Где находится .ru? Анализ воздействия конфликта на российскую доменную инфраструктуру
АвторыMattijs Jonker, Roland van Rijswijk-Deij - Университет Твенте
Alessio Botta, Antonia Affinito - Неаполитанский университет
Gautam Akiwate, Geoffrey M. Voelker, Stefan Savage - Калифорнийский университет в Сан-Диего
kc Claffy - Центр прикладного анализа данных Интернета (CAIDA) / Калифорнийский университет в Сан-Диего
АннотацияВоенные действия на Украине привели к возведению беспрецедентных экономических барьеров вокруг России – как по инициативе третьих стран, так и по ее собственной. В Интернете эти барьеры выражены в форме влияния на российские сайты со стороны государства, побуждающего их к переносу необходимой для их функционирования инфраструктуры (такой, как служба имен и хостинг) в Россию, а также давления извне со стороны западных провайдеров, отказывающихся вести бизнес с российскими клиентами. Хотя на эту тему уже существует немало публикаций – как освещающих политику провайдеров, так и описывающих личный опыт, – мы решили подойти к вопросу эмпирически и напрямую измерить долгосрочные изменения в географическом расположении серверов имен, хостинга и удостоверяющих центров для доменов Российской Федерации.
1. ВВЕДЕНИЕ
24 февраля 2022 года начался вооруженный конфликт России и Украины, что привело к крупнейшему гуманитарному кризису в Европе со времен Второй мировой войны. Действия России, в отличие от присоединения Крыма в 2014 году и неизменной поддержки новообразованных республик на востоке Украины, вызвали резкую реакцию со стороны мирового сообщества, в первую очередь западных стран. Помимо военной и финансовой помощи Украине, страны Запада объявили широкомасштабные экономические санкции против лиц и организаций, связанных с Россией, включая Центробанк РФ, внедрили ограничения экспорта, чтобы лишить Россию доступа к стратегическим материалам, конфисковали или заморозили российское имущество и активы за рубежом, закрыли небо для российских авиакомпаний и въезд для многих категорий российских граждан. Помимо этих мер, принятых на государственном уровне, около тысячи частных компаний приняли решение полностью или частично уйти с российского рынка [16].
Не избежал этого конфликта и Интернет. Например, Управление США по контролю над иностранными активами (US Office of Foreign Asset Control, OFAC) внесло ряд веб-сайтов российских компаний в свой санкционный список Specially Designated Nationals (SDN) [17]. Независимо от этих конкретных санкций, многие западные поставщики интернет-сервисов приняли решение — будь то по морально-этическим соображениям или исходя из репутационных рисков и/или угроз экономической стабильности — решительно оборвать связи с российским рынком. Некоторые из них, такие как Amazon, Microsoft, Google [13] или GoDaddy [6], просто остановили продажи российским заказчикам, а другие, такие как Cogent, прекратили оказывать России вообще любые услуги [20]. Украина эти действия не только поддерживала, но и призывала к ним – вплоть до того, что ее вице-премьер в открытом письме руководству ICANN от 1 марта 2022 года формально потребовал от этой организации упразднить домены .ru, .рф и .su, поддержать отзыв всех сертификатов TLS и отключить корневые серверы DNS на территории Российской Федерации [5].
В результате в России еще более усилились давнишние опасения угроз «суверенитету в Интернете», а потому правительство решило действовать на опережение и перенести ключевые сервисы на свою территорию. В марте 2022 года российские власти предписали всем государственным сайтам и сервисам использовать только российских интернет-провайдеров, операторов системы доменных имен (DNS), а также российский хостинг [23]. Кроме того, Минцифры РФ объявило о создании независимого государственного удостоверяющего центра, чей корневой сертификат будет доверенным для российских браузеров (VK Atom и Yandex.Browser)[1]. Частные российские операторы также стали опасаться демаршей сторонних поставщиков услуг: в частности, RU-CENTER, ведущий российский регистратор и хостинг-провайдер, рекомендовал клиентам, «ведущим деятельность в секторах, подверженных иностранным санкциям», «приобретать сертификаты от GlobalSign, японского удостоверяющего центра» [22].
Действия российского правительства, вкупе с риском того, что западные провайдеры и дальше будут свертывать сотрудничество, создают беспрецедентную атмосферу для российских операторов и их корпоративных клиентов. Было бы логично предположить, что происходящие процессы стимулируют уход российских сайтов из нероссийской инфраструктуры.
В настоящей статье мы попытаемся подойти к изучению этого вопроса эмпирически. В частности, мы исследуем долгосрочные изменения в геолокации инфраструктуры для российских сайтов – в первую очередь это DNS, хостинг и выдача сертификатов TLS – до и после начала российско-украинского конфликта. Наш анализ охватывает пять лет ежедневных наблюдений за доменами .ru и .рф, включая активные актуальные измерения и ретроспективные данные о выдаче сертификатов. Мы рассмотрим, в какой степени для этих сайтов имеет место перенос инфраструктуры в РФ из-за границы, и (в той мере, в которой он имеет место) объясняется ли он действиями провайдеров вне РФ или упреждающими мерами самих российских операторов.
