Uudised, sündmused ja blogi

CENTR R&D25 ja Tech51

Alustuseks põnevamad uudised. Iiri register töötab akrediteeritud registripidajate raamistikuga, pakkudes muuhulgas allahindlusi neile, kes saavutasid akrediteerimisel parema tulemuse. Itaalia katsetab AI-d võrguliikluse monitoorimisel ja analüüsimisel. Taani loobus PCH anycast-teenusest Tšehhi registri lahenduse kasuks, sest nende 2-3 minutiline tsooni uuendamise intervall osutus ameeriklaste jaoks liiga kiireks. Hollandi register (.nl) liigub pilve, belglased aga virtuaalmasinatelt Kubernetesele. Tšehhi register võitis gov.cz hanke ning arendab nüüd riigile DNSi, veebiportaali ja API-liideseid; samuti said nad õiguse jätkata järgmise nelja aasta jooksul Tšehhi EIDAS node haldamist. 

ICANN teatas, et alates 2025. aastast pole gTLD-dele enam WHOIS-teenuse pakkumine kohustuslik, mis viitab RDAP-protokollile üleminekule. Oleme ise seni RDAP-i eemalt jälginud, kuid ees on ootamas segadusrohke aeg, kus pole enam ühtset protokolli registreeritud domeenide kohta info saamiseks. Kui soovime, et .ee kohta oleks kõigil võimalik siiski ülevaade saada, tuleb meil tõenäoliselt ka RDAP-i juurutamine päevakorda võtta.

Üks Saksa registri juhtidest rõhutas oma lühikeses ja löövas tervituskõnes, et rahvusdomeeni registritelt oodatakse üha vähem nõuandeid ja arvamusi ning aina rohkem lahendusi. Arvan, et see pole iseloomulik ainult meie valdkonnale, vaid pigem üldine trend – inimestel pole enam aega süveneda.

Arutelude sektsioonis said osalejad välja pakkuda teemasid ning kohalolijad märkisid, mis teema neid enim paelub. Osalejad jagunesid seejärel kõige rohkem hääli saanud teemade järgi gruppidesse. Pakkusin välja kaks teemat – isikutuvastus meie eeID teenuse näitel ja kontaktandmete kvaliteedikontroll. Kumbagi kahjuks aruteluks ei valitud. Pole viga – liitusin meelsasti Rootsi juhitud arutelugrupiga DNS andmete sünkroniseerimisest alam- ja ülemnimeserverite vahel. Hiljem hakkas mind siiski häirima, et osalejad eelistasid arutada kvantajastu krüptograafiat DNSSECi võtmes ning erisusi suurte ja väikeste registrite toimetamises. Mitte, et tegemist oleks mõttetute teemadega, kuid nende praktiline väljund on kasin. Rääkides kvantarvutuse alal tegutsevate inimestega, on üldine seisukoht, et reaalselt kasutatavast kvantarvutist oleme veel enam kui kümne aasta kaugusel. Selle ajaga jõuab areneda ka krüptovaldkond. Aga inimestele meeldib fantaseerida. Ning suurte ja väikeste registrite võrdlus: ühed on suured ja neil on suured mured ja võimalused; teised on väiksemad oma eeliste ja puudustega, aga mis siis? Ilmselt tuleb järgmisel korral rohkem rõhku panna showle, teha rohkem nalja ja tsirkust, et meelitada inimesi arutama päris asjade üle :)

