BLOGI

CENTR Jamboree 15: arenduse töörühm

Kolmanda päeva esimesel poolel leidis aset 7. arenduse ja 17. turunduse töögrupi kohtumine. Põgusa kogunemise käigus puudutati arenduse töötoas registriandmete analüüsi ja töötlust ning algatati arutelu uue põlvkonna DNSi transpordi protokolli teemal.
Rootsi register küsis korraldajana oma sissejuhatavas esitluses, mis peaks olema registri arendusmeeskondade fookus nüüd ja praegu? Küsimus on tingitud loomulikult viimase aja põhi jututeemast - murest domeeninduse ja domeeniregistrite tuleviku pärast. Uute ülddomeenide tulek tekitab konkurentsi, millega eriti riigitunnusega tippdomeenihaldurid harjunud ei ole ning domeeniregistreeringute trendianalüüsid näitavad, et 2017. aastal võib saabuda aeg, kus Euroopa riigitunnusega tippdomeenid enam ei kasva. Nii püstitaski .SE mõtlemisteemana kolm varianti - kas fokuseerima peaks praegusele domeeniäri arendusele, peaks otsima DNSile uusi rakendusvõimalusi ja/või peaks vaatama domeeniregistrile sarnaseid alternatiivseid valdkondi. Nagu juba varem mainitud tegelevad rootslased ise juba kasutajate halduse teenuse pakkumisega Rootsi meditsiini- ja haridusasutustele ning pakuvad ICANNile tehniliste testide teenuseid. .EE-l siit otseselt midagi järgi teha ei ole, kasutajate halduse teenus teeb sisuliselt sama, mida meie elektroonilise ID taristu ning ICANNile testplatvormi pakkumine nõuab suuremat ressurssi kui meil hetkel käes. Küll aga on tuleviku jaoks suuna seadmine ja juba täna kaugele ulatuvate otsuste tegemine oluline ja aktuaalne ka meie jaoks.

Kokkuvõtvalt jäi seekordne arenduse töörühma kohtumine alla eelnevatele ja midagi uut ja murrangulist ma seekord siit ei leidnudki. Eks vähesel eraldatud ajaressursil oli siin oma roll mängida. Kuid omad momendid oli siiski.

Verisign viis läbi statistilise analüüsi .com ja .net aadressiruumides tehtud WHOIS päringute hulgas, et saada paremini aru, milleks seda teenust üldse kasutatakse. See küsimus on tekitanud ka meil vaidlusi - kas WHOISi päringutega otsitakse vabu domeene või olemasolevate domeenide kontakte või jälgitakse hoopis registreeritud domeene, et võimaluse avanedes need endale registreerida. Verisign vaatles alla 5-kuulist perioodi 2012. ja 2013. aastal võttes aluseks 10-päevased valimid kuu kohta. .com ja .neti WHOIS päringute maht kokku 1 päeva kohta on umbes 150GB. Siit ka põhjus, miks valim just nii piiritleti. Analüüsi tulemusel leiti, et enamus päringuid tehti domeenide kohta, mis on vabad. Kõigist päringuist 67% olid domeeninimedele pikkusega 5 ja 6 märki (neist 84,5% olid vabad). Samal ajal suurt osa neist 5. ja 6. märgilistest domeenidest päriti vaadeldud perioodi jooksul enam kui 1000 korda ja 81% päringutest puudutasid registreerimata domeene. Enam kui pooled neist päringuist olid tehtud väikese hulga IP-de pealt, mis tõstatab küsimuse, miks seda tehakse. Ilmselgelt pole eesmärgiks neid domeene registreerida. Ka vaatluse alla võetud domeeninimed tundusid pigem juhuslikult genereeritud märgijadad. Verisign ise püstitas selle analüüsi põhjal hüpoteesi, et ehk genereerivad neid päringuid bot-nettide juhtkeskused ning kui mõni neist domeenidest registreeritakse, siis hakkab midagi juhtuma. Teine, ulmelisem hüpotees käsitles krüpteeritud kommunikatsiooni kellegagi, kes suudab neid päringuid pealt kuulata. Häid vastuseid ei ole, kuid tegemist tundub olema pigem probleemiga ja kas siin ei võiks olla tulevikus abiks standardi kinnituse teel oleva uue põlvkonna WHOIS lahenduse RDAPi näol, millest ka siin blogis erinevates postitustes juba räägitud.

