大家好，我是小林。

俄烏軍事沖突惡化后，俄羅斯就受到「金融核彈」的制裁， SWIFT 支付系統(tǒng)將斷開與俄羅斯多家銀行的連接。

就在上周，烏克蘭還想引爆「網(wǎng)絡(luò)核彈」。因?yàn)闉蹩颂m官員給互聯(lián)網(wǎng)名稱與數(shù)字分配機(jī)構(gòu)(ICANN)發(fā)送了一封郵件，郵件上要求 ICANN：

1.撤銷俄羅斯聯(lián)邦使用的域“.ru”、“.рф”、“.su”等域名；

2.關(guān)閉為俄羅斯服務(wù)的 DNS 根服務(wù)器；

3.協(xié)助撤銷相關(guān)域名的 TTL/SSL 證書；

第一個(gè)要求通過(guò)讓根域名服務(wù)器不解析俄羅斯的網(wǎng)站，將俄羅斯的網(wǎng)站從互聯(lián)網(wǎng)上消失。第二個(gè)要求通過(guò)取消解析域名的能力，將俄羅斯互聯(lián)網(wǎng)用戶拒之門外。第三個(gè)要求通過(guò)吊銷 HTTPS 證書，使得俄羅斯網(wǎng)站失信。

烏克蘭之所以提出這些要求，目的是阻止俄羅斯的宣傳機(jī)器，并防止進(jìn)一步的輿論宣傳和虛假信息。

沒過(guò)幾天，ICANN 的 CEO 就用一封郵件回絕了烏克蘭所有要求。

我看了 ICANN 發(fā)給烏克蘭的這封信，這封信的大半段內(nèi)容是在說(shuō)明，ICANN 的使命是為了確?；ヂ?lián)網(wǎng)的正常工作，而不是取懲罰性行動(dòng)、宣布制裁或限制部分互聯(lián)網(wǎng)的接入。

其中，ICANN 從技術(shù)和政策對(duì)烏克蘭這三個(gè)要求做了具體回答，如下圖：

這里簡(jiǎn)單給大家翻譯下：

• 對(duì)于國(guó)家代碼頂級(jí)域，我們的工作主要涉及驗(yàn)證來(lái)自相應(yīng)國(guó)家或地區(qū)內(nèi)授權(quán)方的請(qǐng)求。全球商定的政策并未規(guī)定 ICANN 可根據(jù)您的要求采取單方面行動(dòng)來(lái)斷開這些域的連接。您可以理解為什么這樣的系統(tǒng)不能根據(jù)來(lái)自一個(gè)地區(qū)或國(guó)家的關(guān)于另一地區(qū)或國(guó)家內(nèi)部運(yùn)營(yíng)的請(qǐng)求來(lái)運(yùn)行。過(guò)程中的這種變化將對(duì)這個(gè)全球系統(tǒng)的信任和效用產(chǎn)生毀滅性和永久性的影響。
• 根域名服務(wù)器系統(tǒng)由許多地理分布的節(jié)點(diǎn)組成，并由不同的獨(dú)立運(yùn)營(yíng)維護(hù)。
• 我們沒有能力撤銷您提到的域的特定 SSL 證書。這些證書由第三方運(yùn)營(yíng)商制作，ICANN 不參與它們的簽發(fā)。

從 ICANN 回答的這三點(diǎn)可以看的出，烏克蘭提出的第一個(gè)要求從技術(shù)角度看 ICANN 是可以做得到的，但是由于政策緣故不能做，而第二和第三個(gè)要求從技術(shù)角度 ICANN 是無(wú)法做到的。

為什么 ICANN 有能力撤銷域名?

