.EE tsoonifail lõpuks avalik, aga mis hinnaga?

Vahetult jaani-nädalavahetuse eel teavitas Eesti Interneti SA  oma kauaoodatud otsusest asuda avaldama .EE tippdomeeni “tsoonifaili”. Tsoon muutub kõigile kättesaadavaks 5. juulist. Meie arvates on tegemist väärt täiendusega Eestis vabalt avalikus kasutuses olevatele avaandmetele.

Ühe tippdomeeni “tsoonifaili” sisus pole iseenesest midagi müstilist, tegemist on loendiga selle DNS süsteemi teenindatavatest domeenidest, viidetest neid teenindavatele nimeserveritele ja viimastega seotud IP aadressidele.

Tsoonifail ei sisalda endas domeeniomanike andmeid, domeenide aegumiskuupäevi ega muud põnevat. Need andmed asuvad tippdomeeni registri andmebaasis, kust neid on võimalik pärida kasutades WHOIS protokolli (https://tools.ietf.org/html/rfc3912). Seetõttu võib muretsejate rahustamiseks tõdeda, et märkimist väärt täiendavaid andmekaitseriske tsoonifaili avalikustamine domeenide kasutajatele kaasa ei too.

Kui tähte närida, siis ei ole isegi tegemist failiga, vaid DNS süsteemis andmete vahetamiseks kasutatava autoriteetsete andmete edastusprotokolli (AXFR – https://tools.ietf.org/html/rfc5936) väljundiga, mida igaüks saab soovi korral vaadata ja soovi korral ka faili salvestada.

Lisaks on tsoonifaili sisu, vähemalt suures osas, olnud võimalik tuletada või sellega võrdseid andmeid koguda ka muudel viisidel:

* DNS jõurünnete kaudu, pärides DNS süsteemist automaatselt genereeritud stringe (‘aa.ee’, ‘ab.ee’, ‘ac.ee’ jne)
* sõnastikurünnete abil, pärides sõnastikest pärit stringe (‘aa.ee’, ‘aabe.ee’, ‘aabits.ee’ jne)
* kombineerides jõu- või sõnastikuründeid keerukamate algoritmidega (nagu Markovi-ahelad jms)
* rünnates DNSSEC-i poolt kasutatavaid NSEC3 räsisid (NSEC3 hash breaking)
* veebilehtedelt ja mujalt infot kokku kraapides (Rapid7 Open Data)
* otsimootoritest infot küsides
* lõppkasutajate rekursiivseid nimeserveripäringuid monitoorides
* väljastatud TLS sertifikaate monitoorides (Certificate Transparency)
* ülaltoodud meetodeid kasutades kogutud andmete müüjatelt
* jne

Tsoonifailide sisu levimisele on kaasa aidanud ka juhuslikud andmelekked, näiteks nimeserveri administraatori tehtud näpuvead AXFR õiguste delegeerimisel, mis aastaid tagasi tingisid ka .EE tsooni sisu ajutise avaldamise.

Ülaltoodud põhjustel on “tsoonifaili” sisu saladuses püsimine alati olnud pigem näiline, mitte praktiline ja sõltunud suuresti selle sisust huvitatu tehnilistest oskustest ja motivatsioonitasemest. Kuna parim motivaator on alati raha, siis on seni täpseimad andmekogud olnud domeenidega kauplejate käsutuses. Näiteks NSEC3 räside murdmiseks vajalik kallis graafikakaart võib sellistele kodanikele end ühel või teisel moel reaalselt ära tasuda.

Loodan, et ülaltoodut ei tõlgendata eksklikult minu seisukohana, et tsoonifailide avalikustamisel ei ole mingit reaalset väärtust. Vastupidi, minu arvates on see positiivne areng, sest loob kõigile internetiolelusest huvitatud osapooltele uusi võimalusi uuringuteks, innovatsiooniks ja muuks väärtusloomeks. Samuti tasandab see taaskord mänguvälja ja toob laiema kasutajaskonnani töövahendi, mis seni on olnud vaid “valitute” privileeg.