2. НАБОРЫ ДАННЫХ
Мы оперируем данными измерений DNS по всем доменным именам, зарегистрированным в российских национальных доменах верхнего уровня .ru и .рф[2] за период в 1803 дня (чуть меньше пяти лет). Точные даты начала и конца изучаемого периода – с 18 июня 2017 по 25 мая 2022 года, т.е. массив данных охватывает несколько лет до начала конфликта (24 февраля 2022 года) и 90 дней после.
Измерения DNS предоставлены проектом OpenINTEL, который использует ежедневные снапшоты файлов зон в качестве стартовых точек для активного опроса всех зарегистрированных доменных имен в рамках одного домена верхнего уровня (TLD) по выборке записей ресурсов DNS [21][3]. Собранные данные включают записи NS внутри каждого домена (по ним можно установить, делегируется ли служба имен за пределы доменов .ru и .рф), а также разрешение записи A для серверов имен и для их корневых доменов. Мы осуществляем геолокацию каждого из полученных IP-адресов, используя результаты на соответствующий момент из сервиса IP2location [9], получая на выходе прокси для физического хостинга инфраструктуры DNS и веб-сайта каждого домена соответственно[4]. Наш набор данных содержит 11,7 миллиона уникальных российских доменных имен, 13,3 тысячи уникальных сетей (номеров автономных систем – AS), в которых находятся корневые домены, и 9,5 тысячи сетей, в которых расположены авторитетные серверы DNS. Кроме того, мы собрали долгосрочные данные по сертификатам для доменов .ru и .рф как по историческим логам прозрачности сертификатов, так и по активным сканам веб-сайтов за время исследования, выполненным Censys [2][5]. И, наконец, мы выделили 107 уникальных доменов в отдельную группу санкционных, поскольку они представлены в санкционных списках США (US OFAC SDN) [17] или Великобритании [7][6].
3. ВОЗДЕЙСТВИЕ НА ЭКОСИСТЕМУ DNS
В этом разделе мы сначала предоставим исторический контекст для инфраструктуры DNS, поддерживающей домены .ru и .рф, а затем перейдем к рассмотрению ситуации с российскими доменами вообще и санкционными российскими доменами в частности, а также действий, предпринятых крупнейшими западными провайдерами.
3.1 Исторический контекст
Для описания исторического контекста мы классифицировали российские домены, попавшие в нашу выборку данных, по долгосрочному расположению их хостинга и инфраструктуры DNS за период с 18 июня 2017 года по 25 мая 2022 года. Назовем хостинг домена полностью российским, если все его записи A геолоцированы на территории Российской Федерации; частично российским, если в РФ находится лишь часть таких записей; и нероссийским, если все такие записи расположены вне РФ. Аналогично назовем полностью, частично или нероссийской службу DNS – по месту геолокации авторитетных серверов имен для этого домена.
В исторической перспективе доля доменов, расположенных в сетях на территории РФ, не претерпевала значительных изменений за изучаемый период. Например, на 18 июня 2017 года полностью расположены в России были 71,0% всех имен .ru и .рф, еще 0,19% были частично российскими, а 28,81% – нероссийскими. Это распределение не претерпело существенных изменений вплоть до начала конфликта в феврале 2022 года. После этого мы наблюдаем небольшой рост доли как полностью, так и частично российских доменов, вызванный «утеканием» доменных имен из США и других западных стран в Россию и Нидерланды.
Рисунок 1. Географическое распределение инфраструктуры DNS для доменных имен .ru и .рф. Полностью российские означает, что серверы имен полностью расположены на территории РФ. Нероссийские означает, что ни один из серверов имен не находится на территории РФ. Частично российские означает частичное нахождение на территории РФ.
Инфраструктура серверов имен для российских доменов также обнаружила относительную стабильность за долгий период времени, но с начала конфликта появились более выраженные изменения. На рис. 1 подробно показано долгосрочное распределение геолокации серверов имен. Для всех доменных имен в зонах .ru и .рф показано, расположены ли их серверы имен в России полностью, частично или нет[7]. Черной кривой показано общее количество российских доменов (штрихи справа). Для наглядности ситуации за последние месяцы мы выделили три периода: до начала конфликта (до 24 февраля 2022), после введения санкций (после 26 марта 2022) и до введения санкций (период между этими датами). На графике эти периоды отчеркнуты вертикальными пунктирными линиями.
На 18 июня 2017 года существовало чуть меньше пяти миллионов зарегистрированных доменов, 67,0% из которых пользовались серверами имен, полностью расположенными в России. Это распределение (как и почти идентичное количество частично российских и нероссийских доменов) остается более-менее стабильным с течением времени – это наводит на мысль, что в период, предшествовавший конфликту в 2022 году, внутреннее давление с целью переноса инфраструктуры в Россию большого эффекта не имело. А в феврале 2022 года появляются существенные изменения – многие домены, чьи серверы имен находились частично вне РФ, становятся полностью российскими. Однако в историческом контексте эти изменения невелики. По нашим последним данным, полностью российскими являются 73,9% имен – за пятилетний период изменение составило всего 6,9%.
У российской доменной инфраструктуры есть один аспект, который с течением времени становится все менее ориентирован на Россию: это принадлежность серверов имен к российским или иностранным доменным зонам. Назовем этот аспект для краткости TLD-зависимостью. Мы определили домен верхнего уровня (TLD) для каждого сервера имен, которому делегируют обслуживание доменные имена в зонах .ru и .рф. Если все серверы имен домена зарегистрированы исключительно в доменах верхнего уровня, относящихся к Российской Федерации, мы считаем TLD-зависимость полностью российской. Аналогично предыдущим определениям, если только часть TLD являются российскими, то TLD-зависимость частичнороссийская, а если их нет вообще – то нероссийская.