Alexander Mayrhofer Austria registrist tutvustas oma katsetusi bloom filtrite abil pakkuda võimalust kiiremaks ja hajutatumaks DAS teenuseks. DAS ehk domain availability service on justkui üks osa WHOISi teenuse mõttest, kuid detailsete domeeni andmete asemel väljastab see teenus vaid vastuseks kas domeen on vaba või mitte. Idee siis jagada baasi näiteks registripidajatega, kes ei pea domeeni saadavuse kontrolliks enam registri poole pöörduma. Bloom filtri puhul on tegemist tõenäosusliku andmestrutkuuriga (probabilistic data structure), mis erinevalt domeeni loendi kaitsimiseks domeeni nimedest räside moodustamise ei anna infot ka registris olevate domeenide arvu kohta. Bloom filtri puhul on välistatud vale negatiivsed vastused ehk kui DAS päring ütleb, et domeen ei ole registreeritud, siis see kindlasti ka nii on, kuid võib esineda valepositiivseid. Austria registri enda näitel oli mõstiliku valepositiivsete taseme juures bloom filtri baas 3 MB suur (.at registris on 1,26 mln domeeni). Igaljuhul on tegemist huvitava ideega.

Järgmisena võeti ette arutelu teemal, mis võiks olla homne DNSi trasnpordi protokoll. Täna on nendeks UDP ja TCP, kuid uued DNSi rakendused nagu DNSSEC on paisutanud paketid suureks, puudulik DNSi päringute konfidentsiaalsus ja privaatsus ning isegi usaldusväärsus on probleemid, mis annavad põhjust alternatiivide otsimiseks. Võimalike asendustena pakuti välja näiteks DTLS, SCTP, QUIC, DNScurve, kuid sisulisemaks arutelu edasi ei arenenudki. Ehk liiga ootamatu või keeruline tundus teema sellises formaadis arutamiseks. Teema vajab aga kindlasti sisulisemat analüüsi ja ka erinevate alternatiivide põhjalikku võrdlemist, et oleks võimalik suuremas kommuunis küsimusega edasi liikuda.

Zonemasteri järjekordselt tutvustusel hetkel ei peatuski ja läheks kohe edasi DNSSECi kallale. ICANN uurib DNSSECi juurutamise küsimusi nii TLD kui teise taseme ehk SLD domeenide tasemel. Kui tippdomeenide hulgas on DNSSEC kasutusele võetud valdava enamuse domeenide puhul, siis teise taseme domeenide hulgas on ICANNi andmete põhjal DNSSEC juurutatud veidi vähem kui 0,5% domeenide puhul, mis ei olegi iseenesest nii väike arv, kuid arvestades TLDde 90% suurusjärku on käärid suured. Võtmete puhul kasutatakse peamiselt RSA-SHA kürpteerimise algoritme ning uuema põlvkonna algoritme nagu ECC kasutatakse väga vähe, ilmselt eelkõige testimiseks. Võtme pikkuste osas on murettekitavalt endiselt populaarseim RSA-SHA1 1024bitised ja ka mõned uued gTLDd on võtnud just selle kasutusele. Siit võiks lugeda välja märke, et isegi nii uus tehnoloogia nagu DNSSEC areneb ka see väga aeglaselt ja juba on tekkinud nö legacy ehk vana ajalooline koorem, millest on raske vabaneda. Uuringuid jätkatakse ja kõik registrid on lahkesti oodatud osalema ja oma tsoonide kohta vastavaid analüüsi andmeid avaldama.

Järgmises postituses võtan kokku väiksemates ühistöögruppides kuuldu.

Uus kommentaar

Email again:

© 2017 Eesti Interneti Sihtasutus  | Paldiski mnt 80, 10617 Tallinn | Registrikood: 90010019