Uudised, sündmused ja blogi

Siit leiad kõik meie uudised, blogipostitused ja ürituste, hoolduste ja katkestuste informatsiooni.

Tagasi

Jamboree19: .ee sillutab teed...

Selleaastane Euroopa tippdomeeniregistrite töögruppide ühiskohtumine "Jamboree" oli meie jaoks eriline - olime tähelepanu keskmes. Kolmepäevasel üritusel oli kokku 4 etteastet oksjonikeskkonnast, lisaks võtsime sõna elektroonilise identifitseerimise teemal EIDASi projekti vaatenurgast ning meie oma särav suhtlemise ja müümise juht Maarja läbis edukalt registriandmete monetiseerimise arutelu vedas end olulise proovikivi teel turunduse töögrupi juhiks - ja juht ta nüüd ongi. Üritusel kuuldust ja tekkinud mõtetest jätsid tugevama jälje aga järgmised:

Rootslased käivitasid oma registriluku teenuse. See ei vääriks mainimist, kui lahendus poleks nii erinev teiste registrite lähenemisest. Registriluku mõte on kaitsta domeeniga seotud andmeid lubamatute muudatuste eest, milleks tüüpiliselt kasutatalse ära registripidajate süsteemide nõrkuseid. Sestap käsitletaksegi registrilukku valdavalt lahendusena, mis lukustab registripidaja ligipääsu domeeni andmetele ning muudatuste tegemiseks peab registreerija eelnevalt luku eemaldama. Rootslased ajavad tugevat ja selget registri-registripidaja mudeli joont ehk register tegeleb ainult registripidajatega ja ei peaks kunagi kokku puutuma domeeni lõppkasutajatega. Rootsi lahenduses paneb domeeni lukku registripidaja - siin pole midagi eriskummalist. Uudne on, et registripidaja võtab ka luku lahti. Seetõttu nimetan seda registripidaja lukuks, kuid see täidab siiski väidetavalt registrilukuga sama eesmärki. Lukustamiseks kasutatakse EPP-protokolli, kuid avada saab lukku vaid läbi registripidaja interneti portaali, kus registripidaja peab ennast kaheastmeliselt tuvastama. Kasutatakse registri poolt väljastatud füüsilist ajutise parooli generaatorit (YubiKey). Seega ei piisa lahti lukustamiseks infosüsteemi nõrkuse ära kasutamisest, vaid vajatakse reaalset füüsilist ligipääsu võtmele. Ka meil on oma registriluku lahendus valmis, mis ootab uue registreerija portaali avalikustamist - domeeni lukustab ja avab registreerija. Samas, miks mitte võimaldada lukustamist ka registripidajal üle EPP, selle mõttega tegeleme edasi.

Teadagi on Belgia register minu üks eeskujudest tippdomeeni registrite maailmas. Suhteliselt väike register, kes teeb suuri asju. Üheks sellistest “suurtest asjadest”, millest olen unistanud, aga nemad on ära teinud, on täisdünaamiline tsoonifail. Kui keegi registreerib, pikendab domeeni või muudab registreeringu andmeid, kajastuvad need (6 sekundi jooksul) ka tsoonifailis ning on kättesaadavad interneti kasutajatele üle kogu maailma. Meie uuendame tsoonifaili iga 10 minuti järel, aga on neid, kes teevad seda tunni või paari tagant. Põhjenduseks on üldiselt turvalisus, teoreetiliselt jätab see aega reageerida kui registrisse edastatakse muudatus, mida ei soovita tsooni lasta. See loogika pädeb vaid siis, kui muudatus laekub vahetult pärast tsoonifaili uuendamist… Ei ole väga veenev meede. Niisiis arvan, et tänapäevases infoühiskonnas ei ole mõistlik hoida teavet kinni igaks juhuks. Belgalsed tegid ühena esimestest sammu ära ja see on töötanud probleemideta. Nüüd tahavad nad dünaamilise uuendamise ära lõpetada!? Põhjus on nende pilvelahenduses. Belglased on teatavasti ka esimene Euroopa tippdomeeniregister, kes kolis oma süsteemi pilve. Nad kasutavad Amazoni teenust ning register on laiali Amazoni Iiri- ja Saksamaa pilvefarmides. Nende eesmärk on rakendada mitme asukoha vahel paralleelselt töötava süsteemi ülesehitust, kus ka varusüsteem(id) on koguaeg aktiivses olekus, kuid nad ei ole suutnud lahendada dünaamilise tsoonifaili uuendamise ja allkirjastamise ülesannet mitmes asukohas korraga. Nii on nende uus plaan genereerida ja allkirjastatada kindla intervalliga kogu tsoonifail uuesti. Seda tehakse 4 asukohas 5 minutiliste vahedega. See 5 minutit + tsoonifaili loomiseks ja allkirjastamiseks kuluv aeg on tulevikus see aeg, mis määrab kui kiiresti uuendused tsooni jõuavad. Belglased rahulduvad omasõnul 15 minutiga, kuid proovivad saada kiiremini hakkama.

Õnneks on siiski veel teisi registreid, kes on võtnud suuna liikuda dünaamilise tsoonifaili uuendamise suunas. Taanlastel on sihiks 1 minutiline intervall. Rootslased on tulnud oma enam kui miljoni domeeniga 2 tunni pealt alla poolele tunnile.

