Uudised, sündmused ja blogi
Siit leiad kõik meie uudised, blogipostitused ja ürituste, hoolduste ja katkestuste informatsiooni.
CENTR Jamboree 15: arenduse töörühm
Kokkuvõtvalt jäi seekordne arenduse töörühma kohtumine alla eelnevatele ja midagi uut ja murrangulist ma seekord siit ei leidnudki. Eks vähesel eraldatud ajaressursil oli siin oma roll mängida. Kuid omad momendid oli siiski.
Verisign viis läbi statistilise analüüsi .com ja .net aadressiruumides tehtud WHOIS päringute hulgas, et saada paremini aru, milleks seda teenust üldse kasutatakse. See küsimus on tekitanud ka meil vaidlusi - kas WHOISi päringutega otsitakse vabu domeene või olemasolevate domeenide kontakte või jälgitakse hoopis registreeritud domeene, et võimaluse avanedes need endale registreerida. Verisign vaatles alla 5-kuulist perioodi 2012. ja 2013. aastal võttes aluseks 10-päevased valimid kuu kohta. .com ja .neti WHOIS päringute maht kokku 1 päeva kohta on umbes 150GB. Siit ka põhjus, miks valim just nii piiritleti. Analüüsi tulemusel leiti, et enamus päringuid tehti domeenide kohta, mis on vabad. Kõigist päringuist 67% olid domeeninimedele pikkusega 5 ja 6 märki (neist 84,5% olid vabad). Samal ajal suurt osa neist 5. ja 6. märgilistest domeenidest päriti vaadeldud perioodi jooksul enam kui 1000 korda ja 81% päringutest puudutasid registreerimata domeene. Enam kui pooled neist päringuist olid tehtud väikese hulga IP-de pealt, mis tõstatab küsimuse, miks seda tehakse. Ilmselgelt pole eesmärgiks neid domeene registreerida. Ka vaatluse alla võetud domeeninimed tundusid pigem juhuslikult genereeritud märgijadad. Verisign ise püstitas selle analüüsi põhjal hüpoteesi, et ehk genereerivad neid päringuid bot-nettide juhtkeskused ning kui mõni neist domeenidest registreeritakse, siis hakkab midagi juhtuma. Teine, ulmelisem hüpotees käsitles krüpteeritud kommunikatsiooni kellegagi, kes suudab neid päringuid pealt kuulata. Häid vastuseid ei ole, kuid tegemist tundub olema pigem probleemiga ja kas siin ei võiks olla tulevikus abiks standardi kinnituse teel oleva uue põlvkonna WHOIS lahenduse RDAPi näol, millest ka siin blogis erinevates postitustes juba räägitud.
Alexander Mayrhofer Austria registrist tutvustas oma katsetusi bloom filtrite abil pakkuda võimalust kiiremaks ja hajutatumaks DAS teenuseks. DAS ehk domain availability service on justkui üks osa WHOISi teenuse mõttest, kuid detailsete domeeni andmete asemel väljastab see teenus vaid vastuseks kas domeen on vaba või mitte. Idee siis jagada baasi näiteks registripidajatega, kes ei pea domeeni saadavuse kontrolliks enam registri poole pöörduma. Bloom filtri puhul on tegemist tõenäosusliku andmestrutkuuriga (probabilistic data structure), mis erinevalt domeeni loendi kaitsimiseks domeeni nimedest räside moodustamise ei anna infot ka registris olevate domeenide arvu kohta. Bloom filtri puhul on välistatud vale negatiivsed vastused ehk kui DAS päring ütleb, et domeen ei ole registreeritud, siis see kindlasti ka nii on, kuid võib esineda valepositiivseid. Austria registri enda näitel oli mõstiliku valepositiivsete taseme juures bloom filtri baas 3 MB suur (.at registris on 1,26 mln domeeni). Igaljuhul on tegemist huvitava ideega.
Järgmisena võeti ette arutelu teemal, mis võiks olla homne DNSi trasnpordi protokoll. Täna on nendeks UDP ja TCP, kuid uued DNSi rakendused nagu DNSSEC on paisutanud paketid suureks, puudulik DNSi päringute konfidentsiaalsus ja privaatsus ning isegi usaldusväärsus on probleemid, mis annavad põhjust alternatiivide otsimiseks. Võimalike asendustena pakuti välja näiteks DTLS, SCTP, QUIC, DNScurve, kuid sisulisemaks arutelu edasi ei arenenudki. Ehk liiga ootamatu või keeruline tundus teema sellises formaadis arutamiseks. Teema vajab aga kindlasti sisulisemat analüüsi ja ka erinevate alternatiivide põhjalikku võrdlemist, et oleks võimalik suuremas kommuunis küsimusega edasi liikuda.
Zonemasteri järjekordselt tutvustusel hetkel ei peatuski ja läheks kohe edasi DNSSECi kallale. ICANN uurib DNSSECi juurutamise küsimusi nii TLD kui teise taseme ehk SLD domeenide tasemel. Kui tippdomeenide hulgas on DNSSEC kasutusele võetud valdava enamuse domeenide puhul, siis teise taseme domeenide hulgas on ICANNi andmete põhjal DNSSEC juurutatud veidi vähem kui 0,5% domeenide puhul, mis ei olegi iseenesest nii väike arv, kuid arvestades TLDde 90% suurusjärku on käärid suured. Võtmete puhul kasutatakse peamiselt RSA-SHA kürpteerimise algoritme ning uuema põlvkonna algoritme nagu ECC kasutatakse väga vähe, ilmselt eelkõige testimiseks. Võtme pikkuste osas on murettekitavalt endiselt populaarseim RSA-SHA1 1024bitised ja ka mõned uued gTLDd on võtnud just selle kasutusele. Siit võiks lugeda välja märke, et isegi nii uus tehnoloogia nagu DNSSEC areneb ka see väga aeglaselt ja juba on tekkinud nö legacy ehk vana ajalooline koorem, millest on raske vabaneda. Uuringuid jätkatakse ja kõik registrid on lahkesti oodatud osalema ja oma tsoonide kohta vastavaid analüüsi andmeid avaldama.
Järgmises postituses võtan kokku väiksemates ühistöögruppides kuuldu.
Veel uudiseid, sündmusi ja blogipostitusi
EL digikukkur viib e-identiteedi massidesse?
Augusti keskpaik toob traditsioonilise Arvamusfestivali, kus seekord arutati mulle, kui e-identiteedi entusiastile, eriti südamelähedast teemat: EL-i digikukkur. Kuigi Mare oli juba kiirelt oma postituses arutatu kokku võtnud, soovin ka enda vaatenurka jagada, keskendudes just isikutuvastusele.
CENTR Jamboree: NIS2, RestEPP ja pilv
Kustutan oma viimase võla esimese poolaasta valdkonna kohtumistest. Sedapuhku Euroopa registrite lemmikürituselt Jamboreelt Kopenhaagenis. Mare andis juba omapoolse ülevaate, täiendan seda enda tähelepannekute ja mõtetega.
Nordic Domain Days 2024: .se on ka päris hea
Lugupeetud interneti kogukond, Olen teile võlgu kokkuvõtte mais Stockholmis toimunud Nordic Domain Daysil kuuldust. Mare õnneks oli palju tublim ja oma pildi üritusest juba andis. Vabandan ja lisan nüüd ka omapoolsed mõtted!
Kommentaarid
555
555
555
555
555