а также являются ли критерии, указанные в RSSAC058, адекватными для надзора за RSS.
По оценкам экспертов, в предоставленном отчёте РГУСКС есть ряд серьёзных недостатков и упущений.
Так, в документе не объясняется, как/будет ли внедрена предлагаемая структура (или нет) или где/как/будет ли она работать наряду с другими группами заинтересованных сторон в ICANN, такими как GAC, gNSO, ASO и так далее.
Нет никаких указаний на ожидаемый бюджет предлагаемой структуры или на то, как он будет финансироваться.
Неясно, кто будет сторонами контракта, если таковые имеются, в предлагаемой структуре. Короче говоря, в отчёте отсутствуют основные элементы бизнес-плана для СУСКС. Нет приблизительного бюджета секретариата и никаких указаний на то, как он будет оплачиваться или какое юридическое лицо будет использоваться для найма персонала секретариата, оплаты совещаний, покупки IT-услуг и т.д. Предположительно, это может быть профинансировано ICANN, если бы СУСКС соответствовали структуре управления ICANN. Однако из отчёта неясно, будет ли она входить в неё.
Создание предлагаемого СУСКС окажет очевидное влияние на RSSAC и RSSAC Caucus. Это не было объяснено. Неясно, как эти органы будут взаимодействовать после создания RSS-GS, и будут ли они по-прежнему необходимы.
Совет из 27 членов является неоправданно большим и, вероятно, непрактичным. Он больше, чем советы директоров аналогичных организаций: ICANN, каждого из RIR, PTI, IETF и т.д. Состав этого совета сформирован из узкого круга заинтересованных сторон, что исключает несколько групп, которые должны быть представлены. Он также слишком сильно искажён в пользу операторов корневых серверов. При этом возникшие за последние десятилетия политические проблемы проигнорированы.
Подотчётность и прозрачность управления системой корневых серверов должны быть очевидны внешним глобальным политическим и корпоративным субъектам, даже если они не являются их непосредственными участниками. Этот фактор просто проигнорирован.
Внутренние элементы предлагаемой структуры управления — её подкомитеты и т.д. — обсуждаются в общих чертах. Неясно, как они будут взаимодействовать друг с другом.
Предлагаемая структура управления, по-видимому, закрепляет (цементирует) текущую модель обслуживания корневого сервера DNS. Игнорируются возможности внедрения новых подходов, которые улучшили бы стабильность и безопасность СУСКС: например, широкого внедрения гиперлокальных корневых зон (RFC8806).
Отчёт РГУСКС предлагает лишь ещё один уровень административной структуры устаревшей системы без каких-либо попыток по архитектурной перестройке роли, как технической, так и структурной. Эта система по-прежнему полагается на альтруистическое поведение двенадцати организаций и не отвечает на вопросы по её устойчивости в будущем.
Не считаю, что это плохо – если сейчас нет явного решения, лучше по возможности затянуть его принятие, чем попытаться усовершенствовать (поломать) десятилетиями работающую систему.
Image for illustration only. Image source: Wikimedia. License: CC BY-SA 3.0