Рисунок 2. Географическое распределение TLD-зависимости для авторитетных серверов доменных имен .ru и .рф. Full означает, что серверы имен полностью зарегистрированы в доменах РФ. Nonозначает, что они все зарегистрированы вне доменов РФ. Part означает, что в доменах РФ зарегистрирована лишь часть серверов имен.
Рисунок 3. Пять крупнейших TLD, используемых авторитетными серверами имен для доменных имен .ru и .рф. На долю каждого из остальных 265 TLD (не показаны) приходится менее 1%.
На рис. 2 показан исторический тренд TLD-зависимости за время наблюдения. Возможно, это несколько неожиданно, но доля полностью российской TLD-зависимости несколько снижается (чистое уменьшение от максимума до минимума 6,3%), а доля частично российской растет (чистый рост 7,9%). Со временем все больше российских доменов используют серверы имен в нероссийских доменах верхнего уровня, неявно увеличивая свою зависимость от внешней инфраструктуры, которая может попасть под западные санкции. На рис. 3 показано долгосрочное распределение долей различных TLD, в которых зарегистрированы авторитетные серверы российских доменов. Из 270 доменов на рисунке изображены только пять крупнейших. Лидирует в этом списке (что и неудивительно) домен .ru: на него приходится 78,3% всех серверов имен на 25 мая 2022 года. Вторым является домен .com, на который приходится 24,7% российских доменов (чистый рост на 7,5% за пять лет). Дальше по убыванию идут .pro (чья доля выросла с 8,8% до 12,4%), .org (его доля выросла с 8,2% до 9,2%) и .net (его доля снизилась с 9,1% до 7,3%). Ни один из остальных TLD не преодолел однопроцентный барьер (по состоянию на 25 мая).
Тренды TLD-зависимости также изменились с началом конфликта. Доля полностью и частично российской TLD-зависимости доменов (см. рис. 2) очень незначительно увеличилась (соответственно на 0,2% и 0,5%). В результате крошечная доля российских доменов, для которых TLD-зависимость перестала быть нероссийской, стала менее уязвима к потенциальному влиянию Запада. Оставшиеся домены могут стать недоступными, если авторитетные серверы перестанут их обслуживать, или если Россия сама отключит себя от глобального Интернета.
3.2 Недавняя активность
С начала вооружённого конфликта многие российские домены сменили хостинг, но в подавляющем большинстве случаев они «переехали» из одной зарубежной хостинговой сети в другую. На рис. 4 показана статистика по нескольким провайдерским сетям, хостящим доменные имена .ru и .рф. У российских ASN, если рассматривать их в совокупности, клиентская база осталась стабильной, практически не изменившись – все вместе они хостили 38% российских доменов в начале наблюдения и 39% в конце. Еще одна стабильная кривая – это Cloudflare, на который приходится почти 7% российских доменов за весь период. Наблюдается и переток доменов .ru и .рф между тремя крупными провайдерами: сначала российские клиенты спешно выбирают между американским Amazon и германским Sedo, а затем уходят к нидерландскому Serverel. Эта динамика частично была вызвана реакцией бизнеса на конфликт, мы обсудим этот аспект в разделе 3.4.
Рисунок 4. Хостинговые сети доменных имен .ru и .рф (крупнейшие ASN). Для каждой хостинговой сети показана приходящаяся на нее доля российских доменных имен.
Также произошли изменения и в части того, где хостится инфраструктура DNS российских доменов: здесь существенные подвижки начались до введения санкций и продолжились после их введения. В частности, значительные изменения коснулись шведского DNS-провайдера Netnod и RU-CENTER, крупного российского регистратора доменных имен и (бывшего) клиента Netnod. После реконфигурации IP-адресов 3 марта 2022 года Netnod перестал обслуживать 76 тысяч российских доменов, которые быстро переехали из частично российского сегмента по инфраструктуре DNS в полностью российский (рис. 1). В конце марта произошел еще ряд крупных подвижек, связанных с миграцией доменов из сетей Hetzner (Германия) и Linode (США). С другой стороны, у еще одного крупного хостера DNS-инфраструктуры для российских доменов, Cloudflare, изменений с начала конфликта практически нет.
3.3 Санкционные доменные имена
Теперь мы вплотную рассмотрим доменные имена, явно связанные с российскими структурами, подпавшими под санкции США и Великобритании.
Отметим, что тут потенциал каких-то подвижек крайне мал, т.к. 101 из 107 санкционных доменов (94,4%) на 24 февраля 2022 года уже размещались исключительно в российских ASN. К 25 мая 2022 года полностью российскими стали еще три[8], а три оставшихся остались нероссийскими – их хостинг целиком расположен в Германии, Чешской Республике и Эстонии.
Рисунок 5. Распределение геолокации авторитетной инфраструктуры DNS по странам для санкционных российских доменов: полностью в России, частично в России и за рубежом.
Однако инфраструктура имен доменов для этих санкционных доменов претерпела существенные изменения. На рис. 5 показано распределение геолокации авторитетной инфраструктуры DNS для этих доменов в разные периоды времени. Опять же, три цветные кривые показывают полностью российскую, частично российскую и нероссийскую части, а черная кривая – общее количество за день.
