Международные эксперты назвали «незначительным» влияние санкций на интернет-инфраструктуру в России. Но они указали на опасную зависимость от американского удостоверяющего центра, который выдает сайтам сертификаты безопасности
Санкции оказали незначительное влияние на Рунет: те российские компании, которые использовали зарубежную инфраструктуру, либо продолжают ею пользоваться, либо быстро нашли альтернативу. Единственное исключение — зависимость от TLS-сертификата, выдаваемого американским удостоверяющим центром Let's Encrypt (такой сертификат обеспечивает подлинность сайта и защиту пользовательских данных на нем).
Такие выводы содержатся в опубликованной статье Международного центра по изучению интернет-инфраструктуры при Калифорнийском университете (The Center for Applied Internet Data Analysis — CAIDA).
CAIDA расположен в центре суперкомпьютеров Сан-Диего при Калифорнийском университете. Занимается составлением карты интернета (взаимосвязей между провайдерами), изучением его производительности, безопасности, стабильности и устойчивости, его влияния на экономику и политику.
Исследование влияния санкций на Рунет было сделано на гранты нескольких организаций, в числе которых Национальный научный фонд США (US National Science Foundation) и кафедра информационных и компьютерных наук Ирвина Марка и Джоан Кляйн Джекобс (US San Diego Foundation). Также помощь при составлении исследования оказывал Центр сетевых систем при Калифорнийском университете (Center for Networked Systems).
Эксперты CAIDA анализировали, какие изменения с начала спецоперации на Украине произошли в инфраструктуре, обеспечивающей работу доменов в зонах .RU и .РФ, и сравнили это с ситуацией за последние пять лет. В частности, учитывалось:
где размещены DNS-серверы (система доменных имен, которая преобразовывает буквенный адрес страницы в интернете в IP-адрес конкретного устройства или сервера, что позволяет пользователю, вбивая в адресной строке, например, rbc.ru, попадать на сайт РБК);
кто предоставляет услугу хостинга (на чьих серверах размещается сайт или его контент);
кто выдает TLS-сертификаты.
Что пришлось менять из-за санкций
После начала специальной военной операции на Украине ряд иностранных провайдеров перестали оказывать услуги российским клиентам. В результате российские сайты потеряли доступ к целому ряду западных поставщиков услуг, например Netnod для хостинга DNS, Sedo для хостинга сайтов. Но еще до начала конфликта большинство российских сайтов размещались в России, отмечается в исследовании. Согласно статистике CAIDA, если в 2017 году из 5 млн зарегистрированных в России доменов у 67% DNS-серверы полностью располагались внутри страны и до февраля 2022-го этот показатель оставался стабильным, то к концу мая он вырос до 73,9%.
К концу весны, согласно данным CAIDA, в России было 11,7 млн уникальных доменов. Из них напрямую в санкционные списки США и Великобритании попали 107. На момент начала военных действий инфраструктура 34% доменов, попавших в санкционные списки, располагалась в России только частично, а 5,2% полностью находилась за рубежом. Но уже к 4 марта 93,8% этой инфраструктуры размещалось полностью в России.
Помимо Sedo у российских клиентов возникали проблемы и с другими тремя западными хостинг-провайдерами, отмечается в исследовании. Так, 8 марта американская Amazon сообщила, что больше не будет регистрировать в своем сервисе Amazon Web Services учетные записи новых российских или белорусских клиентов. Как утверждают эксперты CAIDA, от общего числа российских доменов, располагавшихся до 24 февраля на инфраструктуре Amazon, к концу мая осталось около 43%, остальные переместились в другие сети. Авторы исследования оговариваются, что не могут однозначно сказать, «были это самостоятельные решения клиентов или инициатива со стороны Amazon», но указывают, что показатель учитывает 574 новых доменов, зарегистрированных в зонах .RU и .РФ после начала специальной военной операции. Эксперты предположили, что среди них могут быть иностранные компании, которые ведут бизнес в России. Например, Disney 15 марта зарегистрировала домен thorloveandthunder.ru (на момент публикации материала Disney удалила все свои сайты в российских доменных зонах, а указанный сайт автоматически перенаправляет пользователя на аналогичный ресурс в зоне .com).
Еще один провайдер, Cloudflare, заявлял, что прекратит оказывать услуги российским клиентам, но позднее изменил решение. На 25 мая в Cloudflare оставалось чуть больше 296 тыс. российских доменов, или 94% от прежнего объема. У Google, который также является хостинг-провайдером, с 10 марта был приток российских клиентов (появилось около 18 тыс. доменов из России), но к концу мая часть из них переместили к другим провайдерам (общее число российских доменов на инфраструктуре Google в исследовании не приводится). Эксперты CAIDA предположили, что, «несмотря на кажущееся несоответствие заявленной политике Google, приток доменов мог быть создан уже существовавшими до конфликта клиентами».
