Конечно, злоумышленник, планирующий нарушать закон с использованием домена, имеет и технические навыки, и готовность прислать какой-нибудь там «скан». При этом удачно «приславший скан» администратор домена получает в системе новый статус: «идентифицированный администратор». А такой статус, конечно, добавляет некоторой «надежности» персональным данным, полученным с подтверждением «сканом». На самом же деле надежность эта чисто мнимая: процедура аутентификации никак не изменилась: как присылал кто-то неизвестно откуда какие-то данные по Интернету, так и присылает кто-то что-то, но в новом формате файлов. А вот статус изменился, и администраторы в интерфейсах управления клиентской информацией вдруг «раскрасились в разный цвет». Для системы безопасности это очень плохо, потому что добавляет ложной уверенности тем, кто с данными работает.
В истории российского доменного бизнеса известны случаи, когда домен «угоняли» при помощи реального поддельного паспорта и личного визита мошенников в офис регистратора. Однако поставить такие рискованные мероприятия на потоквесьма сложно, а единичные случаи мошенничества, совершенные к тому же в офлайне, расследуются более эффективно, чем массовые онлайн-события с минимумом следов.
При этом многие и многие добросовестные пользователи и так указывали верные данные, потому что пользователи опасаются проблем с потерей домена в случае возникновения спорной ситуации. В отличие от злоумышленника, добросовестному пользователю домен реально нужен в долговременное пользование для легального проекта, ну, раз он этот домен регистрирует. И вот эти добросовестные пользователи, администраторы доменов, по новым правилам должны направо и налево рассылать «сканы» своих паспортов, часто по
открытым сетям. Например, регистраторами предлагается отправлять «скан» по электронной почте! Где потом всплывут копии «скана»? Кто знает? Остроты добавляет то, что данный «скан», сохраненный на почтовом сервере (или на локальном диске компьютера, давно зараженного трояном), уже был использован именно для регистрации домена Получается вдвойне доверенный «скан»!
Так кто же обрел дополнительные риски и потенциальные проблемы? Вопрос риторический. И так понятно, что в доменной паспортизации пострадал обычный пользователь Сети. Впрочем, уже к концу 2010 года представители КЦ признали, что эффект от введенной схемы паспортизациине совсем тот, на который рассчитывали. А в 2011 году норму отменили, сделав дополнительную «проверку документов» факультативной.
Вторым знаковым событием стала отмена специальных типов доменов второго уровня, регистрация в которых была бесплатной. Географические и «отраслевые тематические» доменыКЦ упразднил. В апреле 2010 года на коммерческую поддержку в RU-CENTER переданы около 80 географических доменов, в их числе хорошо известные MSK.RU и SPB.RU. А с декабря 2010 года регистратор на коммерческой основе обслуживает и домены COM. RU, NET.RU, ORG.RU и PP.RU. Ранее все эти доменные зоны были бесплатными, что, с одной стороны, позволяло малобюджетным проектам иметь доменное имя внутри зоны .ru, а с другойвременами приводило к захвату бесплатных зон предприимчивыми киберсквоттерами, навострившими специальных программных роботов для автоматической подачи заявок на регистрацию. В частности, это произошло с зоной. COM.RU. Таким образом, отдельные администраторы захватывали многие тысячи бесплатных доменов, а массовый пользователь, пытавшийся зарегистрировать один домен, сталкивался
с неожиданными препятствиями и ограничениями, созданными против роботов.
В 2010 году несколько миллионов доменных имен третьего уровня перешли на новую технологическую платформу в RU-CENTER. Далеко не все домены были перерегистрированы на новый срок, на коммерческой основе. Число регистраций в упомянутых зонах упало. Однако наиболее ценные домены остались. Более того, пользователи начали регистрировать новые имена в ставших платными зонах.
