PDA

Bekijk Volledige Versie : DRS5 Nieuwsbrief 5



SIDN
10/02/10, 11:00
Onderwerpen:
1. Resultaten eerste week openstelling RTO
2. Tokenverstrekking
3. Proces IP whitelisting

Lilian van Mierlo is manager van de afdeling Registratie & Service (R&S) van SIDN, de afdeling waar alle vragen van klanten worden beantwoord. Vanuit haar rol analyseert Lilian dagelijks de RTO en de vragen van registrars die over DRS5 binnenkomen. Wij vroegen haar naar haar bevindingen nu de RTO een week open is.

1.A. Hoeveel registrars hebben de eerste week van de RTO gebruik gemaakt?
In totaal hebben 88 registrars gebruik gemaakt van de webinterface, 62 van de EPP-interface en één van de servicelaag in de RTO. Zij hebben 5.600 muterende transacties uitgevoerd.. Al met al niet slecht voor de eerste week, maar we merken dat veel registrars de kat een beetje uit de boom kijken. Wij willen de registrars die nog niet van de RTO gebruik hebben gemaakt aanraden dat wel te doen voor de livegang van DRS5 op 17 maart. Ook wanneer ze de webinterface gebruiken zijn er tal van wijzigingen die voor hen relevant zijn. De registrars die al getest hebben, zijn in ieder geval enthousiast. Zo kregen we van een registrar een mail waarin hij zei: “Ik heb net overigens getest met DRS en er waren maar een paar kleine wijzigingen nodig om onze EPP-code met jullie systeem te laten werken. En dan ook alleen maar vanwege de aanvullende gegevens die jullie hier en daar vragen. Ziet er tot nu toe dus goed uit!”. Dat is natuurlijk erg leuk om te horen!

1.B. Zijn er nog opvallende zaken naar voren gekomen?
Wat wel opvallend is, is dat er registrars zijn die denken dat we in de RTO een testversie hebben staan waar nog aan ‘gesleuteld’ wordt. Dit is onjuist. In de RTO staat de productieversie van DRS5. Met deze versie gaat SIDN op 17 maart a.s. live. De RTO is voor de registrars om hun systemen op DRS5 voor te bereiden en erop aan te laten sluiten. Niet voor SIDN om DRS5 te testen. Daarom is het zo belangrijk dat registrars de RTO gebruiken vóór 17 maart.

1.C. Heb je tips voor de registrars die de RTO gaan gebruiken?
We hebben gekeken naar wat registrars in de RTO doen en een top-5 gemaakt van de meest gemaakte fouten tot nu toe, dat leek ons handig voor nieuwe RTO-gebruikens. Die top-5 is:



Het niet aanpassen van het notify e-mailadres (hier vindt u meer informatie).
Bij de e-mail formulieren registrar tech-c op ‘ja’ zetten, maar geen houder tech-c opgeven. Maakt u gebruik van de DRS4 servicelaag, dan dient u een houder tech-c op te voeren. Deelnemer tech-c wordt in DRS5 niet gebruikt en dus ook niet meer ondersteund!
Het niet houden aan onderstaande XSD-validatie:
Alle XML moet beginnen met 4 bytes (in Network order/BigEndian format) welke aangeven hoe groot het bericht is (inclusief de 4 bytes). De 4 bytes worden gevolgd door de XML-declaratie, met daarin informatie over de gebruikte karakterset en versie. U kunt de volgende karaktersets gebruiken: UTF-8, ASCII-7 or ISO-8859-1. De versie is altijd 1.0. Meer informatie hierover staat in de Handleiding DRS5, hoofdstuk 6.1.1.
Sommige registrars loggen voor ieder EPP-commando in en weer uit. Dat is niet nodig: je kunt in één sessie (tussen inloggen en uitloggen) meerdere EPP-commando’s achter elkaar aanbieden, maar een nieuw commando mag pas worden aangeboden als het antwoord op het vorige commando in een sessie is ontvangen.
Niet alle registrars sluiten hun EPP-sessies netjes af. Indien een sessie niet middels een EPP logout beëindigd wordt, blijft DRS5 uw sessie als ‘in gebruik’ zien. En een registrar kan maximaal vier sessies in gebruik hebben. Na tien minuten inactiviteit binnen een sessie, zal DRS5 deze zelf uitloggen.

