J'essaie de savoir ce qui pourrait se produire et ce qui risque de se passer - je suis basé au Royaume-Uni et possède ses propres domaines, ainsi que des domaines étrangers tels que les TLD russes et américains, par exemple: domain.co.uk, domain .ru, domain.us.
Je ne comprends pas bien le fonctionnement du DNS, mais ce que j'essaie de savoir, c'est que si je possède des TLD étrangers et qu'ils sont hébergés sur un serveur de mon propre pays, l'accès à l'URL peut-il être arrêté ou restreint par pays hôte du TLD, et si cela est possible, existe-t-il une probabilité que cela se produise advenant leur implication dans une guerre ou une rupture politique majeure entre les pays?
J'essaie de savoir si je possède des TLD étrangers et qu'ils sont hébergés sur un serveur de mon propre pays. L'accès à l'URL peut-il être bloqué ou restreint par le pays hôte du TLD
La réponse courte est oui (mais s'il vous plaît, ne pensez pas seulement aux URL, c'est le Web, mais à tout type de services, comme le courrier électronique, la VOIP, etc.)
Voici pourquoi. La racine DNS IANA délègue chaque TLD à certains registres. Les gTLD sont délégués par des registres sous contrat avec l'ICANN et les ccTLD sont délégués aux gouvernements des pays concernés, qui décident techniquement de la gestion technique des ccTLD (il existe de nombreux modèles: parfois, il est toujours géré par le gouvernement lui-même, parfois sous-traitance à une organisation à but non lucratif et parfois, il est simplement mis sous appel d'offres pour la meilleure offre, y compris les entreprises).
Ces registres gèrent des serveurs de noms dans lesquels chacun des domaines enregistrés dans le TLD est délégué, par le biais de NS enregistrements.
Autrement dit, sans cache, chaque accès à un nom de domaine dans un TLD, pour sa résolution, parvient à un moment donné au serveur de noms du TLD. Par conséquent, ils pourraient théoriquement répondre à n'importe quoi et faire suivre votre domaine à autre chose.
Ceci est contraint parce que le DNS a un cache, donc le serveur de noms TLD ne sera pas interrogé à chaque résolution, seulement pendant un certain temps.
Ce processus est facilement visible en utilisant dns +trace
, tel que:
Dig www.openstreetmap.fr +trace @1.1.1.1 +nodnssec
; <<>> Dig 9.10.3-P4-Ubuntu <<>> www.openstreetmap.fr +trace @1.1.1.1 +nodnssec
;; global options: +cmd
. 6313 IN NS a.root-servers.net.
. 6313 IN NS b.root-servers.net.
. 6313 IN NS c.root-servers.net.
. 6313 IN NS d.root-servers.net.
. 6313 IN NS e.root-servers.net.
. 6313 IN NS f.root-servers.net.
. 6313 IN NS g.root-servers.net.
. 6313 IN NS h.root-servers.net.
. 6313 IN NS i.root-servers.net.
. 6313 IN NS j.root-servers.net.
. 6313 IN NS k.root-servers.net.
. 6313 IN NS l.root-servers.net.
. 6313 IN NS m.root-servers.net.
;; Received 431 bytes from 1.1.1.1#53(1.1.1.1) in 64 ms
fr. 172800 IN NS f.ext.nic.fr.
fr. 172800 IN NS d.ext.nic.fr.
fr. 172800 IN NS g.ext.nic.fr.
fr. 172800 IN NS e.ext.nic.fr.
fr. 172800 IN NS d.nic.fr.
;; Received 357 bytes from 192.33.4.12#53(c.root-servers.net) in 62 ms
openstreetmap.fr. 172800 IN NS a.dns.gandi.net.
openstreetmap.fr. 172800 IN NS c.dns.gandi.net.
openstreetmap.fr. 172800 IN NS b.dns.gandi.net.
;; Received 110 bytes from 194.0.36.1#53(g.ext.nic.fr) in 68 ms
www.openstreetmap.fr. 10800 IN CNAME osm146.openstreetmap.fr.
osm146.openstreetmap.fr. 10800 IN A 217.182.186.67
openstreetmap.fr. 10800 IN NS b.dns.gandi.net.
openstreetmap.fr. 10800 IN NS a.dns.gandi.net.
openstreetmap.fr. 10800 IN NS c.dns.gandi.net.
;; Received 147 bytes from 217.70.179.1#53(c.dns.gandi.net) in 81 ms
Vous pouvez voir chaque étape de manière récursive, à gauche de l'étiquette (racine, puis TLD, puis domaine, puis nom d'hôte final) et à droite dans NS
enregistre les serveurs de noms faisant autorité à chaque étape, d'abord ceux de l'IANA pour la racine, puis celles du TLD, puis celle du nom de domaine.
À chaque étape, un serveur de noms peut mentir et fournir une fausse réponse, comme tous les éléments actifs du chemin peuvent modifier la requête ou la réponse. DNSSEC fournit certaines protections contre cela, mais d’abord tous les domaines ne sont pas protégés avec DNSSEC (très peu d’entre eux en fait), ce qui ne pourrait pas résoudre un TLD «non autorisé».
