Estoy tratando de averiguar si tengo TLD extranjeros y están alojados en un servidor que está en mi propio país, el país anfitrión de TLD puede detener o restringir el acceso a la URL
La respuesta corta es sí (pero no piense solo en las URL, es decir, en la web, sino en cualquier tipo de servicios, como correo electrónico, VOIP, etc.)
Aquí es por qué. La raíz DNS de la IANA delega cada TLD en algunos registros. Los gTLD son delegados por registros bajo contrato con la ICANN y los registros de ccTLD se delegan a gobiernos de países relevantes, que cada uno decide técnicamente cómo se administra el ccTLD (hay muchos modelos: a veces todavía lo administra el propio gobierno, a veces es externaliza a una organización sin fines de lucro y, a veces, solo se licita para obtener la mejor oferta, incluidas las empresas).
Estos registros administran servidores de nombres en los que luego se delega cada dominio registrado bajo el TLD, a través de registros NS.
Dicho de otra manera, sin ningún caché, cada acceso a un nombre de dominio en un TLD, para su resolución, en algún momento llega al servidor de nombres del TLD. Por lo tanto, teóricamente podrían responder cualquier cosa y reenviar su dominio a cualquier otra cosa.
Esto está restringido porque el DNS tiene una memoria caché, por lo que el servidor de nombres de TLD no se consultará en cada resolución, solo por algún tiempo.
Este proceso se ve fácilmente mediante el uso dns +trace
, como:
dig www.openstreetmap.fr +trace @1.1.1.1 +nodnssec
; <<>> DiG 9.10.3-P4-Ubuntu <<>> www.openstreetmap.fr +trace @1.1.1.1 +nodnssec
;; global options: +cmd
. 6313 IN NS a.root-servers.net.
. 6313 IN NS b.root-servers.net.
. 6313 IN NS c.root-servers.net.
. 6313 IN NS d.root-servers.net.
. 6313 IN NS e.root-servers.net.
. 6313 IN NS f.root-servers.net.
. 6313 IN NS g.root-servers.net.
. 6313 IN NS h.root-servers.net.
. 6313 IN NS i.root-servers.net.
. 6313 IN NS j.root-servers.net.
. 6313 IN NS k.root-servers.net.
. 6313 IN NS l.root-servers.net.
. 6313 IN NS m.root-servers.net.
;; Received 431 bytes from 1.1.1.1#53(1.1.1.1) in 64 ms
fr. 172800 IN NS f.ext.nic.fr.
fr. 172800 IN NS d.ext.nic.fr.
fr. 172800 IN NS g.ext.nic.fr.
fr. 172800 IN NS e.ext.nic.fr.
fr. 172800 IN NS d.nic.fr.
;; Received 357 bytes from 192.33.4.12#53(c.root-servers.net) in 62 ms
openstreetmap.fr. 172800 IN NS a.dns.gandi.net.
openstreetmap.fr. 172800 IN NS c.dns.gandi.net.
openstreetmap.fr. 172800 IN NS b.dns.gandi.net.
;; Received 110 bytes from 194.0.36.1#53(g.ext.nic.fr) in 68 ms
www.openstreetmap.fr. 10800 IN CNAME osm146.openstreetmap.fr.
osm146.openstreetmap.fr. 10800 IN A 217.182.186.67
openstreetmap.fr. 10800 IN NS b.dns.gandi.net.
openstreetmap.fr. 10800 IN NS a.dns.gandi.net.
openstreetmap.fr. 10800 IN NS c.dns.gandi.net.
;; Received 147 bytes from 217.70.179.1#53(c.dns.gandi.net) in 81 ms
Puede ver cada paso de manera recursiva, a la izquierda la etiqueta (raíz, luego el TLD, luego el dominio, luego el nombre de host final) y a la derecha en los NS
registros los servidores de nombres autorizados en cada paso, primero los IANA para la raíz, luego los para el TLD, luego el del nombre de dominio.
