Давайте поговорим о рисках, связанных с доменами и хостингом сайтов, простыми словами.
Доменное имя (буду называть его просто домен) — фактический адрес сайта в Cети. Это, пожалуй, главная ценность сайтовладельца. Утраченные веб-страницы можно восстановить из резервной копии. Утрата домена ведет к потере части аудитории.
Компании, которые предоставляют услуги по размещению сайтов, называются хостинг-провайдерами или просто хостерами.
Сохраняйте контроль над своим доменом
Домен регистрируется и поддерживается компанией-регистратором доменных имен. Таких компаний много. Если у вас есть сайт и домен, значит, этот домен зарегистрирован у подобной компании. Выясните, у какой именно, если не знаете. Сделать это можно в базе WHOIS, например, здесь. Введите свой домен, нажмите кнопку. В строчке «Registrar WHOIS Server» вы увидите название своего регистратора. Обратите внимание: ваша личная информация, такая как имя, физический адрес или номер телефона, в публичный доступ не выкладываются.
Владельцу домена нужно иметь логин и пароль к панели управления доменами на сайте регистратора. Одна из типичных угроз — когда веб-мастер или иной человек, «отвечающий» за домен, уходит из команды. Увы, порой люди покидают коллектив с негативными эмоциями. Тогда вместе с недовольным сотрудником может «уйти» и домен. Чем «ближе» домен к руководству команды, к ее сердцу и мозгу, к тому человеку, который точно не бросит дело при любом повороте событий, тем лучше.
Выясните, на кого конкретно зарегистрирован домен, если вы еще не сделали это. На вас лично, на вашу организацию? На вашего коллегу или на его племянника, который в далеком 2012 году вызвался помочь с веб-сайтом? Такое знание может пригодиться в том случае, если возникнет конфликт и придется подтверждать личность владельца домена. Узнать эту информацию можно в панели управления доменом на сайте регистратора.
Ваша модель угроз включает обыск, заключение под стражу, суд? Тогда, быть может, есть необходимость в доверенном лице. Этот человек будет иметь доступ к важным аккаунтам, включая управление доменом. Лучше, если доверенное лицо будет не из вашего непосредственного окружения. Еще лучше, если оно будет находиться в более безопасной юрисдикции.
Проверьте настройки управления доменом
Убедитесь, что в контактных данных указана ваша актуальная электронная почта. Лучше, если этот email-адрес будет в более-менее защищенной системе. Хотя бы в Google, но не в Mail.ru или Yandex.ru. Рассмотрите вариант Protonmail. Поищите старые письма от регистратора и удостоверьтесь, что они не фильтруются в папку «Спам».
Включите в панели двухфакторную аутентификацию, если она доступна. Лучше выбирать вариант с привязкой к устройству и резервными кодами, а не по смс. Если вы используете схему с доверенным лицом, этому человеку следует иметь под рукой резервные коды. Случись что, доступа к вашему устройству у него не будет.
Добавьте ссылку на панель регистратора в закладки браузера. Или зафиксируйте ее другим способом, чтобы не забыть.
Убедитесь, что с оплатой домена все в порядке
За поддержку домена надо платить регистратору. Обычно это небольшая сумма — до 25 долларов в год. К сожалению, некоторые люди и в мирное время забывают регулярно платить. Особенно, если им напоминают об оплате только раз в год.
Что случится, если вовремя не заплатить за домен? Обычно практика такая. После одного-двух предупреждений регистратор объявляет месячный «grace period» — время, когда вы (и только вы) еще можете заплатить ту же цену и вернуть себе домен. Если это время упустить, вам дадут еще месяц, в течение которого вы сможете вернуть себе домен, но уже с доплатой. Если вы продолжите игнорировать регистратора, то потеряете домен. Поэтому обязательно уточните в панели управления доменом, когда заканчивается оплаченный период. И не тяните до последнего.
