Uudised, sündmused ja blogi

CENTR Tech41 ehk tsoonifail dünaamiliseks

Pea igal kohtumisel on olnud lisaks peamisele teemale ka nö täht. Minu jaoks oli seekord selleks Saksa register, kes piltlikult lõi mul jalad alt juba ametlikule kohtumisele eelneval õhtul. Hoope oli lausa kaks.

Saksa register otsustas loobuda riistvaralistest HSMidest ja võtta kasutusele tarkvaraline HSM. Tarkvaralist HSMi kasutavaid registreid on teisigi, kuid tüüpiliselt rakendatakse sealjuures võrgust eraldatud KSK ehk võtme allkirjastamise mudelit. Sakslased aga teevad seda online võtmega ja enda hinnangul suudavad sealjuures tagada CA-dega ehk TLS võtmeid haldavate organisatsioonidega võrreldava turvalisuse. Tõuke selle sammuni viis asjale terve mõistusega lähenemine. Esiteks riistvaraline HSM on väga kallis ja üsna paljude arvates DNSSECi kontekstis ebavajalik keerukus ja kulu (overkill). Varasemalt loobus riistvaraliste HSMide kasutamisest ka näiteks RIPE. .de registri 5-aastase perioodi riistvaraliste HSMide eelarve oli u 0,5 mln € (riistvara + tugi). Selle asemel ostavad nad nüüd tavalised serverid ja mõned tulemüürid ja pääsevad u 10 000€ eelarvega, lisaks siis oma inimeste tööaeg. Minu jaoks olulise eeskujuna ei kasuta HSMe ka näiteks Belgia register ja tundub, et see mõte on võtmas tuure üles ka mujal. SoftHSM v2 on väljas ja meiegi HSMid kaotavad uuel aastal tootja poolse toe.

Teine purakas tuli teemakohane - väsinud .de registri projektijuht pajatas oma teekonnast dünaamilise tsooni uuendamise poole. Päris seda ei õnnestunud saavutada, et iga domeen oleks eraldi tsoonifaili uuendus, sest on hetki, kus Saksa registril on vaja töödelda enam kui 10 000 muudatust minutis. Selle asemel allkirjastavad nad muudatuste peale uuesti kogu tsooni. See on hämmastav, sest Saksa register on maailma suurim riigitunnusega tippdomeen u 15 miljoni registreeritud domeeniga. Tsooni genereerimine ja allkirjastamine võtab aega 3 minutit (allkirjastaja Knot). Siinkohal on paslik ära öelda, et dünaamilist tsooni uuendamist praktiseerib kuuldavasti ka Verisign oma 145 miljoni registreeritud .com domeeniga, kuid nemad kasutavad ainult oma arendatud tarkvara ja detaile lahenduste kohta ei kiputa avaldama. Naljakas selle juures on aga see, et meie, oma 120 000 domeeniga, ei taha kuidagi protsessi intervalli alla 10 minutit tuua. Kui mõte dünaamilisest tsoonist sai kunagi tõstatatud, oli .ee üks kiiremaid, kui mitte kõige kiiremini tsooni uuendav register CENTRis. Nüüd aga kipume jääma keskmike hulka. Taani on 2 minuti peal, Rootsi tegeleb dünaamilise mõttega, kuid ilmselt jätab asja siiski teatud intervalli peale, mis jääb vahemikku 5-15 minutit. Tiiger magab sügavalt.

Teistest teemadest vahetasime mõtteid Luksemburgi registriga oksjonitest. Nad nimelt plaanivad vabastada peagi oksjoni teel oma 1 ja 2-tähelised domeenid. Meie lahendust veel polnud kui nad oma arendusega alustasid. Sellegipoolest oli lähenemine ja ootused oksjonile veidi ootamatud. Nad nimelt loodavad, et saavad oksjoni tulemusel selle korraldamiseks ja keskkonna arenduseks tehtud kulud tasa - ei midagi enamat. Tekib küsimus, et miks siis ise arendada, saaks ju kasutada lihtsamaid mooduseid kuni e-kirja teel pakkumiste tegemiseni välja. Halduskoormus on oluliselt suurem lühikeses ajaaknas, kuid suured kulud arendusele jäävad ära. Nad leidsid, et nende olemasolev arenduspartner tegi väga soodsa pakkumise ja nad valisid siiski mugavama tee. Õnneks on meie oksjoni lahendus nii mõnegi huviorbiiti sattunud ja nii mõtleb nüüd ka Luksemburg, et lahenduse “ära viskamise” asemel pärast 1-2täheliste oksjonit võiks kaaluda ka kustuvate domeenide vabastamist oksjoniga. Samal ajal aga tunnistasid nad, et neil ei ole täna spekuleerimise probleemi ja seega puudub otsene vajadus millegi sellise järele.

Jaapani registri esindaja rabas mind oma ettekandega domeeni registreeringute pikendamise tõenäosuse ennustamisest. Kas masinõpe saab parema tulemuse kui registri statistiliste meetodite guru? Tulemus: 8 katsest 6-l sai AI täpsema tulemuse. Üllatav, minu kui statistikahuvilise jaoks oli, aga sisend, mille pealt masin oma tulemused sai. Sisendiks oli 1 aasta jagu domeeninimesid ja lipp pikendati / ei pikendatud. Ja see ongi kõik. Ei mingit pikka ajalugu, infot registripidajate, registreerijate, pühade ega kampaaniate kohta. Asjad, mida statistik ilmselt arvestas. Masinal polnud aga muuga töötada kui ainult mustrianalüüs ja tulemus… Statistikute õrna hinge kaitseks tahaks arvata, et Jaapani guru ei olnud katse ajal oma ülesannete kõrgusel. Aga see on midagi, mida tahan veel uurida.

Teine natuke segaseks jäänud lugu oli registriluku välktöögrupist (adhoc). Nimelt inspireerituna suvise Jamboree vestlustest registriluku teemadel moodustasid 6 registrit töögrupi ja siin see selge osa minu jaoks lõppes. Mis on töögrupi eesmärk? Töögrupp viis läbi küsitluse registrite seas registriluku rakendamise, plaanide ja viiside kohta. Sai teada, et üle poolte vastanutest juba rakendab registrilukku, 30% plaanib seda teha (.ee sealhulgas) ja 19% ei plaani. Idee töögrupil on ju õilis - leida paar nö hea tava tüüpi lahendust, mida siis välja pakkuda, kuid vaevalt keegi juba juurutanutest hakkab oma lahendust ümber tegema. Meie registrilukk on ka tegelikult juba valmis ja ootab vaid avalikustamist. Kui midagi muuta, siis ainult ehk lisada paindlikkust luku rakendamisele, võimaldades seda registreerija palvel teha ka registripidajal üle EPP-liidese. Sellega on seotud oma riskid, mis lähevad vastuollu registriluku algse ideega, kuid mulle tundub, et see on siiski väärt kaalumist. Saab näha.

Järgmine peatus nädala pärast Madriid, kus toimub Saksa registri üritus DNSi põhise elektroonse isikutuvastuse teemal. Ootan huviga.