Høringsnotat om forslag til ændrede regler vedr. DNSSEC Dansk Internet Forum (herefter DIFO) og DK Hostmaster sendte den 4. maj 2010 et forslag til ændring af Generelle vilkår for tildeling, registrering og administration af domænenavne under top level-domænet.dk i høring. Ændringerne er begrundet i, at DK Hostmaster den 1. juli implementerer DNSSEC i dk-zonen. Dette notat vil behandle de synspunkter, de forskellige organisationer eller personer har rejst i deres høringssvar. Der er modtaget høringssvar fra DKRegistrar, Peter Makholm, Klagenævnet for Domænenavne og Rockwool. Klagenævnet og Rockwool havde ingen bemærkninger. Bekymring for registrantens rolle DKRegistrar har følgende bemærkninger til registrantens rolle i forbindelse med DNSSEC: DKRegistrar nærer bekymring for den generelle udbredelse af DNSSEC på baggrund af den aktive rolle, registranten spiller i udvælgelsen af den nøgleansvarlige. Foreningens bekymring går hovedsagelig på, at supporten med dette kan stige uhensigtsmæssigt meget, pga. forviklinger og tekniske begreber, som registranten stilles overfor at skulle forstå konsekvenserne af. DNSSEC er primært en teknisk metode til en øget sikring af DNS. Registranten mærker i sin daglige forretningsmæssige brug af domænet stort set intet til DNS eller DNSSEC og vil have meget lidt interesse for og viden om den tekniske side. Zonekontakten/registrator bør have mulighed for at agere på kundens vegne, evt. i forbindelse med samme metode som en given registrator kan overtage betaling for et.dk domæne på registrantens vegne, så bør en registrator på vegne af registranten, og på registrators egne navneservere, kunne overtage nøgleansvaret uden alt for meget juridisk besvær. 1
Peter Makholm har følgende bemærkninger til registrantens rolle i forbindelse med DNSSEC: Forslaget til regler for håndtering af DNSSEC vil sætte effektive begrænsninger i udbredelsen af DNSSEC under det danske top level-domæne.dk. Det vil blive for besværligt for den normale registrant at slå DNSSEC til. Derved vil vi ikke i Danmark være med til at påvirke den innovative udvikling i brugen af DNSSEC til for eksempel erstatning af SSL-certifikater. DKRegistrar er bekymret for den rolle, som registranten tiltænkes i forbindelse med udpegning af en nøgleansvarlig for hans/hendes domænenavn. Det er DIFOs overordnede holdning, at registranten til enhver tid er den, som suverænt beslutter, hvilke personer eller virksomheder han/hun ønsker at tildele roller som befuldmægtigede. Dette princip har altid gjort sig gældende. Det gælder således også for udpegning af hhv. fuldmægtig, betaler og navneserveransvarlig. DKRegistrars ønske om at give registratorer og andre samme rettigheder vedr. rollen som nøgleansvarlig, som man har vedrørende betalingsforpligtelsen, er således allerede opfyldt. I begge tilfælde er det registranten, som afgør forholdet. Det bemærkes særskilt, at registranten kan tildele op til 5 personer rollen som nøgleansvarlig. DIFO kan ikke gå ind for et forslag om indsættelse af en nøgleansvarlig for et domænenavn uden accept fra registranten. Men når en nøgleansvarlig er udpeget af registranten, kan den nøgleansvarlige varetage den tekniske del af DNSSEC for registranten. Således bør der være taget hånd om Peter Makholms bekymring om, at registranterne finder DNSSEC for besværligt. Terminologien Peter Makholm har følgende bemærkninger til terminologien: Valget af terminologien 'Nøgleansvarlig' er uheldigt, når punkt 10 klart anfører, at det påhviler registranten, at DNSSEC er korrekt opsat. Dermed er den nøgleansvarlige slet ikke ansvarlig i forholdet til DK-Hostmaster og bør derfor ikke betegnes som sådan. Det foreslås i stedet at benytte udtrykket 'nøglefuldmægtig', hvilket klart angiver, at vedkommende, over for DK-Hostmaster, handler på registrantens vegne. 2
