Nomeação de domínios na internet: O DNS, Raízes Alternativas e o Futuro

Nomeação de domínios na internet

Avri Doria, Pesquisadora da Luleå University of Technology e presidente do Comitê Executivo do NCUC (Non-Commercial Users Constituency), na ICANN

Data da publicação: Agosto de 2011

A POSSIBILIDADE DE RAÍZES ALTERNATIVAS1

Raízes alternativas, também chamadas de ‘alt roots’, são um tópico frequentemente pronunciado em voz baixa. São tanto uma ameaça quanto uma promessa. Envolver-se com raízes alternativas é o suficiente para ser afastado da Força-Tarefa de Engenharia da internet (IETF, sigla em inglês) ou da Corporação da internet para Atribuição de Nomes e Números (ICANN, sigla em inglês) e também o suficiente para tornar-se um herói em alguns círculos.

Quinze anos atrás, antes da criação da ICANN, havia muitas propostas sobre novas raízes. O medo destas novas propostas foi suficiente para fazer muitos governos despertarem para a importância do Sistema de Nomes de Domínios (DNS, singla em inglês). Há cerca de cinco anos, fui ao Conselho de Arquitetura da internet (IAB, sigla em inglês) e recomendei que a IETF começasse a trabalhar em uma resposta técnica para o problema de raízes alternativas, já que esperava que raízes alternativas emergissem em vários países. Fui informada que com certeza a IETF não poderia fazê-lo, pois isso significaria dar permissão para aqueles que quisessem dividir a raiz. Também fui lembrada que a IAB já havia falado sobre esta questão na recomendação RFC2826 e havia desencorajado qualquer esforço nesta direção.

Há cerca de três anos, insisti que os nomes de domínio internacionalizados (IDNs) de ccTLDs e de gTLDs, grafados em caracteres e idiomas locais, deveriam ser inseridos na raiz ao mesmo tempo para que governos não obtivessem uma vantagem comercial sobre a indústria de nomes de domínio em seus países. Depois que as pessoas superaram o choque após eu ter falado algo a favor de interesses comerciais, eu fui chamada em particular e informada que a ICANN tinha que apressar-se e lançar ccTLDs internacionalizados porque os russos, e talvez até os chineses, poderiam separar-se e criar suas próprias raizes se a ICANN não fizesse o que eles queriam imediatamente e não desse a eles seus ccTLDs em seus caracteres e idiomas nacionais.

Há dois anos, eu era parte de um grupo de autores da Força-Tarefa de Pesquisa da internet (IRTF, sigla em inglês), Grupos de Pesquisa de Redes Tolerantes a Atrasos (DTNRG, sigla em inglês), que sugeriu que um Identificador Uniforme de Recursos (URI) do tipo DTN (ou seja, seguindo os padrões para uma rede tolerante a atraso2) poderia ser utilizado para definir nomes sob uma autoridade que não a ICANN para endereços em uma rede. Redigimos um rascunho para a internet utilizando o componente de Autoridade do URI3 para elaborar um esquema de definição de nomes fora do espaço da ICANN4 com o uso de padrões DTN. Este trabalho está pendente mas está sendo utilizado experimentalmente.

Há cerca de um ano atrás, organizadores da Pirate Bay iniciaram uma tentativa de criação de um novo “sistema de DNS aberto, descentralizado e grátis!”5 utilizando tecnologia ponto a ponto (P2P, sigla em inglês). Esta é uma das mais recentes tentativas para a criação de novos sistemas DNS ou raízes alternativas que têm sido propostos nos últimos dez anos. Acho que tornou-se dormente ou desapareceu após uma quantidade razoável de atenção da mídia.

Há cerca de seis meses, durante um debate sobre o gTLD .xxx na ICANN, um dos distinguidos sábios da internet argumentou que seria importante evitar a aprovação de nomes que países pudessem filtrar, porque isto poderia levar à divisão da raiz, algo que deveria ser evitado a todo custo. A divisão em múltiplas raízes seria o que defensores da raíz unitária chamam de raízes alternativas.

Outros argumentam que aqueles rejeitados pela ICANN para novos gTLDs, após gastarem centenas de milhares de dólares em processos e tudo aquilo que se vincula a eles, podem ser seduzidos a se juntarem a raízes alternativas se estas puderem demonstrar que podem ser utilizadas de maneira confiável e lucrativa. Em jullho deste ano, em uma de minhas aulas na Summer School on Internet Governance (SSIG, Escola de Verão Sobre Governança na Internet)6 mencionei que acreditava que eventualmente existiriam raízes alternativas ou até novos sistemas de nomeação na internet.

