Re: Марковски взима .бг? / Компютри и Интернет / Доставчици на Интернет

Уважаеми г-н Ганчев,
Благодаря за вниманието.

Горе-долу съм доволен от обяснението за дублиращите се хостове в NS RR за BOL.BG. Макар, че наистина това е обяснено в много ръководства, защо е безмислено, не казвам погрешно. Щом Ви върши работа, няма проблеми, използвайте го, но знайте, че това може да доведе понякога да неявно (привидно) делегиране на някой домейн (все едно карате едното име на сървъра за имена да има stealth роля), а това използвано за TLD би довело до големи неприятности.

Освен това, съдейки по DIG използвате версия на BIND, която е малко податлива на атаки. Би било добре да я осъвремените. Това е само съвет, не е нито критика, нито сарказъм. Вие сте администратор и Вие решавате какво е най-доброто за вашата система, но все пак, имайте си една застраховка в повече.

Що се касае до lame делегирането, да сега aa флагът е вдигнат, но не беше така през август и септември миналата година. Мисля, че частта от журналния файл, който публикувах се отнасяше за именно този период. Аз никъде не съм твърдиял, че сега това е така. Имайте и предвид, че факта с lame делегирането бе първо отчетен от един човек от Lirex. Т.е. аз не съм нито първият, нито единственият, който наблюдава това явление. Това явление оказва доста забавящо действие върху пристигащата електронна поща.

Не знам какво сте си писали с Даниел Калчев, но знам много добре за този случай и ако разрешите ще ви го опиша, за да не се бъркате така фатално. Целият проблем с ресолвинга за TLD BG (а и не само за TLD BG) дойде от проблеми със сървъра NS.EU.NET. Знам точно в детайли какво е станало с този сървър за имена, но тези детайли няма да ги кажа, защото съм дал дума да не ги казвам. Накратко обаче, NS.EU.NET е изппуснат от контрол от страна на RIPE (този сървър се намира в една и съща апаратна с NS.RIPE.NET). Вследствие на това NS.EU.NET, който е един от обявените като достоверни сървъри за имена за TLD BG, започва да връща при запитване NXDOMAIN. Този отговор се кешира централно за .bg и създава именно такива проблеми, каквито Вие сте наблюдавал. Не се учудвам, че Даниел не е успял веднага да даде смислен отговор за пропадането на заявките, по простата причина, че не всички заявки са попадали, а само тези минаващи като йерархично начало през NS.EU.NET. Т.е. Даниел не би могъл да посети точно сървърите кеширали NXDOMAIN, защото те явно са forwarder-и за някой мрежи и не се позволяват дори изтеглане на кеш за външни сървъри. Фактически чак час след поблема се изясни картината. Само този, който е "ловил" такъв проблем знае колко време и труд се изисква за да се открие. За да бъде хаоса пълен, след като NS.EU.NET подава подобаващо се количество NXDOMAIN отговори и те бъдат кеширани, спира да обслужва заявки. Това време съвпада с времето на проверката от страна на много администратори търсещи проблема (не само TLD BG е пострадала от това). Те виждат, че NS.EU.NET не дава оговори и не намират това за проблем, но те не са знаели, че преди да спре да дава отговори, той е дал купчина NXDOMAIN отовори. И така с въртят в омагьосан кръг и не могат да разберат от къде идва проблема. Проверяват и root сървърите и виждат, че всичко е наред, проверяват и сървърите за имена на TLD, които са засегнати и пак нищо подозрително и грешно. Тогава за късмет някой засича едно моментно пускане на NS.EU.NET, при което вижда отговора NXDOMAIN и чак тогава става ясно защо се получава дефекта. При това най-пострадали са тези домейни, които са с голям TTL на записите.

Разбира се, по стар български обичай, както има 8 милиона разбирачи от политика и от футбол, така има и 8 милона разбирача по темата TLD и неговото DNS обслужване. И всички ревнаха, че регистъра бил виновен, при условие, че той нямаше и капка вина по въпроса.

Що се касае до основния спор, г-н Ганчев, много добре са известни неявните желания на лицето Марковски и неговото желание е въобще да изземе не само функциите на регистратор, но и функциите на регистър. Хайде да не говорим като пред журналисти. Много добре се знаят мотивите и желанията.