На 24 февраля 2022 года 34,0% всех санкционных доменов были частично российскими, а 5,2% – нероссийскими. К 4 марта 2022 года ситуация в корне изменилась: у подавляющего большинства (93,8%) санкционных доменов инфраструктура DNS теперь целиком располагается в России. Отметим, что почти у всех санкционных доменов к 4 марта превратившихся из частично российских в полностью российские, хостером авторитетных серверов имен до релокации в Россию был шведский Netnod.
3.4 Действия провайдеров
Ряд западных провайдеров публично заявили о своих действиях в ответ на возникший конфликт – будь то в качестве добровольного протеста или в соответствии с санкциями. Анализируя наши данные по DNS, мы попробуем определить масштаб и последствия действий, предпринятых четырьмя крупнейшими западными провайдерами.
Amazon: 8 марта 2022 года Amazon заявил, что прекращает регистрацию новых учетных записей AWS для клиентов из России и Беларуси [1]. С этого момента мы видим существенные изменения для доменов .ru и .рф, разрешающихся в ASN компании Amazon (AS16509) – в том числе и появление новых доменов из этих зон, что стало для нас некоторой неожиданностью.
На рис. 6 показана динамика российских доменов, которые на 8 марта 2022 года относились к ASN компании Amazon. К 25 мая 2022 года больше половины этих доменов перебрались в другие ASN – но произошло ли это по инициативе Amazon или по собственному решению клиентов, мы сказать не можем. Чуть меньше половины доменов (43%) осталось в Amazon, но при этом 574 домена из этого числа ранее не существовали и были зарегистрированы только что (данные подтверждены с помощью API Whois Domain от Cisco), а еще 988 переехали в Amazon из других ASN. Появление 1,5 тысяч новых доменных имен .ru и .рф на первый взгляд противоречит заявлениям Amazon, но не исключено, что эти домены принадлежат уже существующим клиентам[9].
Рисунок 6. Динамика российских доменных имен в ASN AS16509 компании Amazon (сравнение 08.03.2022 и 25.05.2022).
Рисунок 7. Динамика российских доменных имен в ASN AS47846 компании Sedo (сравнение 08.03.2022 и 25.05.2022).
Sedo: 9 марта 2022 года в прессе появились сообщения о том, что Sedo «перекрывает кислород» российским доменам [15]. Слова у Sedo не разошлись с делами, хотя «кислород» был перекрыт все-таки не полностью. На рис. 7 видно, что изменения для доменов .ru и .рф в сети Sedo AS47846 были весьма существенными. На 8 марта 2022 года в сеть Sedo (AS47846) разрешалось 164 тысячи доменов .ru и .рф. К 25 мая 2022 160 тысяч доменов (98%) переехали в другие ASN, 2,7 тысячи (1,6%) осталось, а 311 доменов переместились в Sedo извне.
Cloudflare: 7 марта 2022 года Cloudflare опубликовала статью, в которой заявляла о том, что будет соблюдать санкции [18]. Также фирма заявила, что, проконсультировавшись с госорганами и экспертами по гражданскому обществу, она приняла решение не прекращать оказание услуг Cloudflare на территории Российской Федерации. Разрешения доменов подтверждают, что существенных изменений и не произошло. На 7 марта 2022 года в сеть AS13335 разрешалось почти 315 тысяч имен из доменных зон .ru и .рф. На 25 мая 2022 в AS-сети Cloudflare из них осталось 296 тысяч (94% первоначального списка), а также добавились 34 тысячи новых российских доменов. Такая картина коррелирует с заявлением руководителя Cloudflare Мэтью Принса о том, что «России нужно больше доступа к Интернету, а не меньше» [18].
Google: 10 марта 2022 года пресса сообщила, что, по словам представителя Google, компания перестанет принимать новых клиентов из России [11]. О том, как Google поступит с имеющимися облачными клиентами из РФ, представитель умолчал. На 10 марта 2022 в сеть Google (AS15169) разрешалось 17,7 тысячи доменов .ru и .рф. К 25 мая 2022 года 57,1 тысячи доменов (10,1%) переехали в другие ASN, но большинство из них (75,2%) остались в Google, просто перебазировавшись в другую его сеть (AS396982)[10]. За этот период в Google также переехало небольшое количество доменов извне (187) и вновь зарегистрированных доменов (184). Возможно, эти домены, как и в случае Amazon, принадлежат уже существующим клиентам.
Рисунок 8. Временной график выпуска новых сертификатов для доменов .ru и .рф удостоверяющими центрами. Зеленая точка означает, что УЦ выпустил в этот день хотя бы один сертификат.