En cada paso, un servidor de nombres puede mentir y proporcionar una respuesta falsa, como cualquier elemento activo en la ruta podría cambiar la consulta o la respuesta. DNSSEC proporciona algunas protecciones contra esto, pero primero no todos los dominios están protegidos con DNSSEC (muy pocos de hecho), y luego eso no podría resolver un TLD "falso".
Esta es la parte técnica. Sus otras preguntas son más un problema político. Pero tenga en cuenta que por estas mismas razones, algunos países decidieron, o al menos anunciaron, que quieren operar su propia raíz DNS. La razón es que la raíz actual está bajo la supervisión de los EE. UU. (Que es un punto complicado que podría discutirse sin fin, por lo que no desarrollaré ese punto específico aquí y ahora), y algunos países temen que los EE. UU. Puedan "censurar" un TLD de esa manera , especialmente en algunos países que el gobierno de los Estados Unidos considera enemigos. Sin embargo, muchos actores creen que si esto alguna vez ocurriera algún día, sería metafóricamente al mismo nivel que un ataque nuclear y fragmentaría Internet de una manera que nunca se volvería a unir.
Tenga en cuenta, por ejemplo, este caso: algunos demandantes demandaron para obtener indemnizaciones por víctimas después del ataque terrorista y exigieron (pero esto fue rechazado) para que obtuviera el control de los ccTLD que consideraban como la fuente del terrorismo. Vea este artículo para alguna parte de esta historia: " Matar .IR para compensar a las víctimas terroristas: ¿OIG al rescate? "
El otro punto importante que también debe entender primero es que tan pronto como compre un nombre de dominio en cualquier TLD, estará sujeto (incluso si no lo lee cuando debería) a las regulaciones de ese TLD, que dictan los requisitos de elegibilidad y cualquier otras restricciones con respecto al registro y mantenimiento de un nombre de dominio. Para los ccTLD, esto incluye específicamente cumplir con las leyes del país. Y dado que algunos ccTLD se comercializan como buenos TLD para juegos de nombres de dominio, algunas personas no se dan cuenta de esto. Por ejemplo, la tendencia en un momento estaba en .LY
marcha, y por más divertido que quiera mirarlo para hacer un buen nombre de dominio, este sigue siendo el ccTLD del país "Lybia" y, por lo tanto, debe seguir sus leyes y la Sharia. Algunas compañías perdieron o arriesgaron perder su nombre de dominio por estas mismas razones. Ver por ejemplo:Problemas en tierra de dominio inteligente: Bit.ly y otros corren el riesgo de perderlos Swift.ly "o" El cierre del dominio libio no es una amenaza, insiste bit.ly "
Dado que estamos .LY
hablando y habló sobre guerras, estos artículos podrían darle una idea retrospectiva de lo que las guerras pueden hacer a los nombres de dominio (TLD) o simplemente luchan por los controles:
Pero también comente que pueden ocurrir cambios drásticos en los ccTLD, incluso sin guerras. Este es un ejemplo (in) famoso: " La historia del dominio de nivel superior nacional eslovaco robado .SK "
Volvamos a sus preguntas específicas, pero tenga en cuenta que implican parte de respuestas subjetivas.
¿Es físicamente posible que un país pueda restringir o prohibir el acceso a sus TLD específicos desde algunos o todos los demás países? (por ejemplo, EE. UU. y Rusia en guerra, ¿es físicamente posible impedir que Rusia acceda a sus .us TLD?)
Sí, técnicamente podría imaginarse que los .US
servidores de nombres niegan responder a solicitudes provenientes de lugares geográficos específicos del mundo. Sin embargo, esto estaría lejos del 100% por muchas razones: la geolocalización de IP no es una ciencia difícil con 100% de confiabilidad, el DNS tiene cachés, es fácil usar una VPN, cualquiera (incluidas las personas de los países afectados) podría usar un resolutor abierto , como Google Public DNS o CloudFlare one o Quad9 one (de hecho, esto se usó en el pasado para contrarrestar la censura estatal, ver por ejemplo: " Google DNS Freedom Fight: 8.8.8.8 "), etc.
