Один ли публичный корень в DNS? Чей корень и для кого?

— Всегда что-то можно изменить.
— Правда? Тогда бы вы сюда не вернулись…

Тема корня/рута у меня уже давно шуточных ассоциаций не вызывает, и как я только ни пытался к ней подходить за последние десятилетия.

Когда говорят «корень DNS», чаще всего имеют в виду единый публичный корень, управляемый ICANN. Он обеспечивает уникальность доменных имён в глобальном Интернете.

Вопрос о корне системы доменных имён (DNS) сегодня выходит далеко за рамки технического обсуждения. Он становится лакмусовой бумажкой глобальных противоречий цифровой эпохи. Прямой ответ «да, корень один» — одновременно и правда, и заблуждение. Эта двойственность раскрывает суть современного Интернета: он больше не является нейтральной технологией, а стал полем битвы за суверенитет, контроль и влияние.

С формальной точки зрения, корень DNS — это вершина иерархического дерева, точка отсчёта для любого запроса. Его уникальность — не прихоть, а функциональная необходимость.

Как в мире не может быть двух стран с одинаковым названием и флагом в официальном атласе, так и в Интернете не может быть двух разных глобальных адресов «google.com». Единый корень обеспечивает уникальность, создавая общее, предсказуемое пространство имён.

Корень не хранит все адреса. Его роль — указывать на серверы доменов верхнего уровня (TLD): .com, .org, .ru, .cn. Этот компромисс позволяет сочетать централизованную координацию с распределённым управлением. Физически этот «единый» корень воплощён в 13 глобально распределённых кластерах серверов, дублированных сотнями и тысячами экземпляров по всему миру. Его устойчивость — результат распределённости, а не централизации.

Формально корень «принадлежит» глобальному интернет-сообществу, но на практике его стабильность и нейтральность зависят от баланса сил.

США исторически играли ведущую роль (из-за происхождения ARPANET и контроля IANA), и хотя формальный надзор был передан ICANN, доверие к этой модели варьируется. Для одних — это гарантия открытости и интероперабельности; для других — проявление цифровой гегемонии.

Формально корень DNS принадлежит всему интернет-сообществу и управляется через мультистейкхолдерскую модель, включающую правительства, бизнес, техническое сообщество и гражданское общество. На практике баланс сил остаётся неравным и влияние США сохраняется.

Вопрос «чей корень» остаётся политическим. Некоторые государства считают, что управление такой критической инфраструктурой должно находиться под контролем межправительственных структур, например, ООН. Другие убеждены, что сила DNS как раз в отсутствии централизованного государственного контроля.

Вдобавок ещё централизованность корня была закреплена и обеспечивается системой DNSSEC, что затрудняет, если не делает невозможным появление независимых корней.

Проверка цепочки доверия по DNSSEC становится технически невозможной, если корни не синхронизированы. DNSSEC стал своего рода суперклеем, закрепившим текущую структуру управления иерархии DNS.

Текущие стандарты и реализация DNS не предусматривают и не позволяют возможность построения распределённого корня – только построение отдельных деревьев для выделенных сетей или подключения по типу split horizon (Split DNS).

Этот подход широко используется для построения корпоративных и домашних сетей. Split DNS формально не описывается каким-то одним стандартом RFC, так как это практика реализации, а не отдельный протокол. IETF не «противится» Split DNS как практике, но принципиально отказывается стандартизировать её, потому что стандартизация = легитимизация, а легитимизация Split DNS разрушает фундаментальные принципы, на которых построен Интернет: глобальную уникальность имён, сквозной принцип (end-to-end) и интероперабельность по умолчанию.

Split DNS — это неизбежная реальность, но IETF считает его «грязным компромиссом», который нельзя узаконить как технологическую норму, иначе он станет инструментом фрагментации Интернета. Это сознательная инженерная иллюзия стабильности.

Однако сложно назвать положение ICANN-корня монолитным: в системе DNS начали отражаться политические границы. Управление корневой зоной исторически связано с США и организацией ICANN, что с самого начала вызывало вопросы о цифровом суверенитете других государств. Это привело к появлению параллельных реальностей.

