Uudised, sündmused ja blogi

CENTRi Tech29: maailm ootab oksjonit

Meie kustuvate domeenide oksjoni keskkonna plaan on endiselt huvitav paljudele registritele, kes peavad piisapüüdmist (drop-catching) ehk kustuvate domeenide kiiresti endale registreerimist probleemiks. On erinevaid seisukohti, aga kõiki ühendab õhinal ootus, mis juhtuma hakkab. Huvitava ideena kuulsin lausa kahest kohast (Austria ja Šveits - ilmselt omavahel teemat arutanud :) ) alternatiivset mõtet oksjoni lahendusele - tagurpidi oksjon, mida tavapärasest oksjonist eristab ajaga automaatselt kahanev hind. Domeen vabaneb näiteks hinnaga 10 000€ ja hakkab langema kuni näiteks 24h möödudes jõuab tavapärase hinnani. Oksjonil osalevad registripidajad, kes siis tavapärasel viisil, näiteks kasutades EPP liidest, teevad registreerimise toimingu. Hetk kui esimene registripidaja esitab tellimuse domeenile, fikseerub selle nö hulgihind (hind registripidaja jaoks).

Šveitsi nägemuses oli lisa nüansina tegemist eraldiseisva EPP keskkonnaga, millega registripidajad eraldi lepingu alusel liituvad tagades protsesside lahususe ja välistades “kogemata” domeeni registreerimise kõrge hinnaga. EPP kaudu saab tavakorras saada olevaid domeene tavapärase hinnaga, piisapüüdjate EPPs on muutuv hind.

Tuleb tunnistada, et ideel on jumet - lähtub paremini standardist ja ei lõhu registri-registripidaja mudelit, kus register ideaalis suhtleks vaid registripidajatega ning klientidega suhtlus oleks vaid registripidaja ülesanne. Samuti on see lahendus lihtsam ja selgem registreerija jaoks. Meie oksjoni lahenduse puhul peab ju registreerija esmalt suhtlema registriga, et omandada domeeni registreerimise õigus läbi oksjoni ja siis tuleb pöörduda registripidaja poole, et registreerimine reaalselt ellu viia.

Küsimus selle idee puhul on, kuidas registripidaja EPP vahendusel saaks infot hetkel kehtiva hinna kohta, kas ja kuidas hoiatada registripidajat, et vastavale registreerimise toimingule kehtib tavapärasest erinev hind.

Samas vastukaaluks Tšehhi register ei oma üldse väidetavalt sellist probleemi nagu professionaalne piisapüüdmine. Nemad on lahendanud asja läbi EPP päringu tasude. Igal registripidajal on ette nähtud kuine päringute arv ja kui sellest üle minnakse tuleb hakata iga järgmise päringu eest tasu maksma. Sellega on hoitud ära EPP kuritarvitamine täpse domeeni kustumise aja välja selgitamiseks. WHOIS ei kajasta kustuvate domeenide osas reaalset seisu - terve päeva kuvatakse olekut näiteks kustumisel ja uus olekuinfo tuleb alles järgmisel päeval. Nii on jõutud selleni, kus tegelikult ei pommitata EPPd ega WHOISi ning registrisse ei laeku ka kaebuseid piisapüüdjate tegevuse kohta. Kaalusime muuseas ka ise, enne oksjoni kasuks valiku tegemist, võimalust kaotada WHOISist kustumiste kohta ajakohane info, kuid pidasime siiski usaldusväärse WHOISi väärtust olulisemaks.

Pilve teema on mulle isiklikult jätkuvalt väga huvitav ja nii raban kahel pioneeril - Belgial ja Rootsil - nööbist igal võimalusel, et uurida nende mõtete ja muljete kohta. Belglased on jätkuvalt õnnelikud ja rahul eluga pilves. On olnud üksikuid probleeme eelkõige andmebaaside sünkroniseerimisega pilvest enda kontrolli all olevasse serverisse. Aga 99% ulatuses toimib kõik muretult. Jätkuvalt valmistab rõõmu ka Amazoni pakutavate võimaluste üle. Vahel häirib seaduspära, et kui oled just ise mingi lahenduse valmis teinud, on kuu või kahe pärast sarnane teenus Amazonil kõigile pakkuda. Pidev töö on oma erilahenduste asendamine Amazoni poolt pakutavatega. Lisab hagu küll teenuse pakkuja lukku, aga seni on eelised olnud kaalukamad.

Rootslased püüdsid maandada teenuse pakkuja lukku proovides oma süsteemi lahendada paralleelselt kahel platvormil (Amazon ja Google). Kuid pärast pikki ponnistusi otsustasid siiski loobuda - liiga kulukas nii arenduse kui halduse osas ja leppisid puhta Amazoni põhise lahendusega. Plaanime uuel aastal ka ise esimesed sammud astuda ning oma test- ja arenduskeskkonnad pilve kolida.

Sakslased mõtlevad oma DNSSEC lahenduse puhul offline KSK-lt online peale üleminekule. Arutasime meie näitel sellega seonduvast heast ja halvast. Online puhul on vaikimisi standard HSMide kasutamine, mis on suhteliselt kallis lõbu. Turvalisuse poole pealt olulist vahet pole. Online puhul on juures üks riske suurendav tase - usaldus HSMi tootja ja toote kvaliteedi vastu, kuid inimfaktorist tulenevad riskid on ühesugused - mõlemal juhul on registris inimesed kes saavad ligi kas offline signeerimise masinale või HSMile ja kellega koostöös saab mõlemal juhul teha mida vaja. Offline puhul on miinuseks suurem halduskoormus - tseremooniad võtmete vahetamiseks. Kuigi enamasti tehakse võtmevahetusi üsna harva, on võtmete vahetuse intervalli ja online vs offline lahenduse vahel selge seos. Online võimaldab võtmeid vahetada oluliselt tihedamalt, suurendades nii süsteemi turvalisust. Mulle tundub, et meie lähenemine HSM+online KSK on parem, nii on ka ZSK paremini kaitstud.

Kevadisel ICANNil leppisime tšehhide ja taanlastega kokku taotleda EL struktuurfondidest toetust eIDASi juurutamiseks vajalike arenduste teostmiseks oma registrites. Hiljaaegu saime oma taotlusele kahjuks negatiivse vastuse ja seekordsel kohtumisel sai põgusalt ka selle ürituse õppetundidest kokkuvõte tehtud. Kuigi projekt, selle sisu ja eesmärk vastasid meetme nõuetele, oli meie taotlus hindajate sõnul liiga üldine. Näiteks ei olnud piisavalt täpselt välja toodud loendit süsteemidest, mis selle arenduse tõttu mõjutatud saavad ja mis paraneb. Huvitav sealjuures oli muidugi see, et tšehhidel õnnestus eIDASi eelkäija projekt Storki jaoks sarnane toetus mõned aastad tagasi saada. Aga õpime ja proovime järgmine kord paremini ennetada küsimusi, mis komisjonil võivad tekkida.

Nii palju siis selleks korraks. Järgmine kohtumine tehnilise ccTLD kogukonnaga on kevadel 2019.