Как оплачивать домен, если регистратор находится за рубежом? Сегодня это нетривиальная задача, ведь карточки Visa и Mastercard, выпущенные российскими банками, для онлайновых покупок за рубежом больше не подходят. Могу посоветовать упомянутый выше сценарий с доверенным лицом в другой юрисдикции. То есть человеком, способным произвести оплату. Я не уверен, что есть смысл придумывать более сложные схемы для разового платежа в 25 долларов.
Политические решения регистраторов
В марте 2022 года американский регистратор доменных имен Namecheap, входящий в десятку самых популярных регистраторов по разным опросам и рейтингам, объявил, что все его российские клиенты должны перенести свои домены к другим регистраторам. В отдельных случаях регистратор делал исключения. Таким образом Namecheap обозначил свою поддержку Украине. Этот пример показывает, что владелец домена может столкнуться с политически мотивированным закрытием аккаунтов. Вот почему, в частности, платить за домен лучше за год вперед, а не сразу за много лет, пусть даже за такой аванс делают приличную скидку.
Невозможно предсказать, как изменится политическая ситуация, какое решение примет та или иная компания. Важно следить за официальными сообщениями и тем, что компания присылает вам по email (еще одна причина иметь в настройках актуальный адрес). Если вы столкнетесь с подобным ультиматумом, постарайтесь связаться с техподдержкой и разобраться. Попробуйте объяснить регистратору, что вы и ваша команда на стороне добра. Это может быть непросто, учитывая языковой барьер и нежелание регистратора разбираться. Может быть потребуются какие-то свидетельства и доказательства. Если аргументация не сработала, экономьте время, переезжайте к другому регистратору до наступления установленного дедлайна.
Продумайте заранее резервную площадку и другого регистратора, который «приютит» ваш домен. Необязательно сразу платить: побродите по сайту, присмотритесь к отзывам, добавьте страницу в закладки. Вот лишь некоторые крупные регистраторы доменных имен: Domain.com, GoDaddy, Network Solutions, Google Domains, Hover, Bluehost.
Как перенести домен к другому регистратору
Если (увы!) наступил момент, когда домен приходится переносить к другому регистратору, выполните следующие шаги:
- в панели управления текущего регистратора разблокируйте ваш домен;
- запишите аутентификационный код, который вам предложит регистратор;
- в панели управления нового регистратора запустите процедуру переноса домена: укажите сам домен и аутентификационный код.
Процедура переноса обычно занимает 5-7 дней.
А если перенести домен в Россию?
Иногда можно услышать советы перенести управление доменов (да и вообще сервисы) в российскую юрисдикцию. Проще оплачивать, и вряд ли сервис примет политическое решение отказать вам в обслуживании лишь потому, что вы гражданин РФ. Идея понятна. Но если вы, к примеру, гражданский активист или независимый журналист, советую хорошенько подумать. Нужно ли переносить свой домен туда, где возможно давление на регистратора со стороны государственных органов вплоть до разделегирования домена (то есть, лишения вас права собственности)?
Я полагаю, нет. Наоборот, если ваша модель угроз включает такой сценарий, если ваш домен находится в российской юрисдикции, стоит подумать о его переносе к зарубежному регистратору. Владельцы доменов .org, .com, .info и прочих (кроме .ru, .su, .рф) могут последовать описанному выше совету. Если у вас домен в одной из трех «российских» зон, советую зарегистрировать дублирующий домен. То есть, если у вас домен мойсайт.ru, попробуйте завести, к примеру, мойсайт.org. Проверить доступность и стоимость разных доменов можно на сайте любого регистратора (например, здесь). Возможно, стоит потихоньку переводить свой сайт туда. Увы, это сопряжено с некоторыми потерями в читательской аудитории, выдаче поисковых систем. Такова цена безопасности.