Санкции не оказывали значимого влияния на интернет-инфраструктуру и после мая в период до конца сентября, считает руководитель отдела сетевого администрирования крупнейшего российского хостинг-провайдера REG.RU Евгений Мартынов. Но «дьявол в частностях и деталях», оговорился он. Например, по его словам, есть трудности с переходом на новое оборудование: «Порой приходится выбирать неоптимальные условия поставок, гарантий, двигать сроки этих поставок. Часть компаний сильно затронула невозможность использования или покупки определенного программного обеспечения, пришлось перестраивать внутренние процессы, корректировать предоставляемые клиентам услуги. Вопрос возможностей взаимодействия (в том числе финансовых) с зарубежными партнерами стоит все еще остро и порой требует индивидуальной проработки подходов».
Согласно доступной статистике принадлежащего REG.RU сервиса Stat.Оnline.RU, с мая по конец августа (последние доступные данные) в зоне .RU наблюдался резкий приток клиентов у российских хостинг-провайдеров TimeWeb и Tilda Publishing, незначительный — у BeGet, а также нидерландского Serverel. В зоне .РФ был незначительный рост клиентов у TimeWeb и Tilda Publishing в мае, но спустя месяц он замедлился. Представитель REG.RU говорит, что они зафиксировали всплеск переноса доменов в зоне .RU в этом году с февраля по сентябрь, но в зоне .РФ количество трансферов выросло несильно даже в сравнении с прошлым годом. По его мнению, интерес сместился к российским регистраторам и хостинг-провайдерам из-за сложностей с оплатой услуг у иностранных провайдеров, а также удобством использования сервисов с более «оптимальным» фактическим расположением серверов.
Насколько зависимы от американских сертификатов
В начале марта ряд хостинг-провайдеров отозвали TLS-сертификаты у банков, которые попали под санкции. Из-за этого их сайты на некоторое время могли снизить уровень защиты, что могло привести к фишингу или возникновению ошибок при работе с личным кабинетом. В ответ Минцифры создало собственный Национальный удостоверяющий центр для выдачи сертификатов, в том числе российским санкционным компаниям. Еще один центр сертификации открыл Технический центр интернета (ТЦИ).
По оценке экспертов CAIDA, конфликт на Украине «существенно не повлиял» на количество сертификатов, выданных для доменов в зонах .RU и .РФ. Хотя шесть из десяти иностранных центров сертификации, в том числе крупные игроки DigiCert и Sectigo, полностью прекратили выдавать сертификаты для российских компаний. В итоге российские организации начали искать альтернативные центры для получения сертификатов, что привело к росту доли американского центра Let's Encrypt на российском рынке с 92% до более 99%. Авторы исследования отмечают, что Let's Encrypt отзывал сертификаты как у компаний, попавших под санкции, так и у тех, кто не попал. Из 15 млн сертификатов, выданных Let's Encrypt российским сайтам, были отозваны около 1%. «Почти полный контроль Let’s Encrypt в защите сайтов .RU и .РФ поражает. Хотя Let’s Encrypt преследует общественные интересы, предоставляя бесплатные услуги центра сертификации всем желающим, он также является американской организацией и подпадает под действие законов США и ограничений экспортного контроля», — говорится в исследовании. В нем также сделано предположение, что Россия не предусмотрела эту проблему и на момент начала конфликта не имела собственных центров сертификации с аналогичными возможностями, не установила доверительные отношения с основными браузерами.
Согласно официальной статистике ТЦИ на 4 октября, в домене .RU около 92% сайтов имеют сертификат Let's Encrypt, в .РФ — 91,9% и в зоне .SU — 87,3%. С марта эти показатели выросли на 10%.
Представитель Минцифры сообщил, что сертификаты Let's Encrypt отвечают международным требованиям безопасности, однако их использование действительно «создает зависимость от зарубежной инфраструктуры». «Для снижения зависимости и обеспечения возможности получения российскими юрлицами сертификатов безопасности на «Госуслугах» запущен сервис, позволяющий бесплатно получить российский TLS-сертификат», — рассказал представитель министерства.
Бизнес-консультант по безопасности Positive Technologies Алексей Лукацкий считает, что риск концентрации сертификатов российских доменов у одной зарубежной компании есть, но он «не совсем оправдан», так как «удостоверяющие центры пока разделяли политику и сетевую нейтральность (принцип, согласно которому провайдерам запрещается блокировать сайты или применять дискриминационные меры против любого интернет-трафика. — РБК)». «Пока в мире не было историй, когда удостоверяющие центры массово отзывали ресурсы. Что касается DigiCert, то они забрали сертификаты у санкционных компаний, так как не могли сделать по-другому согласно законодательству», — указал он. В то же время Лукацкий отметил, что для госструктур риск потери сертификата от того же Let's Encrypt значительно выше, поэтому им рекомендуют переходить на российские аналоги сертификатов от Минцифры.