Thursday, 19 November 2009

.PL Lock Service - usługa dla wymagających

Podczas ostatniej konferencji ICANN byłem pytany przez trzech różnych Registrarów o możliwość wprowadzenia dla klientów i Partnerów NASK nowego serwisu polegającego na dodatkowym zabezpieczeniu domen. Zostałem o to samo zapytany ostatnio przez jednego z rodzimych Partnerów (z pierwszej 10-tki), więc czas chyba rozważyć, czy nie wdrożyć tego pomysłu w życie.

Za pomysłem nowego serwisu kryje się obawa niektórych Rejestratorów i Abonentów o to, że ktoś np. może włamać się na system Partnera (Registrara) i dokonać nieautoryzowanych zmian na domenach – transferu domeny, zmiany serwerów nazw, zmiany abonenta itd. Ponieważ wszystko dokonywane jest automatycznie, nie ma możliwości ręcznej weryfikacji takich transakcji.

Rozwiązaniem jest wprowadzenie mechanizmów ustawiania w systemie Registry NASK statusu „server Update Prohibited” na żądanie Partnera. Przy tak ustawionym statusie na domenie, nie jest możliwe automatyczne wykonanie jakiejkolwiek operacji poprzez EPP (protokół komunikacyjny automatycznej wymiany danych między NASK a Partnerem, odbywający się bez udziału człowieka). W przypadku kiedy Partner będzie jednak chciał dokonać zmian dla swojego klienta, zwróci się do NASK telefonicznie lub mailowo w celu „odblokowania” możliwości zmian. NASK potwierdzi tożsamość osoby reprezentującej Partnera za pomoca np. niezależnego hasła (niewykorzystywanego w systemach automatycznych), oddzwoni na ustalony wcześniej numer bądź wykorzysta mechanizm „one-time passwords”. Po przeprowadzonej w ten sposób bezpiecznej autentykacji NASK zdejmie blokadę z domeny (lub domen), Partner dokona zmian poprzez EPP (automatycznie) a następnie NASK przywróci status serverUpdateProhibited.

Opisana procedura oczywiście dodatkowo zabezpiecza klienta, niemniej jednak powoduje, że zmiany nie mogą być dokonywane automatycznie i będą wymagały trochę czasu na ich dokonanie. Tak jak w przypadku każdego zabezpieczenia gdzie musimy wybrać inny kanał autentykacji, należy z czegoś zrezygnować (pełna automatyzacja, zmiana w ciągu kilku sekund) na rzecz nieco bardziej skomplikowanej procedury (zmiana danych może trwać nawet kilkanaście minut).

Podobne rozwiązanie zaproponował niedawno VeriSign i nazywa się to „Registry Lock Service - com/net”. Opis tego serwisu można znaleźć na stronie VeriSign.

Podobnie jak VeriSign, NASK zaproponowałby też cennik na zasadzie „tiered pricing” gdzie cena za usługę byłaby uzależniona od ilości domen w ten sposób dodatkowo zabezpieczonych. Oczywiście ceny nie byłyby tak kosmiczne jak w przypadku VeriSign (100 USD za rok za domenę), niemniej jednak usługa powinna mieć status „VIP” i chociażby ze względu na jej charakter, wymaga wysiłku zarówno po stronie Partnera jak i NASK.

Czekam na Państwa opinie zarówno jako Partnerow NASK jak i Abonentów domen. Bez zainteresowania Abonentów nie ma oczywiście sensu dalsza dyskusja nad taką usługą... Ja ze swojej strony podchodzę całkowicie neutralnie do tego pomysłu i jestem gotowy wdrożyć go o ile będzie faktyczne zainteresowanie rynku.

No comments:

Post a Comment