Сам процесс передачи доменов в RU-CENTER проходил не очень гладко. Так как управление бесплатными доменами не включало прямого коммерческого интереса, то, вполне ожидаемо, реестр владельцев таких доменов велся не самым лучшим образом, и в момент передачи доменов не было понятно, кто именно управляет тем или иным именем. Несколькими главами раньше мы рассматривали сервисы WHOIS и столкнулись с тем, что даже для доменов второго уровня RU эти источники контактной информации не блещут достоверностью и иногда выдают противоречивые сведения. С бесплатными доменами третьего уровня ситуация была еще хуже. При регистрации администраторы этих доменов руководствовались некоторыми неформальными правилами и были, в общем, довольны. Пока не пришел момент формализации. Тогда оказалось, что формальный взгляд RU-CENTER (а при массовом заключении коммерческих договоров только формальный подход и может сработать) и множество неформальных точек зрения владельцев доменов третьего уровня в отмененных специальных зонах сильно различались.
Так, в качестве контактных адресов e-mail в базе данных WHOIS для многих доменов были указаны давно заброшенные почтовые ящики либо адреса, уже не имеющие отношения к домену. Непосредственно в DNS сохранялись контактные адреса интернет-провайдеров, управлявших доменами в интересах своих клиентов, и так далее. Нужно, впрочем, признать, что проблем добавила ошибка КЦ и регистратора RU-CENTER: домены начали передавать без должного общественного обсуждения, что, конечно, не в традициях Интернета. Если бы процесс перевода доменов третьего уровня на новые рельсы с самого начала выстраивался с привлечением экспертов интернет-сообщества, с широким обсуждением, то можно было бы рассчитывать на появление более эффективных механизмов идентификации настоящих владельцев доменова ведь именно с идентификацией и возникли основные трудности.
RU-CENTER, приложив все усилия, провел идентификацию владельцев в несколько этапов, основанных на рассылке уведомлений по адресам, указанным в базе данных WHOIS и непосредственно в самой DNS. В результате в большинстве своем администраторы смогли, пусть и с некоторыми трудностями, перевести действительно нужные им домены на обслуживание в RU-CENTER. В 2010 году были установлены следующие цены: регистрация домена третьего уровня в одной из «географических» или «отраслевых» доменных зон450 рублей в год; продление регистрации360 рублей в год. Вернемся к доменам второго уровня .RU. В 2011 году напряжение вокруг регулирования доменного пространства продолжало расти. Можно сказать, что стали традицией угрозы регистраторов друг другу и, особенно, Координационному центру судебными исками и различными «обращениями в государственные органы», которые, вполне вероятно, приведут к тому, что тот или иной участник рынка если и не будет полностью уничтожен, то как минимум навсегда окажется не у дел.
В течение всего 2011 года готовились новые, универсальные правила регистрации для доменов RU и .РФ (этому уникальному в своем роде, замечательному кириллическому домену посвящена отдельная глава книги). Правила, принятые Советом КЦ, вступили в силу 11 ноября 2011 года. Многие пункты правил вызвали жаркие споры, даже после того, как документ уже вступил в силу. Так, правила внесли существенные изменения в порядок делегирования доменов.
Например, для делегирования требовалось, чтобы регистратор «проверял возможность связи с администратором по хранящемуся в Реестре номеру телефона с функцией приема коротких текстовых сообщений (sms)». Вполне вероятно, что данный пункт подразумевал отправку, при помощи SMS некоторого кода по телефонному номеру, указанному администратором в своих контактных данных. Цель такой отправкиубедиться, что номер действительно существует и администратор (либо кто-то еще) получает на него короткие сообщения. Ключевой моментпроверка возможности связи. Ее можно трактовать разными способами. Во-первых, регистратор мог бы, конечно, позвонить по телефону силами того или иного сотрудника, выяснить, присутствует ли по заданному номеру администратор делегируемого домена. Однако это крайне затратная процедура, особенно если у регистратора на обслуживании сотни тысяч доменов. Во-вторых, регистратор мог бы автоматически отправить сообщение SMS и позже проверить, что кто-то его принял, например запросив ввод отправленного SMS-кода в специальную форму на сайте. Ну а в-третьих, норму правил можно было трактовать совсем свободно: ведь возможность связи и приема SMS есть у подавляющего большинства мобильных телефоновпочему бы просто не сверить полученный номер с базой данных и определить, что номер принадлежит оператору мобильной связи?