C'est la partie technique. Vos autres questions sont plus un problème politique. Mais notez que pour ces mêmes raisons exactes, certains pays ont décidé, ou du moins annoncé, qu’ils souhaitaient exploiter leur propre racine DNS. La raison en est que la racine actuelle est sous la supervision des États-Unis (ce qui est un point compliqué qui pourrait être discuté sans fin, je ne développerai donc pas ce point spécifique ici et maintenant), et certains pays craignent que les États-Unis ne puissent "censurer" un TLD de cette façon. , en particulier certains pays considérés comme des ennemis par le gouvernement américain. Cependant, de nombreux acteurs pensent que si cela se produisait un jour, ce serait métaphoriquement au même niveau qu’un attentat nucléaire et fragmenterait Internet de manière irréversible.
Notons par exemple le cas suivant: des plaignants ont intenté une action en justice pour obtenir des indemnités après un attentat terroriste et ont exigé (mais cela leur a été refusé) qu'ils obtiennent le contrôle de nouveaux ccTLD qu’ils considéraient être la source du terrorisme. Voir cet article pour une partie de cette histoire: " Tuer .IR pour indemniser les victimes terroristes: les OIG à la rescousse? "
L’autre point important à comprendre également est que dès que vous achetez un nom de domaine dans un TLD, vous êtes lié (même si vous ne le lisez pas au moment opportun) par la réglementation de ce TLD, qui dicter les conditions d'éligibilité et toute autre contrainte relative à l'enregistrement et à la conservation d'un nom de domaine. Pour les ccTLD, cela implique notamment de respecter les lois du pays. Et comme certains ccTLD sont commercialisés sous le nom de Nice TLD pour les jeux de noms de domaine, certaines personnes ne le réalisent pas. Par exemple, la tendance à un moment donné était sur .LY
, et aussi drôle que vous vouliez le faire pour faire un nom de domaine Nice, il s’agit toujours du ccTLD du pays "Lybia" et vous devez donc suivre ses lois et la charia. Certaines entreprises ont perdu ou risqué de perdre leur nom de domaine pour ces mêmes raisons. Voir par exemple: " Problème dans un domaine de domaine intelligent: Bit.ly et d’autres risquent de perdre leur cause Swift.ly " ou " La fermeture du domaine libyen ne menace pas, insiste bit.ly "
Puisque nous sommes sur .LY
et que vous avez parlé de guerres, ces articles pourraient vous donner un aperçu de ce que les guerres peuvent faire pour les noms de domaine (TLD) ou simplement pour lutter contre les contrôles:
Mais remarquez aussi que des changements drastiques peuvent arriver aux ccTLD, même sans guerre. C’est un exemple (en) célèbre: " L’histoire du domaine de premier niveau national slovaque volé .SK "
Revenons à vos questions spécifiques, mais notons qu'elles impliquent une partie de réponses subjectives.
Est-il physiquement possible qu'un pays puisse restreindre ou interdire l'accès à son TLD spécifique à partir de certains ou de tous les autres pays? (par exemple, les États-Unis et la Russie en guerre, est-il physiquement possible d'empêcher la Russie d'accéder à leurs TLD .us?)
Oui, techniquement, vous pourriez imaginer que les serveurs de noms .US
refusent de répondre aux demandes provenant d’un lieu géographique donné dans le monde. Cependant, cela serait loin d’être à 100% pour de nombreuses raisons: la géolocalisation IP n’est pas une science dure avec une fiabilité à 100%, le DNS a des caches, il est facile d’utiliser un VPN, tout le monde (y compris les personnes des pays affectés) pourrait utiliser un résolveur ouvert , tels que Google Public DNS ou CloudFlare one ou Quad9 one (en fait, cela était utilisé dans le passé pour contrer la censure des États, voir par exemple: " Google DNS Freedom Fight: 8.8.8.8 "), etc.
Est-il probable que le TLD soit restreint ou interdit de quelque manière que ce soit? Cela donnerait-il un avantage à un pays quelconque? (Par exemple, le Royaume-Uni et les États-Unis en guerre auraient-ils un avantage à interdire au Royaume-Uni d'accéder à leur TLD .uk?)
Comme indiqué ci-dessus, techniquement, la racine IANA répertorie le TLD actif aujourd'hui. Techniquement, cela pourrait changer, et cela change, mais sous des processus spécifiques, tels que les nouveaux gTLD de l'ICANN en 2012. En ce qui concerne les modifications des ccTLD (les pays pouvant décider de modifier divers détails de leur TLD, y compris le responsable technique), ils doivent suivre: " Délégation ou transfert d'un domaine de premier niveau avec code de pays (ccTLD) ".
Outre la partie technique, il y a "politique" au sens générique:
.XXX
). Maintenant, il n'y a plus de contrat spécifique entre l'ICANN et le gouvernement américain spécifiquement pour les fonctions IANA.Est-ce qu'un pays empêcherait son propre pays d'accéder aux TLD d'autres pays? (Par exemple, le Royaume-Uni en guerre contre la Russie aurait-il une raison d'interdire l'accès aux sites Web russes?)
