DNSSEC i .dk zonen

Hmm

Ja, vi var jo til et møde hos DIFO/DK-Hostmaster i den forgangende uge, det kan jeg have svært ved at fornægte.

Et superkort punktopstilling af emner fra mødet vil være:

Ting der er fast besluttet:

DNSSEC

Ting som man ikke rigtig ved/snakker om/blev taget op på mødet:

Webinterface, eller ej.

Email form eller ej.

Pris?

NSEC eller NSEC3, dog er der en vis lykke forbundet med NSEC3, da man ikke kan lave en DNSWALK, men man kan jo bare downloade listen af domæner fra dkhm hver søndag?

EPP systemet kommer til at være hovednøglen til oprettelse af domæner med DNSSEC (det er tilladt at sige, “Hva??” her)

Testsystem, måske, hvis der er en egentlig grund til at lave et.

Måske bliver DNSSEC bundlet med VID, måske ikke, måske kommer der en pris på ved siden af.

Registrars er egentlig meget besværlige kunder, de spørger for meget, men så igen er de jo ikke slutkunden.. Sååh..

Prisen på et .dk domæne kunne “nemt sættes et par kroner ned” for et par år siden, under den store “valgkamp”, nu skal vi betale ekstra.. måske, måske ikke, hvis vi skal have DNSSEC.

.dk zonen er pivåben for phising angreb på 10. år, og ingen ønsker at diskutere dette.

Ingen forklaring på forretningsmodel omkring DNSSEC.

Intet budget blev fremvist.

En forventning om at blive indenfor det tekniske personal’s rådige timetal.

En forventning om at virksomheder og andre med interesse i DNSSEC skal tilføje de ekstra resourcer til testing af DNSSEC.

Mangel på kommunikation ved ændring af praksis.

… De fleste af de ting der reelt blev diskuteret, var og er igen og igen, den manglende fornemmelse for verden som DIFO og DK-Hostmaster til tider udviser.

Koster DNSSEC på et .dk domæne noget?

ja, nej.. Måske.. testperioden er gratis!

Peter Makholm bragt dette spørgsmål op, og pludselig befandt forsamlingen sig i et limbo af nja, njow og narj.. For det viste sig at ingen havde reelt et svar på dette ellers meget kritiske spørgsmål. Vi har set det i .SE regi, da prisen på DNSSEC var over 0,-, var der mildt sagt ringe interesse for det hos hostingvirksomhederne, da det er tvivlsomt at man kan sige man vil bruge resourcer på at udvikle noget til DNSSEC hvis kundernes pris for et domæne pr år bliver fordoblet.. i så fald vil de fleste kunder nemlig så vælge det fra, og vores resourcer på udvikling er dermed tabt. Nobody wins!

Hvem skal holde nøglerne?

Her er svaret jo klart.. hvertfald set med DK-Hostmasters øjne, det skal registranten!

.. men hvordan helvede skal vi så signe zonen? Skal vi mødes i en hemmelig baggård, med dårligt lys, og registranten med nøglen, zonekontakten med en kopi af zonefilen og så stå og kryptere det på den medbragte laptop?

.. og naturligvis skal registranten så bagefter fortælle dk-hostmaster hvornår zonekontakten sætter zonen i drift med nøglen.. ?

.. og så når registranten ringer til DK-Hostmaster, så sendes de bare videre til zonekontakten, for det er jo os der ved svaret, men det er DK-Hostmasters kunde.. Dvs, DK-Hostmaster tjener pengene på domænet og DNSSEC, og vi skal levere varen og servicen.. god arbejdsfordeling.. hvis man tror på havenisser og loch ness uhyret altså..

VÅGN DOG OP! Successraten på ovenstående er lige så stor som sandsynligheden for at møde fritlevende pingviner i Sibirien!

Svaret er simpelt, din primære zonekontakt skal kunne opdatere DK-Hostmaster med den korrekte nøgleinformation, og i mange tilfælde vil det også betyde at zonekontakten laver nøglen og holder nøglen, stoler du ikke på din primære zonekontakt, så bør du nok overveje om han skal holde din zonefil!

Budget/forretningsplan for DNSSEC?

.. Der blev som sagt ikke fremlagt nogen egentlig forretningsplan for DNSSEC i .dk zonen, om det så betyder at man mener det ingen betydning har for DK-Hostmaster økonomisk, eller om man bare ikke ved hvor meget andre registries i den forbindelse har brugt af resourcer på DNSSEC, det er mig en gåde. Jeg har flere gange spurgt andre registries om deres fremgang med DNSSEC, og de svare typisk med en teknisk “manpower” tal på 10-20 mennesker fuldtil i op til 1,5 år, og policy arbejde ved siden af. Vi har til 1/7-2010, og der er en håndfuld teknikkere (som også varetager den daglige drift), og et ekspertpanel (som består af 3 eksterne og 3 interne) personer…

Jeg har ikke set noget endnu jeg vil betegne som policy work, og heller ikke endnu nogen løsninger på de tekniske spørgsmål. Måske derfor man har svært ved at lave et regnestykke?

Og uanset hvordan DIFO og DK-Hostmaster så end vender og drejer det, nøglen til succes ER igennem udbyderne, og med DNSSEC set fra en internationalt synspunkt, ligger igennem samarbejde med registrars/zonekontakten og registryet, og jeg ser ikke historisk set at samarbejdet virker, det er noget ensrettet og uden tilsætning af smagsoplevelser.

Testsetup af .dk?

.. blev officielt efterspurgt på dette møde, omend jeg sad tilbage med fornemmelsen for at forståelse for dette ønske ikke var til stede.. Bla hørte jeg med begrundelse med at “følge sverige på dette punkt” blive afvist med “ja, men de gør også så meget andet som vi heller ikke har planer om/ønsker at gøre”.

.. Antallet af fejl i en overgang til DNSSEC ville nu engang blive mindsket hvis man ikke skal lege med de officielle systemer, ellers gør man sgu nok som svenskerne en eller anden dag, og vælter hele pisset.

.. og alligevel vil man gerne lave et mini testsetup af DNSSEC, for vi kan hvertfald tilmelde os på tilmelding@dk-hostmaster.dk til at være forsøgsrotter med DNSSEC i .dk regi. Problemet er bare, hvis man ikke laver et komplet setup med et EPP system, og en email formular, og et webinterface med registrant adgang, hvad er det så vi tester? tester vi et udsnit af det tekniske setup, eller fodre vi bare systemet med testdata?

Far er ikke sur, far er skuffet, og far gidder faktisk ikke mere pis.

3 Comments

  1. Anders

    November 17, 2009 at 2:52 pm

    sidste gang da dk-hostmaster lavede nogen ændringer lukkede de i 24 timer. Da fik jeg læst mig til at ifølge Per Kølle var det kun layout ændringer.
    Men hvor længe lukker de så denne gang?

    Så noget lidt andet: hvis nuværende system er usikkert på 10 år hvorfor pokker lytter de ikke og spørger hvad det er der er galt så vi kan få rettet de usikkerheder.

  2. Mads

    November 20, 2009 at 9:01 am

    Hvordan er det man kan afgøre en sag som denne, hvor det er så tydeligt som noget kan være at ejeren netop benytter domænet til privat formål.. Denne sag burde gå om..

Leave a Reply