ICANN (Internet Corporation for Assigned Names and Numbers) to globalna organizacja non-profit odpowiedzialna za koordynację unikalnych identyfikatorów w sieci, takich jak system nazw domen (DNS) i adresy IP. Jej główną rolą w zarządzaniu internetem jest dbanie o to, by każda strona i urządzenie miały swój niepowtarzalny adres, co pozwala komputerom na całym świecie bezbłędnie się ze sobą komunikować.
Bez tej centralnej koordynacji globalna sieć rozpadłaby się na odizolowane wyspy. Komputery nie rozumieją słów. Rozumieją ciągi liczb. Kiedy wpisujesz w przeglądarkę adres witryny, infrastruktura internetu musi wiedzieć, na jaki dokładnie serwer wysłać żądanie. ICANN pilnuje, żeby dwie różne firmy nie zarejestrowały tego samego adresu IP ani tej samej domeny w tym samym czasie. To z pozoru proste zadanie wymaga potężnej bazy administracyjnej i politycznej zgody na całym świecie.
Dlaczego w ogóle potrzebujemy centralnego rejestru w sieci?
Większość ludzi myśli, że internet działa sam z siebie. A prawda jest zresztą absolutnie taka, że to zbiór kabli, routerów i umów między operatorami. Kiedyś, w zamierzchłych czasach ARPANET-u, cały rejestr nazw i przypisanych do nich adresów trzymał jeden człowiek, Jon Postel, w zwykłym pliku tekstowym o nazwie HOSTS.TXT na swoim komputerze. Zmieniał wpisy ręcznie. Dzisiaj mamy miliardy urządzeń. Jeden plik tekstowy dawno przestał wystarczać.
Musimy mieć jeden punkt odniesienia dla strefy korzenia (root zone). Jeśli twój dostawca internetu w Polsce i dostawca w Japonii korzystaliby z innych tablic adresowych, wpisanie tego samego adresu URL prowadziłoby do dwóch zupełnie różnych stron. ICANN gwarantuje spójność. Zrobiliśmy u nas w firmie kiedyś migrację serwerów dla małego klienta z warszawskiego Ursynowa i zapomnieliśmy zaktualizować rekordy glue u rejestratora. Efekt? Połowa Polski widziała starą stronę, połowa nową, a my w piątek o 23:00 musieliśmy z palca przepychać poprawki do strefy. Bez globalnych zasad propagacji DNS, takie AWARIE byłyby codziennością na skalę całej planety.
Zarządzanie siecią z poziomu ICANN sprowadza się do utrzymania konsensusu. Organizacja ta nie kontroluje tego, co publikujesz na stronie. Nie ma wpływu na cenzurę treści. Pilnuje tylko i wyłącznie warstwy adresowej. Jeśli domena .com wskazuje na konkretne serwery nazw Verisign, to jest to zasługa wpisu w głównym pliku strefy, nad którym pieczę trzyma IANA – dział techniczny ICANN.
Co to jest IANA i jak ma się do ICANN?
IANA (Internet Assigned Numbers Authority) to funkcja. ICANN to korporacja, która tę funkcję obsługuje. Zwykła biurokracja. IANA zajmuje się technicznym przydzielaniem bloków adresów IP regionalnym rejestrom (RIR), takim jak RIPE NCC w Europie czy ARIN w Ameryce Północnej. Regionalne rejestry tną te potężne bloki na mniejsze pule i rozdają je dostawcom internetu. IANA zarządza też numerami portów dla protokołów sieciowych. Jeśli aplikacja używa portu 80 do ruchu HTTP, to dlatego, że IANA tak to kiedyś ustandaryzowała.
Wielu inżynierów uważa IANA za najważniejszy trybik w maszynie. I mają rację. ICANN to spotkania w hotelach, prawnicy i polityka. IANA to technicy w serwerowniach dodający rekordy do baz danych. Kiedy wprowadzano protokół IPv6 z uwagi na wyczerpanie starych adresów IPv4, to właśnie IANA odpowiadała za alokację pierwszych potężnych prefiksów dla poszczególnych kontynentów. Chociaż prawdę mówiąc, brakuje nam twardych dowodów na to, że wdrożenie IPv6 idzie zgodnie z planem, bo większość starych sieci nadal wisi na NAT i starym protokole, bo tak jest taniej i szybciej dla operatorów.
W jaki sposób ICANN zarządza domenami najwyższego poziomu (TLD)?