2.A. Komen er verder veel vragen van registrars binnen bij R&S over DRS5? En zo ja, welke dan?
Er komen wel wat vragen binnen, maar niet veel. We hebben de afgelopen maanden een paar keer een vraag gekregen over de tokenverstrekking. Een registrar is namelijk verplicht de token aan zijn klant te verstrekken binnen vijf dagen nadat de HOUDER van een .nl-domeinnaam daarom vraagt. Daar waren een paar vragen over.

2.B. Waarom kan een registrar de token niet zelf resetten? Dat kan bij andere registries namelijk wel.
Een uitgangspunt bij het ontwerp van DRS5 is dat SIDN vertrouwt op de relatie tussen de registrar en de houder. Dit uitgangspunt heeft er bijvoorbeeld toe geleid dat de houderbeschermende maatregelen (DNS-check, mogelijkheid bezwaar) uit de opheffingsprocedure zijn gehaald. Voor de verhuisprocedure ligt dit gecompliceerder. Er zijn namelijk twee verschillende registrars en één houder bij betrokken. Op de relatie met welke registrar moet dan worden vertrouwd?

Om deze reden hebben wij er als neutrale partij voor gekozen om zelf de token in beheer te houden. De registrar onder wiens beheer de domeinnaam valt, kan de token wel opvragen, maar kan deze niet wijzigen. Ook onze ervaring met het onterecht indienen van bezwaren tegen verhuizingen in DRS4 heeft meegespeeld bij deze keuze. Er werd veelvuldig onterecht bezwaar gemaakt bijvoorbeeld omdat het bezwaar niet namens de houder was ingediend. Nu de registrar verplicht is de token af te geven en deze de token niet vervolgens zelf kan veranderen, wordt recht gedaan aan het feit dat het aan de houder zelf is om te beslissen door welke registrar deze vertegenwoordigd wil worden.

Uiteraard evalueren we alle processen en dus ook dit proces in de maanden na de livegang van DRS5. We blijven open staan voor procesverbetering en innovatie, en zijn zelf ook al bezig met verdere verbeteringen, zoals bij IP whitelisting.

3.A. Waarom is eigenlijk voor IP whitelisting gekozen?
SIDN voert op het gebied van beveiliging het beleid dat er vanuit gaat dat alle toegang tot de systemen is afgesloten tenzij dit nadrukkelijk is toegestaan. Met betrekking tot het DRS5-systeem geeft SIDN deze toegang door het toepassen van IP whitelisting. Dat wil zeggen dat alleen verkeer dat afkomstig is van in de lijst opgenomen IP adressen via de firewall toegang tot het systeem kan krijgen. Dit in tegenstelling tot IP blacklisting dat er vanuit gaat dat alle IP-adressen toegang hebben, behalve de in de lijst opgenomen IP-adressen. Zowel het blacklisten als het whitelisten geschiedt op en door de firewall van SIDN. Dit is dan ook de reden dat SIDN controle wil hebben over de IP-adressen die door de registrars worden opgegeven, zowel qua aantal (acht stuks voor de EPP-toegang) als de daadwerkelijk invoering in de IP whitelist van de firewall. Mochten er dwingende redenen zijn om meer IP-adressen per registrar op te nemen, dan kan dat door dit met onderbouwende motivatie aan te vragen bij R&S.

3.B. Wat is nu het proces voor IP whitelisting?
In eerste instantie is gekozen om de interface voor het opgeven van IP-adressen gelijk te houden aan die van de Whois-ontheffingen. Dus de registrar stuurt een e-mail met daarin de gewenste IP-adressen naar SIDN. Er kunnen maximaal acht IP-adressen worden opgegeven, en het mogen zowel IPv4- als IPv6-adressen zijn. De medewerkers van R&S voeren de IP-adressen vervolgens in. Maar de precieze procedure publiceren we binnenkort.

Ik kan al wel zeggen dat SIDN overweegt om deze procedure in een later stadium te vervangen door een procedure waarbij het mogelijk wordt om de IP-adressen via een webinterface op te geven.

Meer informatie over de RTO vindt u op de registrarssite onder Domeinregistratie | Informatie RTO DRS5 (https://deelnemer.sidn.nl/engine.php?Ace=1&Cmd=see&P_site=30&P_self=10986&PMax=0&PSkip=0). Mocht u na het lezen van de informatie nog vragen hebben, mailt u dan naar support@sidn.nl *of bel met 026 352 55 55. Wij wensen u veel succes met het testen van uw systemen in de RTO.