Nebezpečí alternativních DNS stromů

Protože komentáře nebyly vždy k věci, zkusme se podívat, v čem je systém alternativních doménových stromů životně nebezpečný pro Internet. Na začátek si dovolím jeden příměr – Internet je tak silný a všeobjímající, protože existuje jednoznačné určení adres (a to jak pro počítače – ve formě IP adresy, tak pro lidi – ve formě doménových jmen). Můžeme se dohadovat o tom, kdo má přidělovat IP(v6) adresy nebo kdo má mít pod kontrolou doménový strom, ale faktem je, že by takový subjekt měl být jen jeden.

Další důležitou vlastností Internetu je jeho technologický základ. Zatímco se politici USA, Číny a Íránu hádají o tom, zda by měl být Internet ve správě USA nebo OSN nebo ITU, zasedání IETF (a ruch v konferencích) připomíná stavbu babylónské věže (naštěstí se všichni shodli na komunikaci v angličtině). Hlavním imperativem je kooperace a technologická neutralita.

Existují tři módy, ve kterých pracují alternativní DNS stromy.

Prvním je nová TLD (top level domain), která je nezávislá na kořenových doménových serverech. Příkladem může být funkční doména .czf (používaná v síti CZFree.Net) nebo doména .exe (kterou propagoval webzine Netmag). Tento mód internetovou infrastrukturu nejméně poškozuje – tedy do doby, než nezávislá doména začne kolidovat s nějakou novou doménou hlavního doménového stromu.

Druhým módem je doména zcela nezávislá na provozu současného stromu. Na straně uživatelů je nutné staticky vybrat příslušný strom (a v případě výběru alternativního se odříznout od současného).

Třetí mód prezentuje řešení UnifiedRoot, které je založeno na tom, že UnifiedRoot bere do úvahy hlavní doménový strom jako podmnožinu svého. To znamená, že při nastavení systému UnifiedRoot uživatelé získají možnost přístupu i do hlavního doménového stromu. Je také pravda, že UnifiedRoot může přizpůsobovat záznamy ve svém stromě tak, aby byl zajištěn korektní provoz hlavního stromu (ICANN (Internet Corporation for Assigned Names and Numbers) oznamuje spouštění nových TLD s dostatečným předstihem).

Nebezpečí všech výše uvedených aktivit lze shrnout do dvou oblastí. První je formální a druhá je technická.

Na straně formální jde o otázku provozovatele. Chápu, že někteří lidé federální vládu USA skutečně „nemusí“, na druhou stranu je tu třicet let provozu Internetu bez velkých problémů. Společnost UnifiedRoot je privátní organizací se sídlem v Amsterdamu, jako šéfy má jména, která jsem nikdy v oblasti DNS nezaslechl, a jako kontakt na sebe uvádí poštovní schránku. Stránka „About Us“ vypadá na kus powerpointového inženýrství (nikdo nedokáže provozovat to, co já dokážu slíbit). Mám-li volit mezi federální vládou USA a společností s kontaktním P.O. BOXem, volím USA. Její počínání je více predikovatelné (například roční opakování fráze „zbraně hromadného ničení“ znamená „nejezdi tam na dovolenou“) a má dostatek rozumu, aby delegovala správu hlavního doménového stromu na organizace, které mají dostatek know-how (ICANN, IANA – Internet Assigned Numbers Authority).

Tyto dvě organizace pak provoz kořenových serverů delegovaly na několik různých subjektů různých typů (výzkumné organizace, armáda, komerční organizace, asociace). Každá z těchto organizací má poměrně velký zájem na tom, aby Internet přežil, a poměrně slušnou odbornou reputaci.

Na straně technické jde o fungování. UnifiedRoot nabízí 15 nameserverů, které jsou rozmístěny po celém světě (to je podobné systému hlavního doménového stromu). Otázkou zůstává, nakolik jsou tyto servery stabilní, různorodé, kapacitně dostatečné a dostatečně rychle připojené. Hlavní doménový strom má doménové servery na různých platformách (hardwarově i softwarově) – například RIPE NCC vyvinulo zvláštní software pro DNS server proto, aby všechny systémy neběžely na jednom DNS serveru. Když bylo dojednáváno umístění kopie F-root nameserveru v Praze, byly požadavky předimenzovány odhadem o několik řádů proti očekávanému provozu. Důvodem je fakt, že se organizace provozující kořenové servery chovají extrémně konzervativně.

UnifiedRoot nikde nepíše, na jaké platformě běží jeho systémy, nicméně pokud se podíváme na připojení jejich serverů, některé nedisponují reverzními DNS záznamy (o záznamech směrovačů v cestě raději nemluvím), odezva některých systémů není úplně v pořádku (v cestě se vyskytují směrovače s nepřirozeně velkým RTT) a podle záznamů RIPE a dalších registrů mají příslušný adresní prostor zaregistrovány malé společnosti.

Pokud by bylo možné, aby ICANN zlepšil svoji funkčnost, určitě by to uvítala většina komunity, nicméně UnifiedRoot vypadá spíše jako aktivita několika studentů, kteří se dohodli s pár webhostingáři na provozu nějakého systému (možná je to velký hoax). Smutné je, že jim to některá média přímo ‚zbaštila‘. Ještě smutnější je, že jim to podle informací na jejich webu „spolkla“ i Tiscali – pokud je tohle pravda, pak Tiscali padla do druhé ligy ISP.

Co se mě týče, soubor named.root na mých serverech zůstává nezměněn.