Uudised, sündmused ja blogi
Siit leiad kõik meie uudised, blogipostitused ja ürituste, hoolduste ja katkestuste informatsiooni.
CENTR Tech41 ehk tsoonifail dünaamiliseks
Pea igal kohtumisel on olnud lisaks peamisele teemale ka nö täht. Minu jaoks oli seekord selleks Saksa register, kes piltlikult lõi mul jalad alt juba ametlikule kohtumisele eelneval õhtul. Hoope oli lausa kaks.
Saksa register otsustas loobuda riistvaralistest HSMidest ja võtta kasutusele tarkvaraline HSM. Tarkvaralist HSMi kasutavaid registreid on teisigi, kuid tüüpiliselt rakendatakse sealjuures võrgust eraldatud KSK ehk võtme allkirjastamise mudelit. Sakslased aga teevad seda online võtmega ja enda hinnangul suudavad sealjuures tagada CA-dega ehk TLS võtmeid haldavate organisatsioonidega võrreldava turvalisuse. Tõuke selle sammuni viis asjale terve mõistusega lähenemine. Esiteks riistvaraline HSM on väga kallis ja üsna paljude arvates DNSSECi kontekstis ebavajalik keerukus ja kulu (overkill). Varasemalt loobus riistvaraliste HSMide kasutamisest ka näiteks RIPE. .de registri 5-aastase perioodi riistvaraliste HSMide eelarve oli u 0,5 mln € (riistvara + tugi). Selle asemel ostavad nad nüüd tavalised serverid ja mõned tulemüürid ja pääsevad u 10 000€ eelarvega, lisaks siis oma inimeste tööaeg. Minu jaoks olulise eeskujuna ei kasuta HSMe ka näiteks Belgia register ja tundub, et see mõte on võtmas tuure üles ka mujal. SoftHSM v2 on väljas ja meiegi HSMid kaotavad uuel aastal tootja poolse toe.
Teine purakas tuli teemakohane - väsinud .de registri projektijuht pajatas oma teekonnast dünaamilise tsooni uuendamise poole. Päris seda ei õnnestunud saavutada, et iga domeen oleks eraldi tsoonifaili uuendus, sest on hetki, kus Saksa registril on vaja töödelda enam kui 10 000 muudatust minutis. Selle asemel allkirjastavad nad muudatuste peale uuesti kogu tsooni. See on hämmastav, sest Saksa register on maailma suurim riigitunnusega tippdomeen u 15 miljoni registreeritud domeeniga. Tsooni genereerimine ja allkirjastamine võtab aega 3 minutit (allkirjastaja Knot). Siinkohal on paslik ära öelda, et dünaamilist tsooni uuendamist praktiseerib kuuldavasti ka Verisign oma 145 miljoni registreeritud .com domeeniga, kuid nemad kasutavad ainult oma arendatud tarkvara ja detaile lahenduste kohta ei kiputa avaldama. Naljakas selle juures on aga see, et meie, oma 120 000 domeeniga, ei taha kuidagi protsessi intervalli alla 10 minutit tuua. Kui mõte dünaamilisest tsoonist sai kunagi tõstatatud, oli .ee üks kiiremaid, kui mitte kõige kiiremini tsooni uuendav register CENTRis. Nüüd aga kipume jääma keskmike hulka. Taani on 2 minuti peal, Rootsi tegeleb dünaamilise mõttega, kuid ilmselt jätab asja siiski teatud intervalli peale, mis jääb vahemikku 5-15 minutit. Tiiger magab sügavalt.
Teistest teemadest vahetasime mõtteid Luksemburgi registriga oksjonitest. Nad nimelt plaanivad vabastada peagi oksjoni teel oma 1 ja 2-tähelised domeenid. Meie lahendust veel polnud kui nad oma arendusega alustasid. Sellegipoolest oli lähenemine ja ootused oksjonile veidi ootamatud. Nad nimelt loodavad, et saavad oksjoni tulemusel selle korraldamiseks ja keskkonna arenduseks tehtud kulud tasa - ei midagi enamat. Tekib küsimus, et miks siis ise arendada, saaks ju kasutada lihtsamaid mooduseid kuni e-kirja teel pakkumiste tegemiseni välja. Halduskoormus on oluliselt suurem lühikeses ajaaknas, kuid suured kulud arendusele jäävad ära. Nad leidsid, et nende olemasolev arenduspartner tegi väga soodsa pakkumise ja nad valisid siiski mugavama tee. Õnneks on meie oksjoni lahendus nii mõnegi huviorbiiti sattunud ja nii mõtleb nüüd ka Luksemburg, et lahenduse “ära viskamise” asemel pärast 1-2täheliste oksjonit võiks kaaluda ka kustuvate domeenide vabastamist oksjoniga. Samal ajal aga tunnistasid nad, et neil ei ole täna spekuleerimise probleemi ja seega puudub otsene vajadus millegi sellise järele.
