乌克兰：“我要让俄罗斯从互联网消失”，ICANN：“不可以！”

大家好，我是小林。

俄乌军事冲突恶化后，俄罗斯就受到「金融核弹」的制裁， SWIFT 支付系统将断开与俄罗斯多家银行的连接。

就在上周，乌克兰还想引爆「网络核弹」。因为乌克兰官员给互联网名称与数字分配机构(ICANN)发送了一封邮件，邮件上要求 ICANN：

1.撤销俄罗斯联邦使用的域“.ru”、“.рф”、“.su”等域名；

2.关闭为俄罗斯服务的 DNS 根服务器；

3.协助撤销相关域名的 TTL/SSL 证书；

第一个要求通过让根域名服务器不解析俄罗斯的网站，将俄罗斯的网站从互联网上消失。第二个要求通过取消解析域名的能力，将俄罗斯互联网用户拒之门外。第三个要求通过吊销 HTTPS 证书，使得俄罗斯网站失信。

乌克兰之所以提出这些要求，目的是阻止俄罗斯的宣传机器，并防止进一步的舆论宣传和虚假信息。

没过几天，ICANN 的 CEO 就用一封邮件回绝了乌克兰所有要求。

我看了 ICANN 发给乌克兰的这封信，这封信的大半段内容是在说明，ICANN 的使命是为了确保互联网的正常工作，而不是取惩罚性行动、宣布制裁或限制部分互联网的接入。

其中，ICANN 从技术和政策对乌克兰这三个要求做了具体回答，如下图：

这里简单给大家翻译下：

对于国家代码顶级域，我们的工作主要涉及验证来自相应国家或地区内授权方的请求。全球商定的政策并未规定 ICANN 可根据您的要求采取单方面行动来断开这些域的连接。您可以理解为什么这样的系统不能根据来自一个地区或国家的关于另一地区或国家内部运营的请求来运行。过程中的这种变化将对这个全球系统的信任和效用产生毁灭性和永久性的影响。
根域名服务器系统由许多地理分布的节点组成，并由不同的独立运营维护。
我们没有能力撤销您提到的域的特定 SSL 证书。这些证书由第三方运营商制作，ICANN 不参与它们的签发。

从 ICANN 回答的这三点可以看的出，乌克兰提出的第一个要求从技术角度看 ICANN 是可以做得到的，但是由于政策缘故不能做，而第二和第三个要求从技术角度 ICANN 是无法做到的。

为什么 ICANN 有能力撤销域名?

ICANN 全称叫互联网名称与数字地址分配机构，是位于美国洛杉矶的非盈利的机构，主要由互联网协会互联网协会的成员组成，目的是管理全球的域名和 IP 地址的分配。

全球共有 13 个根域名服务器，分别用 a 到 m 命名，如 a.root-servers.net、b.root-servers.net。一台是主服务器(就是 a 服务器)，12 台辅助服务器，有 10 台在美国，2 台在欧洲，1台在日本。

这 13 个是逻辑上的概念，并不是只有 13 台物理的服务器。

可以在 root-servers.org 这个网站上看到，目前为止全球共有 1524 个实例(instance)，每一个根都有若干个镜像，分布在全球不同的地方。

这 13 个根域名服务器有着独自的 IP 地址，但是同一个根域名服务器下的镜像共享着此根的 IP 地址，是通过「任播」这个技术实现的，具体的实现细节感兴趣的同学可以去查一查。

可以在这个网站看到 13 个根服务器的 IP 地址，https://www.internic.net/zones/named.cache：

A.ROOT-SERVERS.NET.   3600000 A 198.41.0.4
A.ROOT-SERVERS.NET.   3600000 AAAA 2001:503:ba3e ::2:30

B.ROOT-SERVERS.NET.   3600000 A 199.9.14.201
B.ROOT-SERVERS.NET.   3600000 AAAA 2001:500:200:: b

C.ROOT-SERVERS.NET.   3600000 A 192.33.4.12
C.ROOT-SERVERS.NET.   3600000 AAAA 2001:500:2:: c

... ...