ICANN dzieli rynek domen na kilka głównych kategorii. GTLD (generic Top-Level Domains) to klasyki typu .com, .net, .org oraz nowe wynalazki rynkowe. CCTLD (country-code Top-Level Domains) to domeny narodowe, takie jak polskie .pl, niemieckie .de czy brytyjskie .uk.
Zasady gry są tu brutalnie proste. W przypadku domen narodowych, ICANN deleguje pełną władzę lokalnym rządom lub wyznaczonym przez nie operatorom (w Polsce jest to NASK). ICANN nie wtrąca się w to, ile NASK kasuje za odnowienie domeny .pl ani komu pozwala ją zarejestrować. Ich zadaniem jest tylko utrzymanie rekordu delegacji w serwerach root.
Inaczej sprawa wygląda z domenami globalnymi (gTLD). Tutaj ICANN ustala twarde reguły. Rejestratorzy (firmy sprzedające domeny detalicznie) muszą podpisać z nimi kontrakt RAA (Registrar Accreditation Agreement). Muszą płacić roczne haracze. Muszą wdrożyć procedury odzyskiwania domen, kody AuthInfo i politykę rozwiązywania sporów UDRP. Jeśli firma krzak zacznie kraść domeny klientom, ICANN po prostu odcina jej akredytację i przenosi portfel klientów do kogoś innego.
| Typ Domeny | Przykład | Kto tym zarządza na co dzień? | Rola ICANN |
| ccTLD (Krajowe) | .pl, .de, .fr | Lokalne rejestry (np. NASK) | Tylko wpis w Root Zone |
| gTLD (Klasyczne) | .com, .net, .org | Verisign, PIR | Ścisła regulacja, kontrakty, narzucanie cen hurtowych |
| New gTLD (Nowe) | .app, .blog, .xyz | Google, Automattic, mniejsze firmy | Zarządzanie procesem aplikacji, pobieranie opłat akredytacyjnych |
| sTLD (Sponsorowane) | .gov, .edu, .mil | Agencje rządu USA, Educause | Ograniczona, domeny o specjalnym przeznaczeniu |
W 2012 roku zarząd ICANN otworzył puszkę Pandory. Wprowadzili program „New gTLD”. Pozwolili każdej korporacji z odpowiednio grubym portfelem złożyć wniosek o własną końcówkę. Wpisowe kosztowało równe 185 tysięcy dolarów, a to był dopiero początek wydatków na infrastrukturę techniczną i prawników. Rynek zalały setki nowych końcówek. Jedne chwyciły, inne okazały się kompletnym niewypałem biznesowym i służą dziś głównie spamerom do wysyłania fałszywych maili o niedopłacie za prąd.
Czy ICANN to organizacja podległa rządowi USA?
Już nie. Ale przez dekady tak właśnie było. I to budziło wściekłość na całym świecie. ICANN powstał w 1998 roku na mocy umowy z Departamentem Handlu USA (dokładnie z agencją NTIA). Amerykanie mieli prawo weta wobec zmian w strefie korzenia. Mogli teoretycznie powiedzieć: „Nie podoba nam się ten kraj, wykreślcie jego domenę z internetu”. Nigdy tego nie zrobili, ale sam fakt posiadania takiego czerwonego guzika doprowadzał rządy w Europie i Azji do szału.
Zastanawiacie się zresztą, dlaczego to się zmieniło? W 2016 roku administracja Obamy ostatecznie zrzekła się kontroli nad IANA. Zrobili zwykły hand-off i tyle. Przekazali pełnię władzy nad internetem w ręce globalnej społeczności interesariuszy (multi-stakeholder model). To nie był żaden krok milowy dla ludzkości. To było zwykłe, urzędnicze przekazanie papierów, żeby uciąć polityczne naciski ze strony Rosji i Chin, które chciały przenieść kontrolę nad siecią do ONZ i Międzynarodowego Związku Telekomunikacyjnego (ITU). Amerykanie woleli oddać ICANN w ręce niezależnej korporacji niż pozwolić autorytarnym rządom na majstrowanie przy DNS-ach na forum ONZ.