Ряд стран законодательно закрепили возможность создавать национальные системы DNS. Но даже они полагаются на официальный корень. Они используют ту же корневую зону, но технологически могут её модифицировать на своей территории — блокировать, перенаправлять или добавлять «альтернативные» записи. Но на уровне корневой зоны этого стараются избегать. Но основными способами по-прежнему являются блокировки и ограничения доступа зачастую на уровне операторов и владельцев контента.

Так DNS может становиться разным для пользователей по разные стороны цифровых границ.

О других наиболее известных корнях

Существуют свои корни и для закрытых сетей типа GSMA (GSM Association) DNS – это независимое дерево DNS, существующее внутри глобальной инфраструктуры операторов мобильной связи по стандартам GSMA/3GPP.

Скорее всего (тут скорее можно только гадать и догадываться), несколько своеобразно устроена и система DNS для министерства обороны США.

Информация об устройстве DNS для сети Минобороны США (Department of Defense, DoD) является закрытой и относится к сфере национальной безопасности. Но на основе официальных документов DoD, NIST, DISA и публичных стандартов можно получить достоверную, но обобщённую картину. По крайней мере, очевидно, что она учитывает корень ICANN при взаимодействии с Интернетом, но не полагается на него целиком. Аналогичное можно предположить и для других критических инфраструктур в разных странах.

Начиная с 1990-х годов возникали, существовали и исчезали проекты вроде AlterNIC, OpenNIC и Yeti DNS, стремившиеся предложить децентрализованные, общественные или экспериментальные альтернативы.

Однако они не получили широкого распространения: большинство пользователей и устройств по умолчанию настроены на официальный корень, управляемый ICANN. Можно охарактеризовать их как нишевые проекты.

Параллельно появлялись и появляются и системы, оспаривающие саму идею централизованного корня – это децентрализованные системы (например, блокчейн-домены). Они заменяют единый доверенный центр распределённым консенсусом и криптографией. Здесь нет «кого-то» корня. В целом, эти проекты остаются маргинальными.

Таким образом, политически и операционно корень перестал быть единым. Он контекстуален и зависит от юрисдикции и выбора технологий.

Так сколько же корней DNS существует?

Итак, один ли корень? И да, и нет.

Технически — да, и это основа глобальной совместимости.

Политически и операционно — нет, он фрагментирован на национальные и корпоративные версии.

Если считать строго:

• один глобальный публичный ICANN-корень — определяет работу Интернета;
• множество закрытых частных корней — как у GSMA, корпораций и отраслей;
• несколько небольших альтернативных публичных корней, но их влияние ограничено;
• несколько национальных дублей корня, работающих в качестве резервных систем.

Чей он?

Корень сегодня остаётся объектом борьбы между:

• глобалистами (ICANN, техническое сообщество), видящими в нем общее достояние;
• государствами, стремящимися к цифровому суверенитету и рассматривающими его как инструмент контроля и безопасности;
• корпорациями, превращающими его в элемент инфраструктуры своей экосистемы;
• децентралистами, стремящимися его «упразднить» через новые парадигмы.

Для кого?

Ответ болезнен и демонстрирует раскол: Интернет больше не для всех одинаков. Он разный для жителя Сан-Франциско, Берлина и Пекина. «Чей-то» корень всегда предполагает «не-чей-то» для кого-то другого.

Есть ли альтернатива единому публичному корню DNS?

Скорее всего, единственным способом сделать многокорневую модель технически работоспособной — это создание, условно говоря, мета-корня, который агрегировал бы все TLD из разных корней, разрешал бы конфликты имён и обеспечивал бы единую DNSSEC-доверенную основу.

Однако такой мета-корень практически повторяет корень ICANN, потребует консенсуса всех участников, существенно усложнит архитектуру и эксплуатацию и приводит, по сути, к потере смысла независимых корней.

Технически жизнеспособная мультикорневая модель неизбежно редуцируется к единому корню.

Мы живём с компромиссом — глобальный Интернет опирается на один корень, но в реальном мире существует множество корней DNS, обслуживающих закрытые или альтернативные экосистемы.

Image for illustration only. Image source: Wikimedia. License: CC BY-SA 2.5