Arvamuse küsimine

Riigi Infosüsteemide Amet [email protected] Meie: 02.04.2024 nr 2-3/2024.4

Eesti Interneti SA arvamuse küsimine kahe nimeserveri kirje nõudmise teemal domeeninime lisamiseks .ee tsooni

Eesti Interneti SA (edaspidi ka: EIS) on valmistanud ette uued .ee domeenireeglite muudatusettepanekud1 ja on neid arutlenud 20.03 nii .ee akrediteeritud registripidajatega kui 26.03 EISi Nõukogus. Soovime .ee domeenireeglite muudatusettepanekus välja toodud kahe nimeserveri kirjete nõudmise muutmise teemal konsulteerida ka Riigi Infosüsteemide Ametiga (edaspidi ka: RIA). Esitame käesolevaga enda kirjalikud seisukohad ja teeme ettepaneku kohtuda ja arutleda sel teemal EISi või RIA kontoris.

EISi ettepanek on ajendatud EISi Strateegias 2022-20242 seatud eesmärkist arendada kogukonna ootustele vastavaid .ee domeeni registreerimisteenuseid. Sellest lähtuvalt soovime muuta .ee domeenireeglite3 punkti 5.3.4.2 “Domeeninime lisamiseks tsooni peab Domeeninimega olema seotud vähemalt kaks seda teenindava Nimeserveri domeeninimed” ja kehtestada see järgmises sõnastuses: “Domeeninime lisamiseks tsooni peab Domeeninimega olema seotud vähemalt üks seda teenindav Nimeserveri domeeninimi”.

Eesti Interneti SA põhitegevuseks on Eesti maatunnusega tippdomeeni .ee infrastruktuuri (ehk DNS) haldamine, arendamine ja turvalisuse tagamine ning .ee domeeninimede registreerimise korraldamine. Eesti Interneti SA on reguleeritud NIS1 kohaselt küberturvalisuse seaduse § 3 lg 1 p 8 teenuse osutajana: Eesti maatunnusega seotud tipptaseme domeeninimede registri haldaja registri pidamiseks kasutatava süsteemi ja tipptaseme nimeserveri teenuse osutamisel. Uue NIS2 direktiivi raames on domeeninduse valdkond eraldiseisvalt küll artiklis 28 välja toodud ja EIS muutub elutähtsaks üksuseks, kuid eraldiseisvalt domeeninime lisamiseks tsooni nimeserveri kirjete arvulist nõuet NIS1 kui ka NIS2 ei nõua.

EIS-i kohustus on tagada, et DNS oleks kõigile kasutajatele (.ee) katkematult kättesaadav. Tehniliselt garanteerib EIS selle .ee lõpuliste domeeninimede tsoonifaili kättesaadavuse kaudu, mis tagab .ee domeeninimede kättesaadavuse internetis (nimelahenduse päringu vastus). Täpsemalt öeldes genereerib EIS-i domeeninimede andmebaas teatud aja tagant automaatselt uue tsoonifaili, mis edastatakse DNSSEC allkirjastajatele ja sealt primaarsetele nimeserveritele. Primaarselt nimeserverilt pärivad uue tsoonifaili sekundaarsed nimeserverid ja sekundaarsetelt nimeserveritelt pärivad nimelahendust .ee lõppkasutajad.

3 .ee domeenireeglid reguleerivad tüüptingimusena EIS-i, registripidajate ja registreerijate vahelisi õigussuhteid, sh õiguste teostamist ja kohustuste täitmist.

2 Kehtiv EISi Strateegia 2022-2024 on kättesaadav siin.

1 .ee domeenireeglite muudatusettepanekud on kättesaadav siin: https://www.internet.ee/eis/uudiste-arhiiv/ootame-kogukonna-tagasisidet-ee-domeenireeglite-muudatuset tepanekutele

Kõigepealt lisab EIS registreeritud domeeninime andmed .ee andmebaasi (registrisüsteem). Selleks, et .ee domeeninime saaks lisada aga .ee tsoonifaili, tehes see üldkasutatavas andmesidevõrgus kättesaadavaks, on sellele vaja lisada külge nimeserver. Domeeninimi on sisuliselt internetis kättesaadav määratud ühe nimeserveri kirje kaudu, kuid täna nõuavad .ee domeenireeglid, et .ee domeeninimega peavad olema seotud vähemalt kaks nimeserverit.

Kahe nimeserveri soovitus tuleneb domeenivaldkonna tavast RFC4 1034 § 4.1. Selle kohaselt võiks domeeninime tsooni lisamiseks olla see kättesaadav vähemalt kahe erineva töötava nimeserveri kaudu. See põhimõte kehtib 1987. aastast ning soovituse eelduseks on, et nimeserverid peavad eksisteerima füüsiliselt eraldi. Ideaalis võiksid serverid olla ka üksteisest geograafiliselt lahus.

