Павел Гусев, KazNIC: мы прекрасно себя чувствуем
Интервью с директором KazNIC о Казнете, его реалиях и перспективах, безопасности DNS и о латинице.
В интервью с директором Казахского центра сетевой информации KazNIC Павлом Гусевым мы поговорили о реалиях и перспективах Казнета, безопасности DNS и о латинице. Оказывается, в KazNIC ждут лингвистов и закона, чтобы начать регистрацию новой страновой зоны на латинице. Зона .KZ станет неактуальной?
— Павел, поговорим о Казнете: каковы тренды, особенности развития национального доменного пространства?
— Казнет достаточно передовой с точки зрения развития адресного пространства. И не только в Центральной Азии, но и в сравнении с Россией. Ведь в свое время мы одни из первых ввели распределенную систему регистрации, которая стала стандартом в отрасли.
— О чем речь?
— О том, что регистратура не берет на себя все функции, а делегирует часть из них — то есть, через независимых регистраторов возникает конкурентная среда. Мы запустили эту инициативу раньше, чем в ряде стран постсоветского пространства. И сделали этот проект на разрабатываемом в то время протоколе взаимодействия между регистраторами — EPP. К тому моменту, когда этот стандарт перешел из разряда «черновиков» в утвержденные, у нас уже было готово программное обеспечение, мы запустили его в работу в течение нескольких месяцев. Создали конкурентную среду.
— А что, до этого были какие-то претензии к ее наличию?
— Да, были претензии, что, мол, мы контролируем цену, нас, мол, не обойдешь и так далее. К слову, ассортимент услуг на заре становления Казнета был минимальный — мы предлагали только поддержку доменного имени. Тут следует отметить, что мы за услугу регистрации ничего до сих пор не берем...
Вернусь к распределенной системе. Разумеется, у нас появились конкуренты, причем, вся эта ситуация привела к расширению спектра услуг, которые появились на рынке — от DNS-серверов до разработки сайтов и хостинга. Я уверен, что именно наша инициатива по делегированию услуг стала драйвером развития Казнета. Ведь сам по себе DNS или доменное имя ничего не значат без квалифицированных услуг по разработке и хостингу. Людям, компаниям нужен готовый сайт, который будет выполнять какие-то бизнес-функции. Я уверен, что конкуренция на нашем рынке — это скорее не вопрос цены, а вопрос ассортимента услуг, который тот или иной регистратор предлагает.
— Давайте поговорим о доменном пространстве Казнета. Я как-то делал анализ количества доменов на душу населения, и выяснил, что мы лидируем в Средней Азии. Причем, отрыв очень сильный...
— Да, это так. Однако, если посмотреть на Россию, то там количество доменных имен в 10 раз больше на 1000 жителей, чем у нас. Тут есть несколько причин, на мой взгляд. Несмотря на то, что уровень проникновения интернета у нас довольно высокий, я считаю, что есть какой-то образовательный вакуум в тех вопросах, которые способствовали бы развитию Казнета. Я допускаю, что этот фактор со временем нивелируется. Второе — это общее языковое пространство со времен СССР, поэтому мы наблюдаем большое влияние на Казнет, на казнетчиков российских ресурсов.
— А сколько должно быть доменных имен в Казахстане?
— Это не совсем корректный вопрос — если есть спрос, мы его, как регистратор, удовлетворим даже существующими техническими средствами. Прямые корреляции с той же Россией использовать нельзя.
— Павел, KazNIC — некоммерческая организация. Но при этом, вы можете позволить себе построить новый ЦОД в Семее, причем, на собственной территории...
— То, что мы некоммерческая организация — не значит, что мы не зарабатываем деньги. Мы просто не можем распределять прибыли между учредителями, получаемые, повторю, исключительно за поддержку доменных имен. Но зато мы можем вкладывать деньги в развитие организации, в уставные цели. А основная цель — развитие доменного пространства Казахстана. Мы устанавливаем DNS-сервера — их по миру уже 6, и где мы, кстати, внедрили технологию AnyCAST DNS, которая позволяет под одним и тем же IP-адресом «держать» сервера, объединенные географически. И, таким образом, домен .KZ представлен по всему миру, и пользователь, обращаясь к конкретному адресу, получает кратчайший путь до него. Что мы еще делаем? Анализируем статистику запросов и стараемся устанавливать DNS-серверы в наиболее выгодном для пользователей месте.
— Павел, я хочу вернуться к вопросу о количестве доменных имен и том, насколько цифры коррелируют с Россией. Разница в 10 раз — ошеломляющая. Но, с другой стороны, значит ли это, что этот гэп может демонстрировать потенциал Казнета?
— Теоретически, если Казнет догонит Рунет по плотности, то количество доменных имен в Казнете может перевалить за 1,3 млн.