Що се касае до т.нар. регистратори. Г-н Ганчев, Вие знаете ли, че в някои от тези, които искат да бъдат такива, цари пълно неведение по въпросите на DNS. Как тези хора, ще дават консултации на клиентите? Вие знаете ли например, че един български LIR беше накарал клиент да попълни заявка No.219 на RIPE за да му делегира in-addr.arpa домейна. Очевидно това е явна глупост, защото клиента няма LIR идентификатор и никой в RIPE дори няма да му отговори защо не е направена in-addr.arpa делегация. Известно ли Ви е, че над 20% от домейните у нас (независимо в кой TLD са) страдат от lame делегиране? Известно ли Ви е, че са няколко души хората, които могат да се справят с т.нар. "glue" записни проблеми? Ще ви дам един пример, който засяга регистратори, каквито иска да има за TLD BG. Има един много показателен случай с домейна poshta.net. При регистрацията регистратора приема 'glue' записите на клиента. Всичко е OK. После обаче клиентът решава да смени 'glue' записите за сървърите си за имена. И именно тук става фала и никой не може да помогне на клиента да си оправи записите, защото просто новите 'glue' NS RR не влизат в сила. Регистраторът дори не знае какво да направи, а пише на сайта си, че е регистрирал над 100 000 домейна. Най-накрая малко недискретно се казва: за толкова пари-толкова. В България ще е още по-зле. Направо не ми се мисли какви "компетентни" решения ще се взимат и какви "творци" ще се упражнават върху системата за имена. Сигурно, както е практика в някои "регистратори", домейна ще се регистрира на името на регистратора, а не на клиента, а на клиента ще се дава редирект за една уеб страничка и пренасочване на е-mail (плясваме с ръце и се прегръщаме).

Много се спекулира и с т.нар. удостоверяване. Г-н Марковски беше написал една феноменална глупост, че регистъра за TLD BG събирал лична информация. Дори разигра шоу за антинагради, в която номинира Регистър.БГ и за това. Вижте сега, сигурно е много красиво отстрани да се правят шоу-програми. В същият момент обаче, ако Вие, г-н Ганчев, отидете да сключите договор, ще Ви бъде поискан документ за самоличност и ще бъде дори ксерокопиран и описан. Това е също събиране на лични данни. Я ми кажете, ако аз утре дойда и сключа с BOL.BG договор, Вие няма ли да поискате да се удостоверя? Вие от къде ще знаете кой съм аз? Същото е и с домейна. Регистърът иска да е сигурен, че наистина пред него стои истинския заявител или собственик. Можете ли да си представите в какви дела ще бъде въвлечен Регистъра (а много хора искат точно това), ако даде домейн на лице без да има процедура по удостоверяване? Обикновено такива като Вас посочват за пример, как в чужбина имало регистри, които само по данни от кредитна карта регистрират домейн. Може и да е така, въпреки че и там съда не признава кредитната карта за документ за самоличност. Иначе с нея щеше да може да се гласува на избори, а този фокус го няма никъде.

Нека да кажем няколко думи за удостоверителните процедури. Например, аз съм направо потресен как е възможно регистратор да смени данни за домейна само въз основа на един e-mail или обаждане по телефона. Един e-mail не може да е документ. Дори и обратното потвърждение не може да бъде проверка, защото е възможно да бъде разигран DNS spoofing, и така e-mail-a за потвърждение да отиде не в този, за когото всъщност е предназначен. Един e-mail може да е документ само и единствено ако върху него има електронен подпис. Ако този електронен подпис е направен чрез PGP/GNUPG, то е достатъчно регистратора да подпише публичния ключ на изпращача и да има копие от него. Може да се използват услугите на CA и да се издават PKCS#12 персонални сертификати, които да вършат подобна работа, при условие, че регистратора се доверява на конкретната CA. Но и при двете удостоверителни процедури се иска пак събиране на лична информация. Така, че пак ще се налага се правят антинагради и други подобни откровено манипулаторски мероприятия.

Някои регистратори у нас правят регистрация на домейн само въз основа на пощенски записи. Няма да говоря, че това е нищожна удостоверителна услуга. Това е ясно дори интуитивно, без да се вглеждаме в детайли.

Много регистратори предоставят на клиентите си web форма за управление на домейна. Повечето без дори да обличат транзакциите в сесиите в SSL. Т.е. всичко, и парола и данни си летят по мрежата и само чакат да бъдат прихванати. После след като няма удостоверителна услуга и някой смени данните в регистрацията, как истинския собственик ще докаже своите права на собственост върху откраднатия от него домейн? А и да има SSL, самата схема на CA е доста порочна и лесно се лъже с атака "man in the middle" чрез подмяна на сертификат в браузъра. Кой регистратор ще харчи пари при ниските цени на домейни, които Вие предвиждате, за обучение на клиентите си? Например Вие ще обучите ли клиентите си на работа с PGP/GNUPG за да можете да обменяте с тях електронно подписана информация, на която да се вярва?

Така, че г-н Ганчев никакви спекулации не са това. Има много, ама много въпроси, на които нито Вие, нито другите кандидати за регистратори не можете да отговорите. Не се сърдете, но не виждам компетентните хора в България, които ще ви помогнат да изградите надеждна система за удостоверяване. Няма ги тези хора, те отдавна избягаха от страната, или ако ги има не им се занимава с това. Може би ще се доверите на "Информацинно обслужване"... Опазил ви Бог тогава.

Желая Ви успех!