Monday, 23 November 2009

Inwestujemy w bezpieczeństwo: DNSSEC oraz .PL Registry Lock

W ostatnim czasie prezentowałem koncepcję nowej usługi jaką jest .PL Registry Lock. Po publikacji bloga otrzymałem wiele uwag, zarówno pozytywnych jak i sugestii zmiany niektórych (zaproponowanych) zasad. Mam też przegląd propozycji co do cen takiej nowej usługi. Nadal zbieram uwagi i sugestie dotyczące kształtu „.PL Registry Lock” i będę dopracowywał koncepcję w najbliższych tygodniach. Za dotychczasowe uwagi dziękuję i... oczekuję na więcej.

Oprócz „.PL Registry Lock” chciałbym powrócić do tematu DNSSEC...

Dotychczas DNSSEC był projektem inżynierskiem, bez wdrożeń komercyjnych. Jak być może Państwo wiecie, pojawiły się już pierwsze trzy wdrożenia DNSSEC w Europie, aczkolwiek nie są to wdrożenia NSEC3, czyli bezpieczniejszej i lepszej odmiany DNSSEC, którą planuje wdrożyć NASK. Obok wymienionych kilku wdrożeń po stronie rejestrów domen, ICANN poważnie przymierza się do „podpisania” roota z wykorzystaniem technologii DNSSEC. Według zapewnień ICANN nastąpi to na przełomie pierwszego i drugiego półrocza 2010 r.

Mam nadzieję, że w najbliższym półroczu, z jednej strony kraje, które wdrożyły DNSSEC dla swoich klientów (.CZ .SE .BG) będa mogły pochwailić się swoimi osiągnięciami i porażkami DNSSECowymi, a z drugiej strony będziemy mieli większą wiedzę na temat funkcjonowania DNSSEC na poziomie root. Chciałbym też nadmienić, że NASK od kilku lat wykorzystuje DNSSEC dla projektu ENUM i nasze doświadczenia są generalnie pozytywne z tym projektem.

Biorąc to wszystko co napisałem pod uwagę, chciałbym przedstawić Państwu propozycję spotkania w NASK w marcu lub kwietniu 2010 na którym moglibyśmy omówić szczegóły i propozycje zarówno jeśli chodzi o plany NASK jak i aktualną sytuację na świecie z wdrożeniem DNSSEC oraz projektów typu „Registry Lock” (głównie VeriSign). Spotkanie będzie też okazją do wymiany poglądów oraz dyskusji na temat kształtu tych umów. Spotkanie będzie otwarte, tzn. będą w nim mogli uczestniczyć nie tylko Partnerzy NASK, ale także osoby zainteresowane tymi projektami.

Moje plany jeśli chodzi o harmonogram wdrożenia poszczególnych usług wygląda on następująco:

wdrożenie .PL Registry Lock:
1. Spotkanie w NASK - marzec 2010 r.
2. Zamknięcie uzgodnień szczegółowych w zakresie usługi „.PL Regsitry Lock” – maj 2010 r.
3. Wdrożenie testowe – lipiec 2010 r.
4. Umowa prawna – sierpień 2010 r.
5. Wdrożenie produkcyjne – 30 sierpnia 2010 r.

wdrożenie DNSSEC (dokładniej NSEC3):
1. Spotkanie w NASK - marzec 2010 r.
2. Uzgodnienia szczegółów usługi, dopracowanie procesow administracyjnych po stronie NASK i Partnerów – lipiec 2010 r.
3. Szkolenia Partnerów, edukacja klientów – do grudnia 2010 r.
4. Wdrożenie testowe – marzec 2011 r.
5. Wdrożenie produckyjne – czerwiec 2011 r.

Ktoś może zadać pytanie - czemu tak dużo czasu zajmuje wdrożenie DNSSEC? Niestety DNSSEC jest usługą wymagajaca po stronie Registrarów (czyli w przypadku .PL Partnerów) bardzo dużo wysiłku. Sama technologia nie jest skomplikowana. Skomplikowane jest wdrożenie procedur administracyjnych zapewniajacych klientowi, że jego domena będzie dostępna. Niestety w przypadku DNSSEC, drobna pomyłka powoduje, że serwery DNS traktują domenę jako podpisaną nieprawidłowo i nie zwracają odpowiedzi do klienta. Duże problemy z domeną .GOV (dla administracji rządowej w USA) na początku tego roku pokazują, że drobny bład w autoryzacji podpisow powoduje, że nawet poprawna domena może być niedostępna. W przypadku .PL musimy zrobić wszystko, żeby nie powtórzyć błędów zarówno .GOV jak i kolegów z .SE oraz .CZ.

I jak zwykle zapraszam Państwa do dyskusji na temat tych usług już teraz... Szczególnie będzie ciekawe poznanie Państwa wizji co do ewentualnego sukcesu komercyjnego DNSSEC dla Partnerów, czyli mówiąc inaczej, jak będzie można sprzedać tą usługę klientom tak, by byli oni z tego zadowoleni, a Partner aby dzięki temu zyskał udział w rynku bądź wygenerował zysk.

No comments:

Post a Comment