Таблица 1. Выпуск сертификатов удостоверяющими центрами за три периода 2022 года
| До начала конфликта | До введения санкций | После введения санкций | ||||||
| УЦ | Число серт. | (%) | УЦ | Число серт. | (%) | УЦ | Число серт. | (%) |
| Let’s Encrypt | 6586К | 91,58% | Let’s Encrypt | 3285К | 98,06% | Let’s Encrypt | 5458К | 99,23% |
| DigiCert | 244К | 3,40% | GlobalSign | 25К | 0,76% | GlobalSign | 28К | 0,52% |
| cPanel | 153К | 2,13% | cPanel | 11К | 0,34% | 13К | 0,24% | |
| Прочие УЦ | 207К | 2,89% | Прочие УЦ | 28К | 0,84% | Прочие УЦ | 422 | 0,01% |
Таблица 2. Отзыв сертификатов пятью УЦ, на которые приходится большая часть отзывов
| Домены .ru и .рф | Санкционные домены | |||
| УЦ | Выдано | Отозвано | Выдано | Отозвано |
| Let’s Encrypt | 15 млн | 10К (0,06%) | 16К | 196 (1,19%) |
| DigiCert | 247К | 2,1K (0,80%) | 308 | 308 (100%) |
| GlobalSign | 95К | 1,6K (1,68%) | 905 | 23 (2,54%) |
| Sectigo | 96К | 5,1К (5,15%) | 164 | 164 (100%) |
| ZeroSSL | 56К | 165 (0,30%) | 82 | 2 (2,43%) |
4. ВОЗДЕЙСТВИЕ НА ЭКОСИСТЕМУ WEBPKI
В современной веб-экосистеме сертификаты TLS являются жизненно важными инфраструктурными элементами для обеспечения безопасности доменов. В этом разделе мы рассмотрим реакцию различных удостоверяющих центров (УЦ) на конфликт и санкции в плане выдачи сертификатов российским доменам.
С одной стороны, конфликт и санкции не оказали существенного влияния на число сертификатов, выдаваемых глобальными УЦ российским доменам. За три рассматриваемых периода в 2022 году УЦ выдавали до конфликта в среднем по 130 тысяч сертификатов в день, до введения санкций – по 115 тысяч, после введения санкций – те же 115 тысяч. Однако различные УЦ отреагировали на конфликт очень по-разному, и в этом разделе мы обсудим действия глобальных УЦ, выдающих и отзывающих сертификаты, а также эффект появления нового российского доверенного корневого сертификата.
4.1 Изменения в выдаче сертификатов
Мы использовали журналы прозрачности сертификатов (Certificate Transparency, CT), индексированные Censys [2], чтобы получить сертификаты TLS для доменов .ru и .рф с 1 января 2022 года по 15 мая 2022. Для каждого сертификата мы извлекли фрагмент Issuer Organization из поля Issuer DN, чтобы установить, какой удостоверяющий центр выдал сертификат.
На рис. 8 показаны тренды выдачи новых сертификатов российским доменам для десяти крупнейших УЦ. Зеленая точка означает, что УЦ выпустил в этот день хотя бы один сертификат для домена .ru или .рф. Шесть из десяти крупнейших УЦ, обслуживавших российские домены, после начала конфликта или введения санкций перестали выдавать сертификаты совсем. Оставшиеся три УЦ на сегодняшний момент являются единственными крупными УЦ, обслуживающими домены .ru и .рф. Поскольку УЦ обычно выдают сертификаты с разными значениями CN (Common Name) (так, например, DigiCert использует RapidSSL и GeoTrust), мы подозреваем, что изолированные точки, скорее всего, вызваны тем, что данный УЦ не прекратил выпуск сертификатов под менее известными своими CN.
В таблице 1 показано количество выданных сертификатов за каждый из трех периодов по трем наиболее активным УЦ за соответствующий период. В целом можно сказать, что в результате конфликта выдача сертификатов еще более централизовалась, сосредоточившись в трех УЦ. Let’s Encrypt и до конфликта доминировал на рынке, а после его начала он увеличил свою долю более чем до 99%. До конфликта сертификаты российским доменам выдавало множество УЦ, но после начала боевых войсковых действий сколько-то заметную деятельность в этой сфере ведут только три.
4.2 Отзыв сертификатов
Выдача сертификатов – это лишь одна сторона медали: некоторые УЦ не просто прекратили выдавать сертификаты, но и отозвали все ранее выданные сертификаты у санкционных доменов. Используя списки отзыва сертификатов (CRL) и состояние протокола OCSP (Online Certificate Status Protocol), индексированные Censys, мы подсчитали число отзывов сертификатов для доменов .ru и .рф по всем удостоверяющим центрам после 25 февраля 2022 года.
В таблице 2 приведена статистика выдачи и отзыва сертификатов пятью УЦ, на которые приходится большая часть отзывов. Стоит отметить, что DigiCert и Sectigo отозвали ранее выданные сертификаты у всех санкционных доменов – видимо, чтобы свести к нулю любой риск. Хотя мы не владеем информацией о политиках различных УЦ, можно отметить, что у всех УЦ существенно больше процент отзывов для санкционных доменов по сравнению с общей массой доменов .ru и .рф. Мы также подозреваем, что часть сертификатов могла быть отозвана по инициативе самих санкционных доменов, которые приспосабливались к санкциям, пробуя различные УЦ.
4.3 Сертификат Головного УЦ Минцифры России
Создание Головного удостоверяющего центра в Минцифры России привлекло к себе значительное внимание в момент объявления. Во-первых, это государственный УЦ, во-вторых, он не регистрирует выданные сертификаты в журналах CT, а в-третьих, не является доверенным для большинства браузеров[11]. Для оценки первоначального воздействия российского УЦ мы использовали набор данных CUIDS (Censys Universal Internet Data Set), который выполняет ежедневное сканирование IP по всему Интернету и индексирует все сертификаты TLS, возвращаемые опрошенными IP-адресами[12]. На основе этих результатов мы идентифицировали все сертификаты TLS, содержащие российский УЦ в своей цепочке сертификатов, с момента его учреждения до 15 мая 2022 года.