— Хорошо, поговорим о проблемах Казнета. Есть ли они?
— Я буду рассуждать с той позиции, которая является наиболее близка нам. Мы в KazNIC отвечаем за небольшой, но крайне важный круг вопросов — поддержка доменных имен, обеспечение ведения реестра. Проблемы? Каких-то особых нет. Мы работаем в четком правовом поле, мы абсолютно легитимны, мы справляемся с возложенными на нас обязанностями, мы не пользуемся бюджетными средствами и находимся на самофинансировании. И прибыль вкладываем исключительно в развитие, как я уже говорил.
— О кибербезопасности. Сейчас много говорят о том, что Казнет достаточно уязвим, что его можно «положить» чуть ли не одной крупной хакерской группой. Есть основания для таких разговоров?
— Есть некоторые проблемы, безусловно, хотя и не до такой степени. И основная — в DNS-серверах. Регистраторы, регистрируя доменные имена второго уровня, предоставляют свои сервера для их работы. И не у всех финансовые возможности позволяют поддерживать работу на должном уровне. Достаточно сказать, что у нас на сегодня нет ни одного регистратора, у которого была бы внедрена технология AnyCAST DNS. Я не хотел бы сейчас называть имен, но вы знаете об этом случае, когда сбой в работе серверов у одного из регистраторов привел к тому, что значительная часть Казнета оказалась неработоспособной. Проблема, как выяснилось, была в том, что вышел из строя сервер, который отвечал за доменные имена второго уровня. Это подтверждает то, что техническое оснащение у регистраторов хромает. В конце 2014-го мы провели анализ, в том числе аппаратными средствами со своей стороны, и пришли к выводу, что нам нужны средства аккредитации, чтобы заставить регистраторов уделять больше внимания техническому совершенствованию работы DNS. В 2016-м мы обсудили ситуацию с администратором («Казахстанская ассоциация IT-компаний» — прим. редакции), регистраторами и было принято решение о том, чтобы ограничить минимальный порог стоимости доменного имени.
— Да, я помню эту историю...
— Действительно, стоимость доменного имени у некоторых регистраторов была ниже, чем они делали отчисления за них регистратуре. Понятно, что в такой ситуации ни о каком техническом совершенствовании не могло быть и речи. В то же время, современные вызовы в интернете не позволяют такого отношения.
— Насколько понимаю, у этой истории есть продолжение.
— Да, Антимонопольный комитет РК посчитал такую регуляцию неприемлемой, хотя законодательство такое допускает: такая регуляция может быть осуществлена, если она имеет под собой задачу улучшить техническую часть. Сегодня приказ о минимальной цене, о котором я говорил выше, отменен решением суда. При этом разбирательство со стороны Антимонопольного комитета продолжается. Я считаю, что у нас есть некоторое непонимание — изначально используется неверное определение емкости рынка. Если посмотреть на сайты регистраторов, то помимо доменных имен .KZ и .ҚАЗ есть десятки других, которые они предлагают своим клиентам. Поэтому, правильнее было бы сказать — «рынок доменных имен». Сейчас домены вне казахстанской зоны очень популярны. Даже национальный перевозчик «Air Astana» держит сайт в зоне .COM, ForteBank — в зоне .COM, .BANK. Таких примеров все больше и больше. И это влияет на темпы роста нашей доменной зоны, к сожалению, негативно.
— А какова доля таких доменов в Казахстане?
— Думаю, что 25-30%.
— Как сделать, чтобы эти компании вернулись?
— Нужно повышать качество услуг. Чтобы не повторялись события, о которых я ранее рассказал, когда часть Казнета оказалась недоступной.
— Вернусь к безопасности. Сейчас много говорят о DNSSec. В Казахстане она будет работать?
— Эта технология предотвращает попытки подделки доменного имени способом электронной подписи. Мы технически готовы к DNSSec, и сейчас она работает на стадии отладки реестра между регистратурой и регистраторами. Полагаю, к концу года мы запустим ее.
— На конференции TLDCON 2017, которая состоялась в Алматы, много говорили о дублировании реестра доменных имен. Что-то в Казахстане делается, чтобы воплотить эту идею в жизнь?
— Это уже — жизнь в Казахстане. Основная база данных в Астане, а дублирующая — в Семее. Соответственно, если любая точка выйдет из строя, то на работе Казнета это почти не отразится.
— Это же касается и масштабной атаки?
— Вплоть до ядерной войны (смеется), природных катаклизмов. При этом негативном сценарии в работу включится резервный центр, и Казнет продолжит свою работу: все продублировано — все информационные системы, которые обеспечивают взаимодействие регистраторов с реестром. Это находится в рамках нашей миссии — обеспечить бесперебойную работу адресного пространства.