Teraz model zarządzania opiera się na ciągłych negocjacjach. Rządy mają swój komitet doradczy (GAC). Rejestratory mają swój. Społeczeństwo obywatelskie też. Wszyscy siedzą w salach konferencyjnych i kłócą się o detale polityki transferu domen albo o zasady ochrony prywatności w bazie WHOIS po wejściu RODO. Unia Europejska mocno namieszała swoimi przepisami, zmuszając ICANN do ukrycia danych właścicieli domen. Wcześniej każdy mógł sprawdzić, kto zarejestrował daną stronę. Dzisiaj widzisz tylko ciąg znaków zastępczych i nazwę firmy maskującej.
Jak wygląda techniczna ceremonia podpisywania kluczy KSK?
Żeby system nazw domen był bezpieczny przed atakami typu cache poisoning (kiedy haker podszywa się pod serwer banku), wymyślono DNSSEC. To rozszerzenie dodające kryptograficzne podpisy do zapytań DNS. A na samym szczycie tej piramidy zaufania znajduje się jeden główny klucz strefy korzenia – Key Signing Key (KSK). Kto go kontroluje, ten teoretycznie ma władzę nad autentycznością globalnej sieci.
ICANN organizuje ceremonie generowania i podpisywania tych kluczy. Odbywają się one w dwóch ośrodkach w USA: w El Segundo w Kalifornii i w Culpeper w Wirginii. Całość brzmi jak scenariusz taniego filmu szpiegowskiego, ale sprowadza się do tego, że kilkunastu inżynierów z całego świata zbiera się w pomieszczeniu bez okien. Muszą zdeponować smartfony. Przechodzą przez śluzy biometryczne. Otwierają sejfy za pomocą fizycznych kluczy, wyjmują karty inteligentne i aktywują sprzętowe moduły bezpieczeństwa (HSM). Wklepują komendy w terminalu, generują nowy podpis dla strefy root na najbliższe miesiące, drukują logi i idą na obiad.
To jest po prostu nudna procedura audytowa. Zrobiliśmy u nas na wdrożeniu podobne procedury dla mniejszych systemów bankowych i uwierz mi, nikt nie czuje tam wzniosłości. Zwykła, pospolita robota z kryptografią asymetryczną. Jeśli jakikolwiek sprzęt w trakcie ceremonii zgłosi błąd, procedura jest przerywana. Te protokoły mają gwarantować, że nikt w pojedynkę, ani nawet rząd amerykański z nakazem sądowym, nie jest w stanie wygenerować fałszywego podpisu strefy bez wiedzy reszty strażników klucza.
Co by się stało, gdyby ICANN nagle zniknęło?
Gdyby biura ICANN wyparowały z dnia na dzień, internet działałby dalej. Serwery główne (root servers) są fizycznie utrzymywane przez 12 innych organizacji, takich jak NASA, Verisign, uniwersytety czy wojsko. Posiadają one kopie pliku strefy. Routery wymieniające ruch BGP nadal wiedziałyby, gdzie kierować pakiety.
Problem zacząłby się po kilku tygodniach. Skończyłyby się podpisy kryptograficzne DNSSEC. Przeglądarki zaczęłyby sypać błędami o braku zaufania do domen. Nikt nie mógłby zarejestrować nowej końcówki globalnej. Brakowałoby arbitra w sporach o kradzież domen. Rejestratorzy zaczęliby wymyślać własne, sprzeczne zasady. Zapanowałby chaos w alokacji adresów IP dla nowych dostawców internetu w Azji i Afryce. ICANN nie trzyma wtyczki od internetu. Oni po prostu utrzymują umowę społeczną, dzięki której ta cała plątanina miedzianych i światłowodowych kabli ma jakikolwiek sens logiczny dla oprogramowania.
Niedawno czytałem wywody na forach, że ICANN powinno wyłączyć domeny krajom łamiącym prawa człowieka. To bzdura. ICANN twardo trzyma się zasady neutralności technicznej. Raz nałożony precedens usunięcia ccTLD z powodów politycznych rozwaliłby całą architekturę zaufania. Chiny natychmiast stworzyłyby własny alternatywny root DNS. Rosja już zresztą testuje u siebie odłączenie od globalnej sieci (tzw. RuNet). Fragmentacja internetu (splinternet) to największy koszmar inżynierów protokołów sieciowych.
Jak zarabia ICANN i na co wydaje te pieniądze?
Organizacja ma gigantyczny budżet. Zdecydowana większość ich przychodów pochodzi z mikropłatności od każdej zarejestrowanej domeny. Kiedy kupujesz domenę .com na rok, ułamek dolara z tej kwoty leci prosto na konta ICANN jako stała opłata operacyjna. Biorąc pod uwagę, że na świecie są setki milionów aktywnych domen, daje to potężny, stabilny strumień gotówki.