Jaapani registri esindaja rabas mind oma ettekandega domeeni registreeringute pikendamise tõenäosuse ennustamisest. Kas masinõpe saab parema tulemuse kui registri statistiliste meetodite guru? Tulemus: 8 katsest 6-l sai AI täpsema tulemuse. Üllatav, minu kui statistikahuvilise jaoks oli, aga sisend, mille pealt masin oma tulemused sai. Sisendiks oli 1 aasta jagu domeeninimesid ja lipp pikendati / ei pikendatud. Ja see ongi kõik. Ei mingit pikka ajalugu, infot registripidajate, registreerijate, pühade ega kampaaniate kohta. Asjad, mida statistik ilmselt arvestas. Masinal polnud aga muuga töötada kui ainult mustrianalüüs ja tulemus… Statistikute õrna hinge kaitseks tahaks arvata, et Jaapani guru ei olnud katse ajal oma ülesannete kõrgusel. Aga see on midagi, mida tahan veel uurida.
Teine natuke segaseks jäänud lugu oli registriluku välktöögrupist (adhoc). Nimelt inspireerituna suvise Jamboree vestlustest registriluku teemadel moodustasid 6 registrit töögrupi ja siin see selge osa minu jaoks lõppes. Mis on töögrupi eesmärk? Töögrupp viis läbi küsitluse registrite seas registriluku rakendamise, plaanide ja viiside kohta. Sai teada, et üle poolte vastanutest juba rakendab registrilukku, 30% plaanib seda teha (.ee sealhulgas) ja 19% ei plaani. Idee töögrupil on ju õilis - leida paar nö hea tava tüüpi lahendust, mida siis välja pakkuda, kuid vaevalt keegi juba juurutanutest hakkab oma lahendust ümber tegema. Meie registrilukk on ka tegelikult juba valmis ja ootab vaid avalikustamist. Kui midagi muuta, siis ainult ehk lisada paindlikkust luku rakendamisele, võimaldades seda registreerija palvel teha ka registripidajal üle EPP-liidese. Sellega on seotud oma riskid, mis lähevad vastuollu registriluku algse ideega, kuid mulle tundub, et see on siiski väärt kaalumist. Saab näha.
Järgmine peatus nädala pärast Madriid, kus toimub Saksa registri üritus DNSi põhise elektroonse isikutuvastuse teemal. Ootan huviga.
Veel uudiseid, sündmusi ja blogipostitusi
Uudised
Internet
Reserveeritud domeenide oksjonite kava
16. maist 2023 alustasime seni reserveerituna hoitud kohanimede ja numbriliste domeenide oksjonitega. Domeeninimed lähevad enampakkumisele klassikalises avatud inglise oksjoni formaadis gruppidena. Reserveeritud domeenide oksjonid algavad iga päev kell 12:00 ja kestavad 24h järgneva südapäevani. Oksjonitele jõudvad domeenid avaldame edaspidi vähemalt 30 päeva ette.
Blogi
Domeenindus
ICANN78 - kas DNSSEC on läbi kukkunud?
Seekordne ICANN kujunes ootamatult põnevaks ja vastuoluliseks. NIS2st ei rääkinud keegi, küll aga DNSSECist.
Blogi
Domeenindus
CENTR Tech49 - NIS2 meeltel ja keeltel
Oktoobris toimus Euroopa riigitunnusega domeeniregistreid ühendava CENTRi 49. tehnilise kogukonna kohtumine, mis toimus seekord koostöös arenduse (R&D) töögrupiga. Esimesest kuni viimaste minutiteni polnud kuulda muud kui uuel aastal jõustuv Euroopa küberturvalisuse direktiiv NIS2, mis käsitleb muuhulgas ka domeenireigistrite ja -registripidajate tegevust. Olulisemate muudatuste hulka kuuluvad registrite määratlemine elutähtsateks teenusepakkujateks ning kohustus kontrollida domeeniregistreerijatele kontaktandmete korrektsust.
Kommentaarid
555
555
555
555
555