Após a aula um aluno chegou até mim para verificar se eu estava sugerindo a destruição do DNS e portanto o fim da internet, pois o que eu disse havia soado assim para ele. Eu assegurei a ele que, ao contrário de estar advogando a destruição do DNS e da internet, eu estava defendendo a sobrevivência da internet e acreditava que o DNS unitário da ICANN era não somente desnecessário, mas também um monopólio cuja duração como tal estaria limitada.

FRAGMENTAÇÃO DA INTERNET

O argumento mais frequente contra a ideia de raízes alternativas ou sistemas de nomeação alternativos é que isto irá fragmentar a internet. Acho que este argumento é falso, mas devem ser tomadas precauções ao criar sistemas alternativos de nomes para evitar problemas para a internet. Todavia, isto sempre será uma preocupação quando algo novo for criado na internet: deve-se sempre aderir a princípios de projeto que assegurem que a internet continue a ser o sucesso que é em qualquer escala.

O que mantém a internet coesa como um sistema único é um conjunto de protocolos que operam na rede, permitindo que diversas redes se comuniquem. O que também a mantém coesa é um esquema de endereçamento comum, definido pelo Protocolo de internet (IP). Se a criação de um novo esquema de endereçamento comum, o IPv67, não fragmentou a internet, é difícil pensar que um novo sistema de nomeação o faria. Dizer que uma raiz alternativa pode matar a internet é tão razoável quanto dizer que a produção de uma nova agenda telefônica irá destruir a rede telefônica. Claro, se alguém criar uma nova agenda telefônica sem cautela isso pode confundir as coisas, mas quem iria utilizar uma agenda telefônica incorreta? Da mesma forma, se uma raiz alternativa não fornecesse informação correta ou tornasse impossível alcançar/entrar em contato com sistemas que poderiam ser alcançados de outra forma, quem iria utilizá-la? Todos que pensam sobre raízes alternativas entendem que qualquer coisa que for criada tem que funcionar sem tornar a internet menos estável.

O QUE FAZ O SISTEMA DE NOMES DE DOMÍNIOS (DNS)?

Dando um passo atrás, é importante lembrar o que o DNS faz. Sua função primária é criar um conjunto de nomes fáceis para fazer referências aos endereços de IP que se referem a várias máquinas e serviços na internet. Como discutido acima, DNSs são semelhantes a uma agenda telefônica automatizada, na medida em que quando uma pessoa busca um nome ela encontra um endereço de IP. Não há nada mágico sobre o DNS, é um conjunto de perguntas e respostas sequenciais, para traduzir um nome a partir de uma forma que seja compreensível para o entendimento humano, para outra forma: os pseudo-números utilizados em endereços de IP como um meio de identificar sistemas e seu local na rede. O fato de que temos os nomes é importante, não apenas por serem de fácil uso para quem navega na internet, mas para fornecer um meio através do qual o mesmo nome possa direcionar a um novo endereço quando alguém move um recurso no sistema para um local diferente na rede. Então precisamos de nomes e precisamos que os nomes sejam referências confiáveis. Mas por que isso teria que significar que precisamos somente de uma autoridade que atribua estes nomes?

OPINIÃO DO IAB SOBRE RAÍZES ALTERNATIVAS

Como mencionado acima, o IAB discutiu a questão através do documento RFC-28268 e recomendou fortemente que raízes alternativas nunca fossem estabelecidas. O sumário da RFC diz:

"Para que permaneça uma rede global, a internet requer a existência de um espaço de nome público único. O espaço de nomes é um espaço hierárquico derivado de uma raíz única global. Existe um limite técnico inerente ao projeto do DNS. Portanto não é tecnicamente factível existir mais de uma raiz no DNS público."

Esta única raiz tem de ser apoiada por um conjunto de servidores raiz coordenados administrados por uma autoridade de nomeação única.

"Em outras palavras, lançar múltiplas raízes públicas de DNS irá levantar uma possibilidade fortíssima de que usuários de diferentes ISPs (provedores de internet, sigla em inglês) que clicarem no mesmo enlace de uma página Web possam terminar em diferentes destinos, contra a vontade dos criadores dessas páginas."

“Isto não impede redes privadas de operar seus próprios espaços de nome privados, mas se estas desejarem utilizar nomes unicamente definidos para a internet, elas terão que buscar esta informação na hierarquia de nomeação do DNS global, e em particular dos servidores raíz coordenados da hierarquia de nomeação do DNS global.”

Nunca pensei que estes dois primeiros parágrafos fossem muito convincentes. Quando o protocolo de DNS estava sendo introduzido pela primeira vez nos anos 1980, eu não fui capaz de entender por que em uma internet cuja essência era sua natureza distributiva, o DNS deveria ser o único lugar que requereria um ponto único de controle. Mas eu era apenas uma engenheira de rede junior na época e certamente não tinha a solução. Ainda hoje eu acredito que deveria ser possível criar um sistema compatível com a raiz única DNS, mas que acomode outras raízes. E não estou sozinha nesta crença.