Il s’agit d’une forme de censure DNS qui cible davantage les serveurs de noms récursifs que les serveurs faisant autorité. Oui, les pays peuvent ordonner aux opérateurs locaux d'interdire l'accès (plus précisément: résolution) à certains sites Web spécifiques. Cela se produit partout: aux États-Unis, en Allemagne, en France, en Chine, en Australie, etc. (pour être honnête, je ne suis pas sûr que l'on puisse trouver beaucoup de pays sans aucune censure de ce type) pour diverses raisons, fondées sur la politique locale et sur certains sites Web. sont considérés illégaux pour être consultés à partir d'un pays donné.
Mais comme toute forme de censure, elle peut être évitée par des mécanismes plus ou moins compliqués. Comme dans les exemples ci-dessus, lorsque dans certains pays, les serveurs de noms locaux récursifs ont été interdits pour résoudre certains noms, les utilisateurs ont écrit 8.8.8.8
(adresse IPv4 de Google Public DNS Resolver) afin que tout le monde puisse reconfigurer son système afin de l'utiliser à la place du système local ( résolvant DNS, car, de toute évidence, le pays en question ne pouvait pas imposer à Google de modifier ses réponses pour certaines des requêtes. Dans d’autres cas, par le passé, où même le transport Internet était perturbé, certains FAI d’autres pays fournissaient des lignes téléphoniques connectées à des modems vers lesquels vous pouviez appeler pour obtenir un nouvel accès à Internet, même si toutes les FAI locales étaient arrêtées.
La censure du DNS concerne actuellement plus souvent certains noms de domaine spécifiques, dans plusieurs TLD, mais la base serait exactement la même pour censurer tout un TLD.
Cet article technique pourrait vous donner beaucoup de recul sur la manière dont cela est fait et comment le contourner: " Censure DNS (mensonges DNS) comme vu par RIPE Atlas "
Ce seul point de la censure DNS/Internet pourrait être étendu de nombreuses manières pour détailler tout ce qui s’est passé dans le passé, mais j’espère que les points précédents vous donnent déjà une idée de ce qui est techniquement possible et de la manière dont cela s’intègre dans le cadre politique/de gouvernance.
C'est une question intéressante. Il est possible pour un pays de refuser l'accès aux sous-domaines de leurs ccTLD? Oui. Est-il probable, même à distance, qu'ils le fassent? Non.
Si une personne navigue vers vos adresses domain.ru, leurs résolveurs iront finalement vers les serveurs de noms pour le ccTLD .ru et demanderont «où sont les serveurs de noms pour domain.ru?
Selon les normes internationales, DNS est un protocole équitable, ce qui signifie que chaque question reçoit une réponse. Il est possible que les serveurs .ru TLD disent «aha! cette adresse IP provient du Royaume-Uni et nous ne leur dirons pas où se trouve le serveur de noms domain.ru ', mais cela ne leur donnerait rien à redire.
En fin de compte, la direction pour tout est contrôlée par les serveurs racine. Ce sont 13 serveurs racine indépendants, exploités par 12 organisations indépendantes, qui travaillent ensemble pour maintenir un accès égal au DNS. Si cela se produisait réellement, les serveurs racine, en collaboration avec les organismes de normalisation internationaux, pourraient littéralement remplacer les serveurs russes par quelqu'un d'autre. C’est-à-dire que, au lieu de dire «allez trouver le .ru en Russie», ils pourraient dire «allez trouver le .ru ici en Ukraine».
Bien que possible, cela va à l’encontre de tous les comportements internationaux et est extrêmement improbable.
modifié: modifiez le libellé pour clarifier non pas 13 organisations indépendantes, mais 13 serveurs racine.
J'essaie de savoir si je possède des TLD étrangers et qu'ils sont hébergés sur un serveur qui se trouve dans mon propre pays. L'accès à l'URL peut-il être bloqué ou restreint par le pays hôte du TLD? Si cela est possible, Y a-t-il une probabilité que cela se produise en cas de conflit ou de conflit politique majeur entre les pays?
C’est possible et c’est déjà arrivé sans guerre.
La Chine possède le TLD .cn. Il était ouvert sur le monde. Si le gouvernement chinois souhaite supprimer un domaine .cn parce qu’il n’aime pas le contenu, il peut modifier l’enregistrement DNS de ce domaine .cn.
Cependant, ce n’était pas un moyen idéal pour le gouvernement chinois de le gérer, car qui sait quel contenu est servi à partir du domaine .cn. Ainsi, un jour, le gouvernement a décidé que tous les domaines .cn devaient pointer physiquement vers des adresses IP en Chine. (Si vous possédiez un domaine .cn pointant vers une adresse IP hors de Chine à ce moment-là, ils vous ont donné le temps de migrer ou de fermer votre domaine.)
En obligeant les gens à héberger physiquement des domaines .cn en Chine, le gouvernement chinois peut examiner les services fournis par chaque domaine et le contenu de chaque domaine. Cela pourrait même obliger les utilisateurs à installer une porte dérobée sur leurs serveurs, ce qui obligerait tout serveur à être placé dans un centre de données. (Il a essayé cette idée pendant un moment.)