Что касается атак, то мы следим за тем, чтобы хакеры не использовали DNS-серверы для их усиления. В рамках такой профилактики — контроль за своевременным обновлением программного обеспечения, которое управляет DNS-серверами, кроме того, как я уже говорил ранее, мы мониторим состояние DNS-серверов и у регистраторов. Но мы не строим иллюзии, я допускаю, что не все регистраторы, провайдеры выстраивают рекомендованные настройки. Здесь мы ориентируемся на решения, например, RIPE Atlas, которое собирает статистическую информацию из сети.
— Сколько в Казахстане таких провайдеров и регистраторов, которые входят в группу риска?
— Достаточно сказать, что такие есть.
— Павел, сейчас много говорят об IPv6. Что с этой точки зрения происходит в Казнете?
— Он не просто готов — он уже в работе. KazNIC использует как IPv4, так и IPv6, у нас собственная инфраструктура — и кабельная, и коммуникационная. У нас 5 операторов в Астане и 6 в Семее имеют прямые каналы. И с большинством из них мы работаем по IPv6. Интересно, что в списке исключений — «Казахтелеком». Они уже давно говорят о переходе на IPv6, более того, 3 года назад на конференции RIPE NCC (Европейская региональная регистратура — прим. редакции) оператор заявил о переходе на IPv6. С тех пор ситуация не изменилась. Все это усугубляется тем, что адресов IPv4 уже не осталось — все они розданы, поэтому их приходится покупать на вторичном рынке. И стоят они дорого. Мы с национальным оператором не можем наладить передачу данных по IPv6, используя IPv4. Вот такая коллизия.
— Во сколько сейчас обходится IPv4 на вторичном рынке?
— Я боюсь ошибиться — от 4 до 6 евро.
— Расскажите о том, как Казахстан принял участие в проекте Avalanche takedown.
— Да, это крупная операция по отключению криминальной сети. Запрос поступил от полиции Германии в конце 2015 года. В списке, который был ими предоставлен — 7 доменных имен, часть из них — 3 имени — было уже зарегистрировано, а 4 — нет. 30 ноября все регистратуры должны были прекратить поддержку и регистрацию этих доменов. Иначе, трояны распространились бы по всему интернету. Мы их отключили по формальной причине, так как при регистрации были указаны явно недостоверные данные. Соответственно, 30 ноября в одно и то же время с другими регистратурами мы приостановили работу 3 ранее зарегистрированных, а 4 домена поставили в стоп-лист.
— Павел, на TLDCON 2017 ICANN анонсировал новый проект Интернет-корпорации, который призван собрать в единую точку информацию с регистратур. Ее в ICANN будут анализировать и публиковать. KazNIC намерен участвовать в нем?
— Для меня это было открытием, но прямых обращений к нам пока не поступало. Разумеется, мы будем в нем участвовать, так как считаем, что это очень важно для всего сообщества.
— Предлагаю поговорить о латинице. Эта тема горячая, но готов ли Казнет для того, чтобы начать ее использовать?
— Нужно сделать небольшую предысторию. Зона .ҚАЗ была создана в рамках проекта IDN для того, чтобы дать возможность использовать символы национального алфавита в адресации ресурсов. Мы провели у себя работу, подготовили заявку в соответствии с процедурами ICANN, и обеспечили нашим пользователям использование стандартного национального алфавита в интернете. То есть, пользователи получили возможность адресации ресурсов с использованием казахского алфавита. Все это прекрасно работает в интернете сейчас, хотя на начальном этапе, не скрою, некоторые проблемы были.
Теперь о латинице. На сегодня каких-то стандартов нет, хотя к нам уже поступают запросы. И мы не готовы ответить на них, так как процедуры ICANN очень четкие — мы не можем двигаться пока не будет стандарта и введен двухбуквенный код таблицы в ISO3166. Мы ждем лингвистов, ждем утверждения стандарта для алфавита, ждем закона, чтобы продолжить работу в этом направлении. Полагаю, что двухбуквенный страновой домен будет иметь название .QZ. Домен .QAZ, кстати, можно было бы зарегистрировать как New gTLD (программа доменов верхнего уровня новой генерации — прим. редакции), но ICANN пока прекратил прием заявок на домены этого типа. Возможно, вскоре такое окно откроется.
— Сколько это будет стоить?
— Для регистрации странового двухбуквенного домена размер взноса составляет около 30 тысяч долларов США, для New gTLD — порядка 200 тысяч. Так что разница составляет почти 7 раз.
— А кто будет покупать тот же страновой домен?
— Мы [KazNIC] прекрасно себя чувствуем, и мы в состоянии оплатить все расходы, связанные с процедурой.