DIFO finder, at ovenstående begrundelse for at ændre terminologien fra nøgleansvarlig til nøglefuldmægtig er hensigtsmæssig og vil derfor ændre vilkårene i overensstemmelse hermed. Offentlighedstest og offentlighedsfase. DKRegistrar har følgende bemærkninger til test og offentliggørelse af projektets milepæle: DKRegistrar er bekymret for de offentligt tilgængelige informationer i forbindelse med DNSSEC. Der findes tilsyneladende ikke offentlige lettilgængelige informationer om den offentlige fase af DNSSEC-implementeringen, og DKRegistrar er derfor i tvivl om, hvorvidt der reelt er DNSSEC bag ordene "1. juli 2010", som er ytret så mange gange. Man mangler: o en offentlig let oversigt over planen for DNSSEC-implementeringen, o datoer og o testperiode Foreningen anbefaler opfyldning af forpligtelserne over for internetsamfundet, som er indgået ved de offentlig møder, og imødekommelse af offentlighedsfasens forpligtelser. Et fuldt operationelt testsystem som kan tilgås i den lovet minimums offentlige testperiode under DNSSEC mødet på 3 måneder. En ubetinget udsættelse af DNSSEC-indsættelsen i.dk regi indtil alle punkter er opfyldt. Idet høringens formål er at indhente bemærkninger til den foreslåede ændring af Generelle vilkår for tildeling, registrering og administration af domænenavne under top level-domænet.dk, skal DIFO her nøjes med at tage DKRegistrars udtalelser under punktet til efterretning. 3
Punkt 5.2 Redelegering DKRegistrar har følgende bemærkninger til redelegering og DNSSEC: Nøgleansvarlig nulstilles ved redelegeringer. Dette er tilsyneladende fordi, den nøgleansvarlige på et eller andet plan forventes at være en navneserveransvarlig. Hvis dette er tilfældet, mener DKRegistrar, at den nøgleansvarlige burde være den primære navneserveransvarlige, rolle fordeles så til at være til en eksisterende rolle. Nøgleansvarlig er den primære zonekontakt i mangel af bedre i forbindelse med DK-Hostmasters valg af forretningsmodel for.dk Såfremt den primære navneserver-ansvarlige er ukendt i det nuværende system, bruges SOA record, eller nyredelegering til afgørelse af dette. Tydeliggørelse af DNSSEC registratorer på DK Hostmasters hjemmeside, som drifter og tilbyder DNSSEC-løsninger for.dk domæner Peter Makholm har følgende bemærkning til redelegering: Hovedreglen bør være, at DNSSEC virker under redelegering. Igen ville en teknisk dokumentation af forholdet mellem registrant og registry kunne belyse dette. DIFO tager DKRegistrars bemærkninger og anbefalinger til efterretning. DKRegistrars anbefaling om offentliggørelse på DK Hostmasters hjemmeside af udbydere, som tilbyder DNSSEC løsninger, vil blive drøftet nærmere i DK Hostmasters bestyrelse. Peter Makholm mener, at DNSSEC bør virke som hovedregel under redelegering. Hensigten med tilføjelsen til punkt 5.2 er alene at gøre registranterne af.dkdomænenavne opmærksomme på, at der kan komme afbrydelser i DNSSEC, medmindre den person, der redelegerer, foretager foranstaltninger, der forhindrer denne afbrydelse. 4
Punkt 10 Ansvarsfraskrivelse DKRegistrar har følgende bemærkninger til ansvarsfraskrivelsen: For at kunne acceptere en generel ansvarsfraskrivelse, vil det være nødvendigt, at det er dokumenteret, at nøgler håndteres og opdateres i DK-Hostmasters regi på en betryggende og sikker vis. DK-Hostmaster har ikke vist nogle former for dokumentation for, hvordan håndteringen af key rollovers, policy omkring håndtering eller generering af nøglesæt udføres. Anbefaler derfor: o Offentlighed omkring håndtering af nøglesæt for.dk zonen. o Offentlighed omkring