O QUE SERIA NECESSÁRIO PARA CRIAR UMA RAIZ ALTERNATIVA?

Dizer que uma coisa é tecnicamente possível é relativamente fácil. Fornecer os requerimentos para tal tecnologia é mais difícil. Construir de fato um novo sistema que cumpra estes pré-requisitos para tal tecnologia é mais complicado. Alguns dos requisitos básicos para qualquer sistema de raiz alternativa podem incluir:

• Não se sobrepor a nenhum outro sistema de domínio. Isto pode ser conseguido listando-se explicitamente a autoridade para um nome como parte do nome (infelizmente esta função, a etiqueta Class, está quebrada na arquitetura atual de DNS), ou por coordenação rigorosa entre as várias raízes para não utilizar um nome já utilizado por outra raiz.

• Compatibilidade retroativa, para que o sistema existente continue a funcionar. Isto pode ser uma extensão do tópico anterior referente a espaços de nomes que não se sobrepõem. Isto pode ser alcançado através da inclusão de outras raízes, especialmente a raiz da ICANN, ou referências a outras raízes na raiz alternativa.

• Segurança.

• Privacidade.

• Escalabilidade.

Sei que várias pessoas já desenvolveram raízes alternativas e conheço ao menos uma que está trabalhando em outra raiz alternativa.

POR QUE NÃO TEMOS RAÍZES ALTERNATIVAS

Na verdade devem existir dúzias de raízes alternativas que surgiram nos últimos anos. Algumas ainda existem, mas muitas estão inoperantes. No entanto, nenhuma destas alcançou algum grau de aceitação na internet. A questão é o porquê disto. A maioria das especulações afirma que nenhuma destas raízes ofereceram algo que os usuários não estavam obtendo de uma raíz única da ICANN. Com nenhuma motivação para mudar, por que mudar?

Além disso, como na maioria de situações de monopólio, a ICANN tem notoriedade e fez um excelente trabalho em relação à sua defesa de uma raiz única. Quase todos que perguntam sobre uma raiz alternativa repetem os chavões sobre como isto pode significar o fim da internet. Mas qualquer um que tenha observado os argumentos a favor de uma raiz única, que não sejam aqueles comprometidos com a religião de uma raiz única, já percebeu que nenhum dos argumentos para uma única raiz é necessário. Se o processo for feito corretamente, a internet iria não somente sobreviver às raízes alternativas e sistemas de nomeação, mas poderia até se beneficiar destas inovações.

ALÉM DO DNS EM DIREÇÃO A OUTRAS ARQUITETURAS DE NOMEAÇÃO

Uma possível razão para não estender o atual sistema DNS para apoiar a raizes alternativas é a fragilidade do atual DNS. Com a adição do suporte a registro do IPv6, do DNS seguro (DNSSec9), de nomes de domínio em línguas e caracteres outros que não do inglês (os nomes de domínio internacionalizados) e agora com a adição de um número indeterminado de novos nomes (os novos gTLDs) que podem ser filtrados, alguns especialistas estão indecisos em relação a quantas mudanças mais o DNS pode suportar. Esta pode ser a debilidade real do DNS: não é que as raízes alternativas serão confusas, é que elas podem agregar mais tensão sobre um sistema antigo e frágil.

Uma possível razão para não estender o atual sistema DNS para apoiar a raizes alternativas é a fragilidade do atual DNS. Com a adição do suporte a registro do IPv6, do DNS seguro (DNSSec9), de nomes de domínio em línguas e caracteres outros que não do inglês (os nomes de domínio internacionalizados) e agora com a adição de um número indeterminado de novos nomes (os novos gTLDs) que podem ser filtrados, alguns especialistas estão indecisos em relação a quantas mudanças mais o DNS pode suportar. Esta pode ser a debilidade real do DNS: não é que as raízes alternativas serão confusas, é que elas podem agregar mais tensão sobre um sistema antigo e frágil.

Por esta, entre outras razões, existem várias tentativas de criar outros sistemas de nomeação para operar paralelamente ao DNS e talvez até eventualmente substituir o atual. Uma destas tentativas é o Serviço de Nomeação de Objeto (ONS10) que vem sendo implementado como um modelo centralizado em níveis no existente DNS e como um sistema par-a-par (P2P, do inglês peer-to-peer) utilizando tabelas de dispersão. No ONS haverá várias raízes pares em vez de uma única raiz. O ONS está utilizando esta abordagem porque busca um modo de fazer a nomeação na chamada “internet das Coisas”, que existe em uma multidão de redes – algumas que são parte da internet e algumas que não são parte da internet tal como entendida hoje. O ONS permite que a rede cresça para além da internet como a conhecemos para tornar-se uma rede sintética ainda maior, uma internet maior.