¿Es probable que los TLD estén restringidos o prohibidos de alguna manera? ¿Conseguiría alguna ventaja para algún país hacer esto? (por ejemplo, Reino Unido y EE. UU. en guerra, ¿tendría alguna ventaja para EE. UU. prohibir que el Reino Unido acceda a sus .uk TLD?)
Como se escribió anteriormente, técnicamente la raíz de IANA enumera el TLD activo hoy. Técnicamente, esto podría cambiar, y lo hace, pero bajo procesos específicos, como la ronda de nuevos gTLD de ICANN en 2012. En cuanto a los cambios en los ccTLD (dado que los países pueden decidir cambiar varios detalles sobre su TLD, incluido el gerente técnico), deben seguir " Delegar o transferir un dominio de nivel superior de código de país (ccTLD) ".
Ahora, además de la parte técnica, hay "política" en el sentido genérico:
- Actualmente, la IANA es más una "función" que una estructura. La estructura es PTI (Public Technical Identifiers) que actualmente está afiliada a ICANN. Ver https://www.iana.org/about para más detalles.
- ICANN es una organización sin fines de lucro, incorporada en California, EE. UU. Recientemente se produjo una serie de cambios profundos, luego de la presión de muchos gobiernos extranjeros para que pueda verse como más "internacional" y menos bajo control directo del gobierno de los Estados Unidos, como sucedió en el pasado (ver el infame fiasco en torno a la
.XXX
delegación) . Ahora ya no existe un contrato específico entre ICANN y el gobierno de los EE. UU. Específicamente para las funciones de la IANA.
- el operador técnico del servidor de nombres raíz A, que es el maestro de todos, del cual el servidor de nombres raíz es "puramente" una copia es administrada por VeriSign, una compañía estadounidense bajo contrato directo del gobierno de los Estados Unidos.
¿Algún país restringiría a su propio país el acceso a los TLD de otros países? (por ejemplo, Reino Unido en guerra con Rusia, ¿tendría el Reino Unido alguna razón para prohibir el acceso a sitios web rusos?)
Esta es una forma de censura de DNS y se dirige más a los servidores de nombres recursivos que a los autorizados. Sí, los países pueden ordenar a los operadores locales que prohíban el acceso (más precisamente: resolución) a algunos sitios web específicos. Esto sucede en todas partes: EE. UU., Alemania, Francia, China, Australia, etc. (para ser sincero, no estoy seguro de que pueda encontrar muchos países sin ninguna censura como esa) por varias razones basadas en la política local y porque algunos sitios web se consideran ilegales para ser consultados desde un país determinado.
Pero como cualquier forma de censura, puede ser evadida por mecanismos más o menos complicados. Al igual que en los ejemplos anteriores, cuando en algunos países se prohibió a los servidores de nombres recursivos locales resolver algunos nombres de pila, la gente escribió 8.8.8.8
(dirección IPv4 de Google Public DNS Resolver) para que cualquiera pudiera reconfigurar su sistema para usarlo en lugar del local (mentira ) DNS resolver, ya que, obviamente, el país dado no podría imponer a Google que cambie sus respuestas para algunas de las consultas. En otros casos en el pasado, donde incluso Internet como transporte se interrumpió, algunos ISP en otros países proporcionaron líneas telefónicas conectadas a módems a las que puede marcar para volver a acceder a Internet, incluso si todas las FAI locales se cerraron.
Actualmente, la censura de DNS es más frecuente sobre algunos nombres de dominio específicos, en múltiples TLD, pero la base sería exactamente la misma para censurar un TLD completo.
Este artículo técnico podría brindarle muchas retrospectivas sobre cómo se hace y cómo se elude: " La censura de DNS (mentiras de DNS) según lo visto por RIPE Atlas "
Este único punto de censura de DNS / Internet podría ampliarse de muchas maneras para detallar todo lo que sucedió en el pasado, pero espero que los puntos anteriores ya le den ideas sobre lo que es técnicamente posible y cómo encaja esto en todo el marco político / de gobierno.
.eu
dominios de propiedad del Reino Unido ya no se permitirán debido al Brexit y aparentemente se cerrarán: dot-eu-is-going.uk