generering af nøglesæt for.dk zonen, som eksempelvis a la TCR i root signing-proceduren. o Inddragelse af internetsamfundet i forbindelse med procesbeskrivelser, f.eks. ved offentliggørelse. o Forpligtelse over for internetsamfundet til drift af 24/7 support service i forbindelse med DNSSEC og en indkøring af dette i drift i minimum en periode af 1 år. Ansvarsfraskrivelsen i punkt 10 er begrundet i, at DK Hostmaster ikke har mulighed for at kontrollere de nøgler, som indsendes af registranten eller af den af registranten udpegede nøgleansvarlige. DK Hostmaster skal derimod stå inde for de nøgler, som selv generes, hvilket også er fastsat i vilkårene. Der er derfor ikke tale om en generel ansvarsfraskrivelse, men en afgrænsning af, at DK Hostmaster skal kunne garantere, at egne nøgler ikke er kompromitterede, men DK Hostmaster kan i sagens natur ikke garantere, at registranternes nøgler er korrekte. De nøgler, registranten indsender til DK Hostmaster, vil være de nøgler, der anvendes. DK Hostmaster vil inden for kort tid offentliggøre dokumenter vedrørende bl.a. nøglehåndtering, beskrivelse af hvordan registranten kan indmelde DNSSEC mv. DK Hostmaster kan ikke tilbyde 24/7 support service inden for DNSSEC. DK Hostmaster vil som altid sørge for at leve op til IT- og Telestyrelsens krav om 99,0 % tilgængelighed til de administrative systemer, men da DNSSEC i høj grad er et produkt, som den enkelte registrant selv skal drifte i egne systemer, vil det være registrantens egne systemer, der skal serviceres. 5
Høringsprocessen: Peter Makholm har følgende bemærkninger til høringsprocessen: Det er utilstrækkeligt at sende de juridiske regler i høring uden på samme tid at have teknisk dokumentation klar til interaktionen mellem registrant og registry. Der er under høringsperioden blevet indbudt til en offentlig test, men uden offentlig information om, hvad der kan testes, og hvilke tekniske krav testen stiller. Disse informationer kan kun fås, efter man har tilmeldt sig testen. Det er efter Peter Makholms menig kritisabelt, at DIFO udnytter denne ændring af reglerne til at tilføje ansvarsfraskrivelser glemt i ændringen vedrørende typosquatting. Dels er det uigennemsigtigt fra DIFO's annoncering af regelændringen, at den ikke kun vedrører DNSSEC, dels er typosquattingændringerne ved annonceringen stadigvæk i høring. Det generelle indtryk af hele processen vedrørende DNSSEC er, at DIFO reelt ikke er interesseret i at indføre den sikkerhed, som DNSSEC giver, men kun deltager efter hårdt pres. Dette har givet en proces med dårlig information og dårlig mulighed for parter uden for DIFO for at forberede sig til de enkelte milepæle og kommentere på dem. DIFO har inden udsendelsen af reglerne om DNSSEC ikke ment, at der var usikkerhed om modellen for både det tekniske og processuelle set-up. Der har været mulighed for at deltage i testen, og DK Hostmaster har udsendt endnu en opfordring til at deltage i testen. Men DK Hostmaster vil i den kommende tid offentliggøre en beskrivelse af set-up og processer. DIFO skal beklage, at det har været nødvendigt at indføre en mindre rettelse i punkt 10, som egentlig hører til i høringen om typosquatting. Det blev dog vurderet at ændringen var en konsekvensrettelse på baggrund af en ny sanktionsmulighed, og afvejningen blev, at det var bedre at få ændringen med i en høring end blot at meddele den senere. DIFO prioriterer sikkerhed højt, og derfor indføres DNSSEC. DIFO finder det beklageligt, hvis processen omkring DNSSEC ikke har været informativ nok, således at parterne har haft mulighed for at forberede sig. Der vil i den kommende tid blive fokuseret på at informere både registratorer og registranter om DNSSEC. 6