Описанная выше миграция с (условно) .ru на .org не значит совет избавиться от домена .ru сразу после переезда. Во-первых, вам понадобится установить переадресацию (редирект) со старого сайта на новый. Вряд ли это получится, если прежний домен заполучит кто-нибудь другой. Во-вторых, недобросовестные люди могут вознамериться получать дивиденды с вашего популярного сайта. А если злодей решил причинить вам ущерб, он может выложить на месте вашего старого сайта .ru сборник шуток Евгения Петросяна или что-то еще в этом духе. Придержите старый домен, не такие уж и большие деньги.
Можно ли сохранить анонимность при регистрации домена?
Бывают ситуации, когда человеку нужно рассказать миру нечто важное (например, обнародовать факты нарушений прав человека), оставаясь при этом анонимным. К сожалению, практика международной организации ICANN складывалась в те времена, когда онлайновая приватность и анонимность еще не были признанными ценностями. ICANN получала от регистраторов данные и добавляла их в базу WHOIS. Никакой анонимности. Даже контактные адреса и телефоны физических лиц были доступны всем желающим.
Впоследствии регистраторы получили возможность предлагать своим клиентам сервисы по защите приватности. За небольшую сумму (скажем, 10 долларов в год) компания-регистратор подменяла данные клиента собственными данными. Однако сами регистраторы продолжали собирать клиентскую информацию, как при регистрации, так и при оплате. Более того, они вполне были готовы делиться информацией с властями при наличии судебного решения в соответствующей юрисдикции. Эта нехитрая практика сохраняется и поныне. Возможно, она совместима с вашей моделью угроз. Например, если выбранный вами регистратор доменных имен находится в Канаде, источники угроз — исключительно в вашей стране проживания, и вы полагаете вероятность выдачи данных из Канады в вашу страну по запросу местных властей ничтожной.
Если ваша модель угроз включает канадцев и их союзников по альянсу «Пяти глаз», тогда, пожалуй, лучше поискать регистратора за пределами этих юрисдикций. Вам подойдет какой-нибудь украшенный пальмами экзотический остров, мечта дайверов. Обратите внимание на Njalla. Эта компания не только имеет юрисдикцию Сент-Китс и Невис, но и репутацию тех, кто (в хорошем смысле) «зациклен» на приватности клиентов.
Анонимность и контроль над доменом оказываются на разных чашах весов. Фактически компании типа Njalla выступают в роли посредников. Было бы странно притворяться, что тут нет никаких рисков. Возможно, вы захотите иметь в качестве посредника не компанию, а доверенное лицо за рубежом, человека, на которого можно положиться.
Хостинг: основные риски
То, что вы прочли выше про домены, во многом относится к хостингу. Давайте повторим основные моменты, но уже для хостинга.
- Сохраняйте контроль над хостингом своего сайта. Вам следует знать, в какой компании хостится ваш сайт, адрес панели управления, логин и пароль.
- Проследите, чтобы для панели управления хостингом была включена двухфакторная аутентификация и сохранены резервные коды двухфакторной аутентификации.
- Проверьте, чтобы в панели управления хостингом были указаны актуальные реквизиты, в первую очередь ваш действующий email-адрес.
- Если ваша модель угроз предусматривает возможность обыска и ареста, подумайте над сценарием с доверенным лицом (желательно в иной юрисдикции).
- Если вы в группе риска, лучше иметь хостинг за пределами России.
- Оплачивайте хостинг вовремя.
- Если хостинг за рубежом, найдите человека за границей, который поможет его оплачивать.
- Хостинг-провайдер пошел по пути Namecheap? Попробуйте его переубедить, а если не выйдет, переезжайте к другому хостинг-провайдеру.
О резервных копиях сайтов я говорил в предыдущей статье.
Виды хостинга
Хостинг бывает трех основных видов:
- Виртуальный хостинг. Ваш сайт живет на сервере вместе со множеством других сайтов. Для управления сайтом используются инструменты, установленные хостинг-провайдером. Поддерживать такой сайт проще всего. Виртуальный хостинг предназначен для небольших проектов со скромными требованиями. Условно его можно сравнить с гостиничным номером в отеле «Космос».