Сканы сертификатов позволяют выявить два тренда. Во-первых, очень мало сайтов используют сертификаты российского УЦ: в данных CUIDS обнаружилось всего лишь 170 уникальных сертификатов от Минцифры РФ. Для полноты картины заметим, что все остальные УЦ за то же время выпустили более 800 тысяч сертификатов для российских доменов. Хотя эти метрики нельзя сравнивать – выдается сертификатов гораздо больше, чем активно используется – скромное количество активных сертификатов от российского УЦ показывает, что он еще не успел оказать значительного влияния на общую экосистему российского Интернета. Во-вторых, как и ожидалось, все обнаружившиеся сертификаты российского УЦ выданы доменам организаций, связанных с Россией, а большинство из них относится к санкционным доменам. Из 170 сертификатов 130 приходятся на домен .ru, два – на домен .рф, а остальные рассредоточены по связанным с Россией доменам из длинного списка других TLD. По датам выдачи видно, что сертификаты выдавались в течение нескольких недель. Из 170 сертификатов 36 выданы санкционным доменам (34% всего списка санкционных доменов).
5. ДРУГИЕ РАБОТЫ В ЭТОЙ ОБЛАСТИ
Взаимосвязь между коммуникацией в Интернете и политическими интересами государств в последнее время стала важной темой для исследования: от анализа государственной цензуры на глобальном уровне [8, 25] до работ, посвященных цифровым методам борьбы с оппозицией – блокировкам, DoS-атакам и масштабным отключениям доступа в Интернет [3, 10]. Применительно к России, работа Moyakine и др. [14] посвящена принятому в 2015 году контртеррористическому «закону Яровой», налагающему на российских телекоммуникационных провайдеров обширные обязательства по мониторингу клиентов, и его воздействию на коммуникацию в уязвимых группах населения. Работа Epifanova and Dietrich [4] посвящена стремлению РФ к «цифровому суверенитету» – как для контроля над коммуникациями в стране, так и для большей независимости от зарубежных IT-сервисов. Эта цель ясно прослеживается в эмпирических исследованиях Zembruzki и др. [26] и Liu и др. [12], выявивших централизацию служб хостинга и электронной почты у очень маленькой группы западных провайдеров, но обнаруживших, что Россия противостоит этому тренду, демонстрируя сильную централизацию всей своей инфраструктуры. Ramesh и др. [19] анализируют централизованную политику блокировок Роскомнадзора, описывая блокировки контента в России и различие ситуации для индивидуальных и корпоративных заказчиков.
6. ОБСУЖДЕНИЕ
Усилия российского правительства по созданию «суверенного Интернета» включают в себя ряд нормативных требований к провайдерам, включая требование хранить данные о российских гражданах на российской территории, использование контролируемых Россией корневых серверов DNS, а также активное стимулирование в пользу выбора отечественных служб информационных и коммуникационных технологий (ICT) [4]. Возможно, самым ярким примером является (уже апробированная?) способность России жить в условиях отключения страны от глобального Интернета. Таким образом, Россия, вступая в конфликт с Украиной, несомненно, отдавала себе отчет, что Интернет может быть потенциальной уязвимостью, через которую на страну можно осуществлять давление.
В самом деле, мы видим четкие эмпирические подтверждения тому, что такое давление существует: тысячи российских сайтов потеряли доступ к ряду западных провайдеров, например, DNS-хостеру Netnod, хостеру сайтов Sedo, удостоверяющим центрам DigiCert и Sectigo. Однако эти проблемы далеко не судьбоносны. Во-первых, уровень отечественной локализации сервисов в России изначально был очень высок. Еще задолго до начала конфликта подавляющее большинство российских сайтов (70%) хостились полностью на российских сайтах и делегировали службу имен полностью отечественным серверам DNS[13]. Поэтому, пусть мы и наблюдаем изменения в размере нескольких процентов, их эффект по сравнению со всем российским Интернетом незначителен. Во-вторых, те российские сайты, которые пользуются зарубежной инфраструктурой, могут выбирать из множества провайдеров, которые не отказались от российских клиентов – как на территории РФ, так и за рубежом. Поэтому выход крупных западных провайдеров с российского рынка привел лишь к тому, что практически все пострадавшие сайты быстро нашли новых провайдеров. Мало того, мы практически не видим случаев спонтанной или упреждающей релокации в Россию у операторов российских доменов, которых к этому не принудили. В завершение следует отметить, что единственной уязвимой точкой для России является выдача сертификатов. Практически полный контроль Let’s Encrypt над безопасностью в доменах .ru и .рф ошеломляет. Пускай Let’s Encrypt и видит своей миссией бесплатную выдачу сертификатов для всех желающих во имя общественного блага – но это все равно американское учреждение, подчиняющееся американским законам и экспортным ограничениям. Мало того, Россия не предотвратила эту проблему, создав отечественный УЦ с аналогичными возможностями и, что еще важнее, установив доверительные отношения такого УЦ с распространенными браузерами.
