DIFO har netop sat en høringsprocess igang vedrørende DNSSEC (ud over høringen om typosquatting som har frist til 11. Maj) så har denne høring også frist til 11. Maj, og er også en revision af de generelle vilkår. Sagt med andre ord. 7 dages høringsfrist. Hurra!

Set ud fra et demokratisk synspunkt finder jeg det betænkeligt at der er to høringer i gang, begge med formål at ændre de generelle vilkår, men med forskellige dokumenter og revisioner.

Jeg vil i dette blogindlæg derfor fokusere på: http://www.difo.dk/fileadmin/user_upload/documents/generelle_Vilkaar/Generelle_vilkaar_udkast_DNSSEC.pdf og ikke http://www.difo.dk/fileadmin/user_upload/documents/generelle_Vilkaar/Generelle_vilkaar_udkast_april_2010.pdf

I forbindelse med DNSSEC har man tilføjet tilsyneladende 3 ting:

§ 2:
Ved DNSSEC forstås en teknisk sikkerhedsfacilitet, der ad kryptografisk vej og på grundlag af internationalt anerkendte standarder mindsker risikoen for, at svaret på en DNS-forespørgsel kompromitteres under afviklingen af processen.
Ved Nøgleansvarlig forstås den fysiske eller juridiske person, som registranten har bemyndi- get til at håndtere transaktioner, som indebærer ændringer i opsætning og indhold af krypte- ringsnøgler for DNSSEC.

§ 5.2:
Når ovenstående betingelser er opfyldt, registrerer DK Hostmaster, at registranten har skiftet internetudbyder. Ved redelegering af et domænenavn med tilknyttede DNSSEC-nøgler vil DNSSEC-service som hovedregel blive afbrudt, indtil registranten har angivet en ny nøglean- svarlig og nye nøgler, og DK Hostmaster har registreret den nye nøgleansvarlige og de nye nøgler.

§ 10:
DK Hostmaster påser, at de krypteringsnøgler, som DK Hostmaster genererer til brug for DNSSEC på .dk-zonen, er valide og annonceres korrekt. Ansvaret for registrantens krypte- ringsnøgler og håndteringen af disse påhviler registranten.
Det påhviler registranten selv at:
• • • •
generere sine krypteringsnøgler til brug for DNSSEC fremsende den offentlige nøgle af det genererede nøglepar til DK Hostmaster publicere nøglerne i DNS og sikre nøglerne mod kompromittering.
Brugen af DNSSEC indebærer derfor ikke en udvidelse af DK Hostmasters ansvar for rigtig- heden af DNS-oplysninger.

ad §2:
DNSSEC defineringen kan vi jo ikke rigtig sige noget til, men nøgleansvarlige bliver jeg nød til at kommentere.

En nøgleansvarlig findes i dag ikke på de godt 1000000 .dk domæner der findes, og udnævelse af en sådan, skal tilsyneladende ske ved en bemyndigelse af registranten, dvs. registranten skal personligt, eller hvertfald ved udlevering af sin adgang til dkhm hjemmeside, give nogen adgang til dette.

Resultatet bliver, uden tvivl, et af to onder. 1) DNSSEC bliver aldrig stort her i lille Danmark. 2) Kaos med support.

ad 5.2:
Redelegering udsletter så samtidigt nøgle, og nøgleansvarlig, så jeg formoder at nøgleansvarlig også kan godkendes og sættes i redelegerings fasen så vi slipper for flere unødige procedurer?

ad 10:
Det påhviler ikke registranten, men den nøgleansvarlige, at nøglerne er korrekt. i sidste ende bliver dette til registranten, men nu har man lavet rollefordeling til en nøgleansvarlig, så ville det også være smart at benytte sig af denne.

Yderlige bemærkninger til generelle vilkår:
§6
beskrivelsen af priserne bør ikke indgå i de generelle vilkår, men på et seperat prisblad.

§6.3 er ikke korrekt, fremtidligt betalinger tilfalder betalings kontakten, eller af den som registranten har markeret som betaler.

§ 8.3.5 “DIFO ́s beslutning kan ikke indbringes for Klagenævnet for Domænenavne, men kan indbrin- ges for de almindelige domstole.” Javel ja.. Hvor kom den regel fra, hvad er defineret ved sikkerheds hensyn, og hvorfor tror DIFO at loven ikke gælder for dem?

Der undres også en del over over i Kødbyen, at der tilsyneladende er så meget brug for ansvarsfraskrivelsen OG typosquatting reglerne… Men det kan vi komme ind på senere.. Offentlighedsfasen og information om DNSSEC finde der intet af på DK-Hostmaster.dk (prøv selv at søge efter “DNSSEC” her: https://www.dk-hostmaster.dk/soegning)

Tid til at flytte bits og bytes, tid til at få erfaring og tid til at komme i gear og få r*ven ud af vandskorpen. Vi har kørt med DNSSEC i nu snart mange år, som en eksperimental feature.

Vi har signed alle vores .se zoner som vi har i DNS med DNSSEC i en ren demonstration for at vise at det her ikke er en umulig opgave, alle DS nøglepar er vidresendt, automatisk, til det svenske registry via EPP, og alt er klar.

Det gør os med et til Sveriges største udbyder af DNSSEC, med lidt over 65% af de samlede antale DNSSEC signed zoner.

.. og hvad er så problemet, for der må da være problemer?

Ja, problemer er der masser af, feks har jeg ca 147444 .dk problemer. Disse zoner kan jeg ikke DNSSEC signere, da vi pr default ikke får adgang til at gøre dette i dk-hostmaster‘s nye fine system som frigives 1/7, da vi “ikke har nogle nøgleansvarlig på de ca 1 million .dk domæner der ligenu findes, da registranten manuelt skal gå ind og tilføje en nøgleansvarlig” – citat, mere eller mindre ordret, Per Kølle – DK-Hostmaster A/S (att Per: jeg modtager gerne korrigeringer hvis min opfattelse fra registrator møderne og DNSSEC mødet er opfattet forkert).

I forvejen findes der en DNS zone kontakt, hvis du ikke stoler på din DNS operatør, hvem fanden skal du så stole på?

DK-Hostmaster har en vision om at du som registrant, selv, eller giver en tredjepart adgang til at lave signeringen af zonen, dvs

1) du opretter en dns opsætning et sted

2) du laver en KSK og ZSK

3) du laver diverse smarte ting med værktøjer og zonen.. og volia, zonen er signed.

4) du uploader zonen igen til DNS udbyder

5) du uploader DS nøglen til DK-Hostmaster.dk

6) punkt 4 og 5 skal være nogenlunde timet, ellers ender du i problemer.

… Personligt tror jeg at løsningen er udtænkt af en teknikker i samarbejde med en jurist, vores kunder har enddog svært nok i forvejen ved at forstå de skal lave orderbekræftelse efter de HAR købt domænerne. At bede kunderne om ovenstående øvelse, eller bare det at gå ind og udvælge en nøgle kontakt (som i princippet kan være en anden end zonekontakten) og adgang til opdatering af en DS nøgle (hvem tror at kunder kunne finde på at indtaste tilfældige tal og bogstaver her?) er utopi.

.. i gratisdns.dk‘s tilfaelde, og for .se zonen, skal du lave .. absolut.. ingenting.. du skal bare blive ved med at sidde og lave din hjemmeside.. besvare dine mails fra dine kunder og gør dine kone glad med blomster. Det hedder shared registry, EPP, og god kundeservice.

Dét er visionen i fuld galop. Er det da ikke smart?