ICANN 全稱叫互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)，是位于美國(guó)洛杉磯的非盈利的機(jī)構(gòu)，主要由互聯(lián)網(wǎng)協(xié)會(huì)互聯(lián)網(wǎng)協(xié)會(huì)的成員組成，目的是管理全球的域名和 IP 地址的分配。

全球共有 13 個(gè)根域名服務(wù)器，分別用 a 到 m 命名，如 a.root-servers.net、b.root-servers.net。一臺(tái)是主服務(wù)器(就是 a 服務(wù)器)，12 臺(tái)輔助服務(wù)器，有 10 臺(tái)在美國(guó)，2 臺(tái)在歐洲，1臺(tái)在日本。

這 13 個(gè)是邏輯上的概念，并不是只有 13 臺(tái)物理的服務(wù)器。

可以在 root-servers.org 這個(gè)網(wǎng)站上看到，目前為止全球共有 1524 個(gè)實(shí)例(instance)，每一個(gè)根都有若干個(gè)鏡像，分布在全球不同的地方。

這 13 個(gè)根域名服務(wù)器有著獨(dú)自的 IP 地址，但是同一個(gè)根域名服務(wù)器下的鏡像共享著此根的 IP 地址，是通過(guò)「任播」這個(gè)技術(shù)實(shí)現(xiàn)的，具體的實(shí)現(xiàn)細(xì)節(jié)感興趣的同學(xué)可以去查一查。

可以在這個(gè)網(wǎng)站看到 13 個(gè)根服務(wù)器的 IP 地址，https://www.internic.net/zones/named.cache：

A.ROOT-SERVERS.NET.   3600000 A 198.41.0.4
A.ROOT-SERVERS.NET.   3600000 AAAA 2001:503:ba3e :: 2:30

B.ROOT-SERVERS.NET.   3600000 A 199.9.14.201
B.ROOT-SERVERS.NET.   3600000 AAAA 2001:500:200 :: b

C.ROOT-SERVERS.NET.   3600000 A 192.33.4.12
C.ROOT-SERVERS.NET.   3600000 AAAA 2001:500:2 :: c

... ...

根域名服務(wù)器是由 12 家機(jī)構(gòu)管理，其中 A 根是主根，由美國(guó)公司 Verisign 管理(Verisign 是 ICANN 最大的托管商)。B 到 M 根稱為輔根，負(fù)責(zé)同步 A 根的內(nèi)容。

A 根上有個(gè)最重要的文件，就是根區(qū)文件，該文件保存所有頂級(jí)域名的托管信息。

根區(qū)文件是由 ICANN 管理的，在 ICANN 官網(wǎng)可以查看這個(gè)根區(qū)文件：https://www.internic.net/domain/root.zone。

這意味著 ICANN 就有能力將某個(gè)頂級(jí)域名從根區(qū)文件里刪除的，比如假設(shè)從根區(qū)文件中刪除了 .ru 域名的內(nèi)容，很快就會(huì)同步到所有的根中，然后在所有的緩存過(guò)期之后，全球所有人都訪問(wèn)不了 .ru 后綴的網(wǎng)站了。

但是其實(shí)大多數(shù)國(guó)家都有根鏡像服務(wù)器的，所謂的根鏡像服務(wù)器就是同步根服務(wù)器的內(nèi)容，根鏡像服務(wù)器都是假設(shè)在自己的國(guó)家的，由自己國(guó)家管理。

所以， 自己國(guó)家是可以控制鏡像中的內(nèi)容的，假設(shè) ICANN 刪除了 .cn 頂級(jí)域名，如果不同步這個(gè)修改，其實(shí)還是可以正常訪問(wèn) .cn 后綴的網(wǎng)站的。

之前我也寫了一篇關(guān)于美國(guó)能能否讓中國(guó)從互聯(lián)網(wǎng)上消失的文章：??美國(guó)能讓中國(guó)從網(wǎng)絡(luò)上消失???答案也是不行的，國(guó)內(nèi)有自己的根鏡像服務(wù)器，我們可以控制根服務(wù)器同步的內(nèi)容，再加上國(guó)內(nèi)解析域名的時(shí)候，其實(shí)并不會(huì)去解析美國(guó)的根域名服務(wù)器，而是訪問(wèn)自己國(guó)內(nèi)的運(yùn)營(yíng)商維護(hù)的根鏡像服務(wù)器。

標(biāo)題名稱：烏克蘭：“我要讓俄羅斯從互聯(lián)網(wǎng)消失”，ICANN：“不可以！”
新聞來(lái)源：http://uogjgqi.cn/article/dpeeosp.html