7. ЭТИКА
В настоящей статье мы постарались предоставить ситуативный контекст изменений в инфраструктуре доменов .ru и .рф в результате воздействия противоборствующих сил (изнутри и извне России) и идей «киберсуверенитета». Хотя этот тип анализа – идентификация трендов в инфраструктуре – не вызывает этических возражений, мы осознаем, что ситуация вокруг конфликта является весьма деликатной, а влияние санкций на глобальный Интернет может вызывать тревогу. Понимая и признавая эти соображения, мы тем не менее убеждены, что прозрачность поможет их разрешить.
8. БЛАГОДАРНОСТИ
Мы благодарим анонимных рецензентов IMC за содержательную обратную связь и рекомендации. Настоящая работа осуществлена при частичной поддержке проекта ЕС H2020 CONCORDIA (830927), гранта Национального научного фонда США CNS-1705050, кафедры информации и компьютерных наук имени Ирвина Марка и Джоан Клейн Джейкобс в Калифорнийском университете в Сан-Диего, а также при операционной поддержке Центра сетевых систем Калифорнийского университета в Сан-Диего. Настоящее исследование стало возможным благодаря OpenINTEL, совместному проекту Университета Твенте, SURF, SIDN и NLnet Labs.
Ссылки:
[1] Судя по дате, толчком к этому мог послужить шаг DigiCert, отозвавшего TLS-сертификат у банка ВТБ – предположительно, в ответ на включение банка в санкционный список США.
[2] .рф – кириллический национальный домен верхнего уровня Российской Федерации. Международное доменное имя для него – .xn–p1ai.
[3] https://openintel.nl/coverage/
[4] Отметим, что в отношении геолокации на уровне стран имеется небольшая неопределенность, наводящая на мысль, что релокация может «запаздывать» – в частности, когда IP-адрес (или адресное пространство) хостинга или инфраструктуры DNS переносится, а не меняется.
[5] Мы квалифицируем сертификат как «match», если в его поле CN (Common Name) или SAN (Subject Alternative Name) содержится доменное имя в домене верхнего уровня .ru или .рф.
[6] Впоследствии Управление США по контролю над иностранными активами опубликовало 24 апреля 2022 года список исключений для ряда интернет-сервисов [24], но мы не наблюдали заметных изменений в практике выдачи сертификатов в ответ на это изменение политики.
[7] Провал 22 марта 2021 года вызван сбоем в работе измерительного оборудования.
[8] Ранее хостинг этих трех доменов осуществлялся исключительно в Германии или Польше.
[9] Используя API Whois Domain от Cisco, мы нашли сведения о том, на кого зарегистрирована часть этих доменов (около 1/6 от общего количества). Проверив эти имена вручную, мы выяснили, что часть вновь зарегистрированных доменов принадлежит существующим клиентам Amazon, никак не связанным с Россией, и была создана в рамках обычной бизнес-практики или для защиты интеллектуальной собственности (например, Disney зарегистрировала целый ряд доменов с такими именами, как thorloveandthunder.ru или blackpantherwakandaforever.ru).
[10] Используя данные измерений DNS по нероссийским доменным именам, предоставленные OpenINTEL, мы обнаружили, что существенная миграция из сети AS15169 в AS396982 имела место и для имен из других TLD (это случилось примерно 16 марта). Поэтому можно предположить, что эта «внутригугловская» релокация произошла не потому, что 8,5 тысяч (75,2% от общего числа в 10,1 тыс.) затронутых доменов являлись российскими.
[11] Российским гражданам рекомендуется настроить свой браузер на доверие новому УЦ или же использовать браузер, одобренный госорганами.
[12] Поскольку активные сканы сертификатов, скорее всего, являются лишь подмножеством выданных сертификатов, сканы представляют собой нижнюю границу.
[13] Самые ранние из наших данных датированы 2017 годом, поэтому мы ничего не можем сказать о том, является ли такая централизация интернет-сервисов на территории РФ типичной для России за более продолжительный период.
СПИСОК ЛИТЕРАТУРЫ
[1] Amazon. 2022. Updates to Amazon’s retail, entertainment, and AWS businesses in Russia and Belarus. https://www.aboutamazon.com/news/aws/updates-to-amazons-retail-entertainment-and-aws-businesses-in-russia-and-belarus aboutamazon (март 2022 г.) Дата обращения: май 2022 г.
[2] Censys. 2022. Censys Bulk Data Access. https://censys.io/data.
[3] Alberto Dainotti, Claudio Squarcella, Emile Aben, Kimberly C. Claffy, Marco Chiesa, Michele Russo, and Antonio Pescapé. 2014. Analysis of Country-Wide Internet Outages Caused by Censorship. IEEE/ACM Transactions on Networking 22, 6 (декабрь 2014 г.), 1964–1977.
[4] Alena Epifanova and Philipp Dietrich. 2022. Russia’s Quest for Digital Sovereignty: Ambitions, Realities and Its Place in the World. German Council on Foreign Relations 1 (2022).
[5] Mykhailo Fedorov. 2022. Letter to Goran Marby, President and CEO of ICANN. https://eump.org/media/2022/Goran-Marby.pdf. Дата обращения: июнь 2022 г.
[6] GoDaddy. 2022. How GoDaddy is Supporting Ukrainian Customers. https://aboutus.godaddy.net/newsroom/company-news/news- details/2022/How-GoDaddy-is-Supporting-Ukrainian -Customers/default.aspx. Дата обращения: май 2022 г.