Zarząd wydaje te środki na utrzymanie infrastruktury IANA, organizację globalnych zjazdów (ICANN meetings), prawników i audytorów. Płacą też za programy wsparcia w krajach rozwijających się, żeby inżynierowie z Afryki mieli sprzęt i wiedzę do stawiania lokalnych serwerów lustrzanych (anycast). Im szybciej DNS resolve’uje zapytanie na lokalnym węźle w Nairobi, tym szybciej ładuje się tam strona. Zwykła fizyka i ograniczenia prędkości światła w kablach.
Osobiście uważam, że ich machina biurokratyczna jest mocno przerostowa. Zatrudniają masę ludzi do produkcji dokumentów, których nikt potem nie czyta na produkcji u dostawców usług. Ale z drugiej strony, to cena za unikanie wojen o zasoby w sieci. Lepsza nudna korporacja z procedurami niż walka operatorów telekomunikacyjnych o to, kto ma prawo używać adresu IP z puli 1.1.1.1 (swoją drogą, Cloudflare dogadało się z APNIC w tej sprawie i postawili na tym świetny publiczny resolver).
Twój ruch, weź to sprawdź u siebie na komputerze
Zamiast czytać o architekturze, po prostu otwórz wiersz poleceń w Windowsie lub terminal w systemie Linux. Wpisz komendę nslookup -type=ns . i wciśnij enter. Zobaczysz listę 13 głównych serwerów nazw od A.ROOT-SERVERS.NET do M.ROOT-SERVERS.NET. To jest ten twardy fundament, nad którym pieczę trzyma ICANN. Każde zapytanie z twojej przeglądarki ostatecznie ufa tym 13 literom alfabetu. Zmień DNS-y w swoim routerze na inne, wymuś odświeżenie cache’u komendą ipconfig /flushdns i zobacz, jak szybko sieć reaguje na zmiany. Zarządzanie internetem to nie magia. To pliki konfiguracyjne, w których ktoś musi pilnować porządku.
Najczęstsze pytania o zarządzanie internetem (FAQ)
- Co oznacza skrót ICANN?
- ICANN to skrót od Internet Corporation for Assigned Names and Numbers. Jest to organizacja zajmująca się koordynacją systemu nazw domen (DNS) oraz adresów IP na całym świecie.
- Czy ICANN może ocenzurować stronę internetową?
- Nie. ICANN nie ma żadnej kontroli nad treściami publikowanymi na stronach internetowych. Zajmuje się wyłącznie przypisywaniem adresów IP i nazw domen do odpowiednich serwerów.
- Kto finansuje działalność ICANN?
- ICANN utrzymuje się głównie z opłat pobieranych od rejestratorów domen. Każda nowa rejestracja lub odnowienie globalnej domeny (np. .com) zawiera drobną opłatę operacyjną przekazywaną do ICANN.
- Czym różni się ICANN od IANA?
- IANA to funkcja techniczna polegająca na zarządzaniu bazą adresów i numerów portów. ICANN to organizacja prawna i administracyjna, która nadzoruje i wykonuje funkcje IANA.
- Czy rząd USA zarządza ICANN?
- Od 2016 roku rząd USA (poprzez agencję NTIA) nie ma już bezpośredniej kontroli nad ICANN. Organizacja działa w modelu wielu interesariuszy (multi-stakeholder), w którym głos mają rządy z całego świata, firmy technologiczne i użytkownicy.
- Jak ICANN chroni przed kradzieżą domen?
- ICANN wymusza na akredytowanych rejestratorach stosowanie procedur autoryzacyjnych, takich jak kody AuthInfo, blokady transferu oraz mechanizm rozwiązywania sporów UDRP (Uniform Domain-Name Dispute-Resolution Policy).
Źródła badawcze i bibliografia branżowa
1. Internet Corporation for Assigned Names and Numbers – https://www.icann.org
2. Internet Assigned Numbers Authority – https://www.iana.org
3. Naukowa i Akademicka Sieć Komputerowa (NASK) – https://www.nask.pl
4. RIPE Network Coordination Centre – https://www.ripe.net
5. Internet Engineering Task Force – https://www.ietf.org
6. World Wide Web Consortium – https://www.w3.org