CSYNC ehk alt-üles sünkroniseerimine (child to parent synchronization) on jätkuvalt kuum teema. See on tehnoloogia, mis võimaldab uuendada ülemise taseme nimeserverite infot automatiseeritult. Peamine kasutusjuht on DNSSECi võtmete uuendamine, kuid CSYNC võimaldab ka nimeserverite info uuendamist. CSYNCist on varasemalt juttu olnud siin. Vahepeal on elu edasi läinud ja Google ning Cloudflare kasutavad nimeserverite DNSSECi kirjete juures CDS/CDNSKEY kirjeid. Šveitslased on samuti oma lahendusega jaanuarist 2019 toodangus. Oma alatsoonide skänneri (https://gitlab.switch.ch/cds/c-scanner) koodi on nad nõus ka soovijatega jagama. Huvitava täiendusena võimaldavad nad domeeni omanikel registreerija portaali kaudu jälgida CSYNC protsessi progressi oma domeenide puhul. Hea mõte! Sellel teemal on oma kokkupuutepunkt ka registrilukuga. Kui domeeni andmed on lukustatud, kas CDS/CDNSkey kirje leidmisel eelistada seda või austada lukku. Tšehhid, kes ühena esimestest CSYNCi juurutasid, eelistavad lukku, šveitslased aga CSYNC kirjeid. Mina kaldun DNSSECi võtmete puhul pigem Šveitsi poole, sest luku peamiseks eesmärgiks on kaitsta domeeni kaaperdamise eest. Nimeserveri andmete muutmisel, kui see on võimaldatud, tundub luku eelistamine parem lahendus. Ainuõiget vastust siin ilmselt pole.

Ühe olulise teemana arutasime seekordsel üritusel ka e-posti turvalisuse teemal. E-post on jätkuvalt kõige põhilisem kommunikatsioonikanal ettevõtluses ja äritegevuses. Samal ajal liiguvad e-kirjad valdavalt lahtise tekstina; puudub autentimine ja kindlus, et saadame kirja üldse õigele serverile; saatja ei ole tuvastatud - ei saa kindel olla, kes kirja saatis. E-post on ka kõige suurem kasutajate vaheline failivahetuse platvorm. Seetõttu on e-post olulisim ründevektor pahavara ettevõtetesse ja võrkudesse sokutamisel. Mis kõige olulisem, enamikel meist on ka üks oluline postkast, mida seome kõikvõimalike teenuste kontodega, mis on ka viimane väljapääs kui paroolid ununevad. Kas ikka tahame, et ka selline info liiguks avatud tekstina kõigile huvilistele lihtsasti kättesaadavana? Mida teha? Aastate jooksul on lisandunud ridamisi tehnoloogiaid selliste probleemidega võitlemiseks: DNSSEC, DANE, SPF/TKIM/DMARC, STARTTLS, CAA. Pikk jutt kokkuvõtlikult, implementeerige SPF, allkirjastage domeenid (DNSSEC), juurutage DKIM ja DMARC, rakendage DANE ja publitseerige CAA kirjed ja elu on kohe palju turvalisem, kuid omade teatavate puudustega. DNSSEC on .ee domeenide hulgas tublis tõusutrendis ja tundub hea aeg hakata tegelema DANEi ehk e-kirjade krüpteerimise populariseerimisega.

Üks peamistest eesmärkidest seekordsele kogunemisele minnes oli lisaks oksjoni tutvustamisele rabada nööbist Saksa registril, kes käivitas aasta algul oma DNSi põhise universaalse kasutajatuvastamise lahenduse ID4me. Ideed tutvustati esmakordselt 2 aastat tagasi ja nüüd siis on asi valmis maailma vallutama. Algus on olnud ootuspäraselt vaevaline, kuni pole suurt hulka kasutajaid, puudub teenusepakkujatel huvi ja kuni pole piisavalt teenuseid, ei huvitu sellest kasutajad. Muna-kana probleem. Mure oleks väiksem kui sakslased ei hoiaks autentimise teenusega liitunuid ja .de registreerijaid rangelt lahus, on ju tegemist maailma suurima riigitunnusega tippdomeeni registriga. Üheks põhjuseks on siin domeeni registreerimise lõdvemad nõuded isikutuvastusele. Meie tugeva isikutuvastuse puhul langeb see probleem ära ja näen siin potentsiaali .ee väärtuse tõstmiseks registreerijate jaoks ning ehk ka leevendust meie digitaalse allkirjastamise nõude keerukusele välismaiste registreerijate jaoks. Sissejuhatus sai sakslastega tehtud ja nad on rõõmuga valmis pakkuma ka white-lable stiilis teenust, kus nemad hoolitsevad kogu vajaliku taristu eest, meie saame disainida enda järgi vajalikud kasutajaliidesed ja oleme siis identiteedi hoidja rollis. Läbirääkimised ja arutelud jätkuvad peale puhkuste hooaega.

Huvitavaid teemasid oli teisigi, aga usun, et olulisem sai puudutatud. Oli väärt üritus ning loodetavasti õnnestus kellegi pähe istutada mõte oksjonist ja EISist kui selleks suurepärasest teenusepakkujast.

Kommentaarid

Email again:

Veel uudiseid, sündmusi ja blogipostitusi