ICANN77 kohtumisel tutvustas Rootsi .se register Zonemasteri pilootprojekti, mida rakendati .se tsoonis 1,5 miljonil domeenil. Projekti raames selgus tõsiasi, et 65% vaadeldavatest domeenidest paiknesid neid teenindavad nimeserverite kirjed ühes seadmes.5 Sisuliselt tähendab see, et aja möödudes on RFC 1034 seatud eesmärgid praktikas muutunud.

Arvestades, et domeeninimi on kättesaadav ja DNS töötab ka ühe nimeserveri kirje nõudmisega, teeme ettepaneku seda .ee domeenireeglites ka selliseks muuta. EISi hinnangul ei ole domeeni tsooni lisamiseks vaja nõuda domeeni küljes olevaid töötavaid nimeservereid numbriliselt. Seda põhjusel, et domeeninime üldkasutatava andmesidevõrgus kättesaadavuse tagamiseks peab domeeni küljes olev nimeserver olema igal juhul töökorras ja kasutatav. Kahe nimeserveri nõudmine eeldab kasutajale RFC soovituse kontekstis nimeserverite asumist erinevates võrkudes, füüsilises asukohas jne. Valdav osa .ee domeeninimede nimeserveritest on .ee akrediteeritud registripidajate poolt hallatavad ja tavapäraselt lisatakse .ee domeeninimele külge ka kolm või enam nimeserverit.

Käesoleva ettepanekuga soovime domeeninime registreerimise protseduuri .ee reeglites lihtsustada ühe töötava nimeserveri kohustusega. Kahe nimeserveri lisamine jääb kasutajatele jätkuvalt EISi soovituseks. Teisalt näeme vajadust muuta nimeserverite kohustuse põhimõtet selliselt, et domeenireeglid ei sätestaks tehnilisi nõudeid domeeni tsooni lisamiseks kahe nimeserveri kirje näol. See võimaldab EISil hallata tsooni tagamiseks selle töökindlust ning andmete usaldusväärsust. Üks eesmärkidest on vältida olukorda, mil nimeserverite auditi käigus tuvastatud probleemse nimeserveri tõttu (olukorras, mil domeeni küljes on vaid üks toimiv nimeserver) tuleks domeenireeglite rikkumise puhul (.ee domeenireeglite punkti 6.1.4 kohaselt) domeeni registreering peatada (juhul, kui nimeserveri kirje korda ei tehta, on tagajärg domeeni tsoonist eemaldamine ja lõpuks selle kustutamine).

5 ICANN77 tehtud .se registri ettekanne teemal “Using Zonemaster for quality checks of all .se domain names” on kättesaadav siin ja EISi kokkuvõtted ICANN77 teemadest blogipostituses siin.

4 Domeeninduse valdkonna tehnilised soovitused määrab RFC. Kättesaadav siin.

Ettepaneku tegemisel võtame eeskujuks ka Rootsi .se tippdomeeni registri domeenireeglid,6 mille punkti 5.1.4 kohaselt ei nõuta otseselt domeeni küljes olevate nimeserverite kirjete arvu. Rootsi toob domeenireeglites välja sisuliselt üksnes selle, et .se tsooni jaoks peab nimeserveri kirje tehniliselt olema sobilik ja töökorras. Nii soovime sarnaselt .se registrile lahendada olukorra .ee domeenireeglites, mille kohaselt piisaks edaspidi .ee tsooni lisamiseks ühest nimeserveri kirjest.

EISi soov on .ee domeeninime registreerimise protseduuri tehnoloogia arengust tulenevalt ja parema kasutajakogemuse nimel lihtsustada. EIS lähtub oma ülesannete täitmisel väärtuspõhimõttest, et internet oleks puhtam, ausam ja turvalisem ning seisame andmete hea kvaliteedi eest. Siiski pole meie hinnangul mõistlik eemaldada domeeninime .ee tsoonist olukorras, mil domeeninimi toimib sisuliselt ka ühe nimeserveriga. Näeme ka, et anycast teenused on muutumas üha kättesaadavamaks ja nende kasutamisel on ühe nimeserveri kirje taga sadu või lausa tuhandeid servereid üle maailma. Anycast teenus on meie hinnangul parem lahendus, kui nt kaks samas masinas ja võrgus jooksvat nimeserverit.

Eeltoodust lähtuvalt soovime küberturvalisuse vaatest konsulteerida RIAga ja teeme ettepaneku kohtumiseks, et arutleda sel teemal kas EISi või RIA kontoris. Juhul, kui RIA leiab juba antud selgituste valguses, et ühele nimeserveri kirjele üleminek ei lähe vastuollu küberturvalisuse seaduse põhimõtetega, palume meid sellest ka kirjalikult informeerida.

Lugupidamisega

Helen Aaremäe-Saar Eesti Interneti SA jurist

6.se tippdomeeni registri domeenireeglid on kättesaadavad siin.