Saksa register valmistab ette ambitsioonikat plaani muuta kõigile kättesaadavaks nende poolt loodud lahendus, millega saab valideerida kõiki maailma postiaadresseid. Tehtud töö on muljetavaldav – andmeid kontrollitakse postiasutuste andmebaasidega (kui see on vastava riigi kohta saadaval) OpenStreetMapi abil. Siiski ei saa ma lahti küsimusest, miks? Miks üldse postiaadresse koguda? Mõnes riigis on see seadusesse kirjutatud, kuid Saksamaa pole nende seas. Neil on see nõue domeeniregulatsioonis, mida nad ise kontrollivad. Peamine kasutus on pahatahtlike registreeringute tuvastamine, mis toimib seni, kuni pahalased ei tea, et see on oluline sisend. Vastasel juhul hakkavad nad kasutama suvalisi eksisteerivaid aadresse mitteeksisteerivate asemel. Ilmselt tehakse seda juba praegu. Olen jätkuvalt seisukohal, et andmeid tuleb koguda silmas pidades minimaalsuse printsiipi – ei tohiks koguda andmeid, mida pole teenuse osutamiseks vaja. Aga need andmed, mida on oluline koguda, tuleb regulaarselt kontrollida, et tagada kõrge andmekvaliteet ja ajakohasus.

Rootsi register on juba pikalt tegelenud DNS andmete sünkroniseerimisega erinevate tasemete nimeserverite vahel. Olemas on kaks standardit: CSYNC (RFC 7477) ja CDS (RFC 8078) – mõlemad tihedalt seotud DNSSEC kirjetega. Tsoonifailid DNS serverites sisaldavad aga palju enamat ja miks ei võiks olla sarnast automatiseeritud lahendust andmete liigutamiseks alam- (child) nimeserverist ülem- (parent) nimeserverisse. Johan Stenstam on selle teemaga pikalt tegelenud ja püüab hetkel IETF-is vastavat standardit läbi suruda.

.eu ja .be ei kasuta enam HSMe (Hardware Security Module ehk riistvaraline krüptograafiliste võtmete hoidmise seade) DNSSECi võtmete hoidmiseks. Veelgi enam, nad ei kasuta ka tarkvaralist alternatiivi. Näiteks .be salvestab võtmed krüpteeritud kettale ning monitoorib selle kasutust. Arvasin, et DENIC on üks väheseid, kes HSMidest on loobunud, kuid näib, et aeg on edasi läinud ja nüüd oleme meie justkui ühed vähestest, kes HSMe veel kasutab. Peamised probleemid HSMidega on nende kõrge hind, keerukas haldus ja jõudlus. HSMide aeglus on üks peamisi põhjuseid, miks .ee on jätkuvalt üsna tagurlikult aeglase 10-minutilise tsooni uuendamise intervalliga. .eu rõhutaski pigem operatsioonilisi probleeme ning olulist turvariski, et kui midagi peaks HSMidega juhtuma, siis võtmeid sealt kätte ei saa. Mida on vaja kaitsta - kas võtit või võimalust allkirjastada? HSM hoiab küll võtit kinni, kuid ei sega allkirjastamast või signatuuride kasutamist. Oluline mõttekoht meie allkirjastamise lahenduse arenduses, eriti pilve migratsiooni kontekstis.

Tšehhid kurdavad, et oksjonile minevate domeenide arv on oluliselt langenud. Positiivne probleem? Kui kõik domeenid vabastatakse läbi oksjoni, tähendab see, et domeene kustub vähem. Kui domeenide arv pole drastiliselt langenud, siis järelikult on pikendamise protsent paranenud. Mõõtnud nad seda veel ei ole. Meie jaoks on suurused jäänud oksjoni tulekuga enam-vähem samaks. Võib küll öelda, et oksjonilt ostetud domeenide pikendamise protsent on keskmisest kõrgem – see on ootuspärane, sest oksjonilt ostetud domeenide eest on rohkem makstud ja pikendamine on sellega võrreldes soodsam.

Juttu tuli ka nimeserveri lahendustest pilves, mis võiks olla paindlikum alternatiiv väikestele registritele oma anycast-pilve loomise asemel. Ka RESTful EPP käis mitmel korral läbi. RESTi-põhise alternatiivi EPP liidesele on meie kõrval juurutanud Prantsuse register ning see on päevakorras ka .cz, .si, .be, .nl ja .ca registrites. Novembris saame oma lahendusest ja kogemusest rääkida nii IETF-is kui ICANNi kohtumistel.

Oli huvitav kohtumine. Järgmise korrani!