Peter Czar Larsen

DIFO har netop sat en høringsprocess igang vedrørende DNSSEC (ud over høringen om typosquatting som har frist til 11. Maj) så har denne høring også frist til 11. Maj, og er også en revision af de generelle vilkår. Sagt med andre ord. 7 dages høringsfrist. Hurra!

Set ud fra et demokratisk synspunkt finder jeg det betænkeligt at der er to høringer i gang, begge med formål at ændre de generelle vilkår, men med forskellige dokumenter og revisioner.

Jeg vil i dette blogindlæg derfor fokusere på: http://www.difo.dk/fileadmin/user_upload/documents/generelle_Vilkaar/Generelle_vilkaar_udkast_DNSSEC.pdf og ikke http://www.difo.dk/fileadmin/user_upload/documents/generelle_Vilkaar/Generelle_vilkaar_udkast_april_2010.pdf

I forbindelse med DNSSEC har man tilføjet tilsyneladende 3 ting:

§ 2:
Ved DNSSEC forstås en teknisk sikkerhedsfacilitet, der ad kryptografisk vej og på grundlag af internationalt anerkendte standarder mindsker risikoen for, at svaret på en DNS-forespørgsel kompromitteres under afviklingen af processen.
Ved Nøgleansvarlig forstås den fysiske eller juridiske person, som registranten har bemyndi- get til at håndtere transaktioner, som indebærer ændringer i opsætning og indhold af krypte- ringsnøgler for DNSSEC.

§ 5.2:
Når ovenstående betingelser er opfyldt, registrerer DK Hostmaster, at registranten har skiftet internetudbyder. Ved redelegering af et domænenavn med tilknyttede DNSSEC-nøgler vil DNSSEC-service som hovedregel blive afbrudt, indtil registranten har angivet en ny nøglean- svarlig og nye nøgler, og DK Hostmaster har registreret den nye nøgleansvarlige og de nye nøgler.

§ 10:
DK Hostmaster påser, at de krypteringsnøgler, som DK Hostmaster genererer til brug for DNSSEC på .dk-zonen, er valide og annonceres korrekt. Ansvaret for registrantens krypte- ringsnøgler og håndteringen af disse påhviler registranten.
Det påhviler registranten selv at:
• • • •
generere sine krypteringsnøgler til brug for DNSSEC fremsende den offentlige nøgle af det genererede nøglepar til DK Hostmaster publicere nøglerne i DNS og sikre nøglerne mod kompromittering.
Brugen af DNSSEC indebærer derfor ikke en udvidelse af DK Hostmasters ansvar for rigtig- heden af DNS-oplysninger.

ad §2:
DNSSEC defineringen kan vi jo ikke rigtig sige noget til, men nøgleansvarlige bliver jeg nød til at kommentere.

En nøgleansvarlig findes i dag ikke på de godt 1000000 .dk domæner der findes, og udnævelse af en sådan, skal tilsyneladende ske ved en bemyndigelse af registranten, dvs. registranten skal personligt, eller hvertfald ved udlevering af sin adgang til dkhm hjemmeside, give nogen adgang til dette.

Resultatet bliver, uden tvivl, et af to onder. 1) DNSSEC bliver aldrig stort her i lille Danmark. 2) Kaos med support.

ad 5.2:
Redelegering udsletter så samtidigt nøgle, og nøgleansvarlig, så jeg formoder at nøgleansvarlig også kan godkendes og sættes i redelegerings fasen så vi slipper for flere unødige procedurer?

ad 10:
Det påhviler ikke registranten, men den nøgleansvarlige, at nøglerne er korrekt. i sidste ende bliver dette til registranten, men nu har man lavet rollefordeling til en nøgleansvarlig, så ville det også være smart at benytte sig af denne.

Yderlige bemærkninger til generelle vilkår:
§6
beskrivelsen af priserne bør ikke indgå i de generelle vilkår, men på et seperat prisblad.

§6.3 er ikke korrekt, fremtidligt betalinger tilfalder betalings kontakten, eller af den som registranten har markeret som betaler.

§ 8.3.5 “DIFO ́s beslutning kan ikke indbringes for Klagenævnet for Domænenavne, men kan indbrin- ges for de almindelige domstole.” Javel ja.. Hvor kom den regel fra, hvad er defineret ved sikkerheds hensyn, og hvorfor tror DIFO at loven ikke gælder for dem?

Der undres også en del over over i Kødbyen, at der tilsyneladende er så meget brug for ansvarsfraskrivelsen OG typosquatting reglerne… Men det kan vi komme ind på senere.. Offentlighedsfasen og information om DNSSEC finde der intet af på DK-Hostmaster.dk (prøv selv at søge efter “DNSSEC” her: https://www.dk-hostmaster.dk/soegning)