- VDS/VPS (не путайте с VPN!). Ваш сайт делит серверное пространство с небольшим количеством сайтов. Заказывая такой хостинг, вы определяете, какие ресурсы нужны ему для работы, например, количество оперативной памяти. Хостер предложит готовые инструменты, но администрирование такого сервера лучше поручить знающему человеку. VDS/VPS подходит для более серьезных проектов. Аналогия — квартира в городском доме.
- Аренда сервера и co-location. Вы арендуете у хостера сервер целиком или покупаете собственный сервер и передаете хостеру, чтобы тот установил его в серверную стойку и подключил к интернету. Вы даже можете установить сервер у себя в офисе. Администрирование такого сервера требует профессиональных знаний. Co-location выбирают для нагруженных проектов. Его можно сравнить с отдельно стоящей усадьбой.
Зачем я это рассказал, спросите вы? Ради одного аргумента. В трудные времена шансы выжить больше у тех, кто мобильнее, кто требует меньше ресурсов и обременен меньшим числом зависимостей. Хотя технически VDS/VPS и собственный сервер дают больше возможностей для защиты, виртуальный хостинг организационно может быть выигрышнее.
Сайт на виртуальном хостинге требует сравнительно мало внимания со стороны администратора. При наличии резервных копий его можно легко перенести на другой виртуальный хостинг. VDS/VPS, для которого существуют требования к ресурсам и который зависит от администратора, может быть сложнее перенести. А собственному серверу вообще может угрожать физическое изъятие. Если вы волнуетесь за собственный проект в этом смысле, возможно, переход на «облегченный режим» поможет вашей команде (экономить деньги точно поможет).
Есть у сайта на виртуальном хостинге и дополнительный риск в нынешние сложные времена. Я говорю о возможной блокировке вашего сайта заодно с соседским (просто по IP-адресу).
Хуже всего придется владельцам сайтов на так называемых «конструкторах» вроде Tilda или Wix. У этих людей руки связаны владельцами соответствующих серверов, и что-либо изменить будет трудно. Рекомендация Теплицы — избегать подобных решений и ориентироваться на популярные системы управления сайтами (CMS), например, WordPress.
Оплата и юрисдикция хостинга
Оплата доменного имени осуществляется на один год. Можно оплатить сразу за два года и больше. Но я не советую: поведение компании в меняющейся политической ситуации трудно предсказать. А вот оплата хостинга может производиться каждый месяц. Поэтому про хостинг люди обычно помнят. Но не пропускайте извещения хостинг-провайдера!
Хостинг сайта из зоны .ru, .su или .рф вполне возможен и в России, и за рубежом. Регистратор домена и хостинг-провайдер необязательно должны совпадать, хотя у многих всем занимается одна и та же компания.
Deflect: хостинг для особых клиентов
Вы или ваша команда принадлежите к миру гражданских активистов? Вашему сайту угрожают неприятности вроде DDoS -атак? Можете попробовать канадский сервис Deflect. Это удобный бесплатный инструмент от команды разработчиков eQualit.ie. Deflect создан для снижения негативного эффекта от атак с распределенным доступом. Сервис может быть полезен для крупных НКО, за которыми наблюдают и на которые чаще направлено недовольство властей. Но и небольшим организациям с ограниченными ресурсами, которые не способны противостоять даже относительно слабой атаке, Deflect пригодится. Теплица подробно писала про Deflect в этом материале.
Мы не рассмотрели множество вопросов, связанных с доменами и хостингом. Таких как SSL-сертификаты или противодействие DDoS-атакам. Все невозможно охватить в одной статье. Мы старались сфокусироваться на тех моментах, которые оказались под влиянием текущей общественно-политической ситуации. Надеемся, мы еще побеседуем с читателями Теплицы о других аспектах, связанных с безопасностью доменов и хостинга.