O ONS é apenas um dos modelos desenvolvendo um sistema de nomeação baseado em P2P. Outro é a estrutura GNUnet11 para assegurar conexões entre pares. Muitas pessoas estão olhando para o modelo de rede P2P e desenvolvendo possíveis novos sistemas de nomeação da internet.

ENTÃO, O QUE FAZER DEPOIS DISSO

Haverá raízes alternativas? Sim, elas existem desde o início e não há razão para pensar que irão desaparecer.

Surgirão raízes alternativas que podem se tornar mais do que um hobby para desenvolvedores? Isto ainda não é certo. Não somente existe a necessidade de haver uma razão para que usuários queiram utilizá-las, e uma forma automática para estes usuários modificarem os sistemas para acessar estas raízes alternativas; haverá também a necessidade de estes sistemas mostrarem que não somente são compatíveis com o sistema da ICANN, mas também que são tão confiáveis quanto ele. Por mais desejável que seja de um ponto de vista político termos algo que substitua a ICANN, esta provou ser um agente regulador competente para serviços de nomes de domínios, que são fornecidos por entidades de registro muito profissionais e confiáveis. Ademais, pode-se esperar que a ICANN não moverá uma palha para ajudar estas raízes alternativas a surgirem. Por isso, para uma raiz alternativa realmente chegar à internet, ela deverá provar que sua implementação e utilização valem a pena. Este não é um caminho fácil; desde o final dos anos 1980 várias tentativas têm sido propostas para raízes alternativas, e até hoje nenhuma delas teve sucesso.

HAVERÁ UM SUBSTITUTO PARA O SISTEMA DNS?

Certamente, em algum momento, o DNS atual será substituído. O sistema tem sido um componente crucial da internet desde o final dos anos 1980. Ele cresceu e foi estendido para suportar funções além das que foram concebidas no momento de sua criação.

O DNS irá durar mais 10 anos? Certamente, existe um exército de engenheiros dedicados e brilhantes para mantê-lo em funcionamento.

O DNS pode durar mais 20 anos? Esta pergunta é difícil, tenho minhas dúvidas. Quando se considera o número de novos endereços que precisarão um nome associado devido à introdução do IPv6 com sua abundância de endereços, é difícil imaginar que o sistema atual de DNS continuará sendo adequado para a tarefa por mais uma ou duas décadas.

Uma coisa certa é que implementar um novo sistema de nomeação na internet não será um processo trivial. Não apenas o sistema de nomeação precisa ser desenvolvido com sucesso, mas também precisa ser aceito pela comunidade técnica da internet e precisa ser implementado. A experiência na internet mostra que qualquer sistema novo, por exemplo o IPv6 ou um novo protocolo de roteamento, necessita de ao menos uma década a partir do momento em que o protótipo estiver completo até estar pronto para o uso. É provável que muitos sistemas de nomeação, e muitos novos protocolos de nomeação, irão surgir nos próximos anos – a não ser que as potências da engenharia da internet e organizações de governança se unam em uma nova estrutura e arquitetura de nomeação. E um requisito para este novo sistema é provavelmente sua habilidade em apoiar múltiplas autoridades de nomeação.

Algum dia a internet irá suportar um sistema de nomeação com uma estrutura de raízes dispersas que serão pares entre si. Como iremos chegar lá e como será esta situação, são questões que ainda estão em aberto.

---
1. O artigo refere-se às propostas de criação de sistemas de nomes de domínio alternativos. Para uma excelente introudição ao assunto, ver http://pt.wikipedia.org/wiki/Servidor_Raiz
2. Rede tolerante a atraso (DTN) é uma arquitetura de rede de computadores que procurar contornar os problemas de conectividade em redes redes heterogêneas entre as quais pode ocorrer conectividade intermitente. Exemplos de tais redes são as redes móveis, ou de ambientes extremos (guerras, resgates, acidentes, etc), ou redes planejadas no espaço. Para mais informação, ver http://pt.wikipedia.org/wiki/Delay-tolerant_networking
3. Ver http://www.ietf.org/rfc/rfc2396.txt
4. Ver http://tools.ietf.org/id/draft-irtf-dtnrg-dtn-uri-scheme-00.txt
5. Ver http://dot-p2p.org/index.php?title=Main_Page
6. Ver http://www.euro-ssig.eu/
7. Sobre o IPv6 e a exaustão do IPv4, ver http://pt.wikipedia.org/wiki/IPv6
8. Ver http://tools.ietf.org/html/rfc2826
9. Ver http://pt.wikipedia.org/wiki/DNSSEC
10. Ver http://www.epcglobalinc.org/standards/ons
11. Ver https://gnunet.org/