[7] UK Government. 2020. The UK Sanctions List. https://www.gov.uk/government/ publications/the-uk-sanctions-list. Дата обращения: 14.04.2022.
[8] James Griffiths. 2021. The great firewall of China: How to build and control an alternative version of the internet. Bloomsbury Publishing.
[9] IP2Location. n.d. IP2Location IP Address Geolocation Database. https://www. ip2location.com/database/ip2location/. Дата обращения: май 2022 г.
[10] Lukas Kawerau, Nils B. Weidmann, and Alberto Dainotti. 2022. Attack or Block? Repertoires of Digital Censorship in Autocracies. Journal of Information Technology & Politics 0, 0 (2022), 1–14. https://doi.org/10.1080/19331681.2022.2037118
[11] Rebecca Klar. 2022. Google Cloud to stop accepting new customers in Russia. https://www.msn.com/en-us/news/politics/google-cloud-to-stop-accepting- new-customers-in-russia/ar-AAUTGK4. msn (2022). Датаобращения: май 2022 г.
[12] Enze Liu, Gautam Akiwate, Mattijs Jonker, Ariana Mirian, Stefan Savage, and Geoffrey M. Voelker. 2021. Who’s Got Your Mail? Characterizing Mail Service Provider Usage. В составе сборника: Proceedings of the 21st ACM Internet Measurement Conference (Virtual Event) (IMC ’21). Association for Computing Machinery, New York, NY, USA, 122–136.
[13] Ron Miller. 2022. Amazon, Microsoft and Google Have Suspended Cloud Sales in Russia. https://techcrunch.com/2022/03/10/amazon-microsoft-and-google-have- suspended-cloud-sales-in-russia. TechCrunch (2022). Дата обращения: май 2022 г.
[14] E. Moyakine and A. Tabachnik. 2021. Struggling to strike the right balance between interests at stake: The ‘Yarovaya’, ‘Fake news’ and ‘Disrespect’ laws as examples of ill-conceived legislation in the age of modern technology. Computer Law & Security Review 40 (2021), 105512.
[15] Kevin Murphy. 2022. Now Sedo Pulls the Plug on Russians. https://domainincite.com/27630-now-sedo-pulls-the-plug-on-russians. 2022. Дата обращения: май 2022 г.
[16] Yale School of Management. 2022. Almost 1,000 Companies Have Curtailed Operations in Russia — But Some Remain. https://som.yale.edu/story/2022/almost- 1000-companies-have -curtailed-operations-russia-some-remain. Дата обращения: май 2022 г.
[17] US Department of Treasury. 2022. Specially Designated Nationals And Blocked Persons List (SDN) Human Readable Lists. https://home.treasury.gov/policy- issues/financial-sanctions/specially- designated-nationals-and-blocked-persons- list-sdn-human-readable-lists. Дата обращения: 14.04.
[18] Matthew Prince. 2022. Steps We’ve Taken Around Cloudflare’s Services in Ukraine, Belarus and Russia. https://blog.cloudflare.com/steps-taken-around-cloudflares-services-in-ukraine-belarus-and-russia/. Дата обращения: май 2022 г.
[19] Reethika Ramesh, Ram Sundara Raman, Matthew Bernhard, Victor Ongkowijaya, Leonid Evdokimov, Anne Edmundson, Steven Sprecher, Muhammad Ikram, and Roya Ensafi. 2020. Decentralized Control: A Case Study of Russia. В составе сборника: Network and Distributed System Security. The Internet Society. https://www.ndss-symposium.org/wp-content/uploads/2020/02/23098.pdf
[20] Reuters. 2022. U.S. firm Cogent cutting internet service to Russia. https://www.reuters.com/technology/us-firm-cogent- cutting-internet-service-russia-2022-03-04/. Дата обращения: май 2022 г.
[21] Roland van Rijswijk-Deij, Mattijs Jonker, Anna Sperotto, and Aiko Pras. 2016. A High-Performance, Scalable Infrastructure for Large-Scale Active DNS Measurements. IEEE journal on selected areas in communications (JSAC) 34, 6 (июнь 2016 г.), 1877–1888. https://doi.org/10.1109/JSAC.2016.2558918
[22] RU-Center. 2022. Recommended SSL certificates. https://www.nic.ru/en/catalog/ssl/recommended-ssl. Дата обращения: 14.05.
[23] Юлия Тишина, Анастасия Гаврилюк, Венера Петрова, Никита Королев. 2022. Власти изолируют сети. https://www.kommersant.ru/doc/5249500. «Коммерсант» (2022). Дата обращения: май 2022 г.
[24] Department Of The Treasury. 2022. GENERAL LICENSE NO. 25 Authorizing Transactions Related to Telecommunications and Certain Internet-Based Communications. https://home.treasury.gov/system/files/126/russia_gl25.pdf.
[25] Barney Warf. 2011. Geographies of global Internet censorship. GeoJournal 76, 1 (2011), 1–23.
[26] Luciano Zembruzki, Raffaele Sommese, Lisandro Zambenedetti Granville, Arthur Selle Jacobs, Mattijs Jonker, and Giovane C. M. Moura. 2022. Hosting Industry Centralization and Consolidation. В составе сборника: NOMS 2022-2022 IEEE/IFIP Network Operations and Management Symposium. IEEE, 1–9.