Samal seisukohal on meie naaberriikidest olnud Rootsi, kes avalikustas oma .SE ja .NU tippdomeenide tsoonid 2016. aastal (Internetstiftelsen Zone Data) ja pole otsust pidanud kahetsema. Arvata on, et Eesti ja Rootsi eeskuju järgivad lähiaastatel nii mõnedki Euroopa tippdomeenide registrid.

Tänase seisuga on tsoonifailide avalikustamises suuremaid riske näinud intellektuaalse omandiga tegelejad: patendivolinikud, kaubamärkide kaitsmisega tegelevad juristid, turundajad jne. Nimelt ei meeldi neile potentsiaal, et kavandatav uus bränd, uus ärinimi, eesootav brändide ühendamine vms lekiks liialt varakult tsoonifaili kaudu välja, kuna enne avalikustamist on registreeritud kõik vastavad seotud domeenid (nii nagu peabki). Selle riski maandamiseks on aga kõige lihtsam võimalus registreerida domeen ja mitte määrata sellele nimeserverikirjeid, siis ei ole Eesti Interneti SA-l põhjust domeeni tsoonifaili genereerida.

Oh magus iroonia…

Ülaltoodu võib tunduda ka veidi irooniline, kuna alles 2017. aastal jõudis Riigikohtu otsusega lõpule kohtuasi, mis oli seotud kellegi domeeninimede kauplemisega tegeleva kodaniku GV [ nimi toimetusele teada 🙂 ] katsega Eesti Interneti SA-lt sedasama müstilist tsoonifaili teabenõude raames välja vaielda.

Eesti Interneti SA keeldus toona andmeid GV-le väljastamast järgmise põhjendusega:

EIS ei ole teabevaldaja ja nõutud teave ei ole avalik teave. Ükski seadus ei reguleeri domeeninimede registreerimist ning EIS tegevus selle ülesande täitmisel ei rajane ühelgi õigusaktil. Teabenõudele vastamine tooks kaasa registreerijate ja kaubamärgiomanike õigushüvede tõsise riive, sest teabenõudjal on võimalik saada juurdepääs teabele, mille avalikustamine ei ole registreerijate huvides. Ka registreerijad ei ole näinud ette teabe avalikustamist.

Tsoonifaili mitteavaldamise hind oli siis Eesti Interneti SA-le õigusabikuludena 16 919,28 eurot, millest küll 4000 eurot mõisteti välja kaebajalt ehk GV-lt.

Kohtuotsuse materjalidega on võimalik tutvuda aadressil https://www.riigiteataja.ee/kohtulahendid/fail.html?fid=212711240

Loomulikult ei olnud siis veel Eesti Interneti SA käsutuses spekulantide ohjamiseks mõeldud oksjoniportaali, mille hiljutine käivitamine ilmselt  paljuski tsoonifaili avalikustamise võimaldajaks sai.

Langetame sellegipoolest solidaarselt pea kõikide kohtuasja osapoolte  kulutatud aja ja raha mälestuseks, kelle jaoks tsoonifaili avalikustamisel on olnud väga kõrge hind.

Veel TLS uuendustest

Mõned postitused tagasi kirjutasin siin TLS (Transport Layer Security) pärandversioonide hülgamisest ja TLS versiooni 1.3 kasutuselevõtust. Tänaseks on kõik sellega seotud tööd meie platvormis teostatud –
tarkvaraplatvorm toetab vaikimisi vaid parimatele praktikatele vastavaid protokolliversioone (1.2 ja 1.3), kuid oleme klientidele loonud võimaluse ajutiselt pärandversioonide (1.0 ja 1.1) tuge sisse lülitada (vt allolevat illustratsiooni 1).

Illustratsioon 1

Rõhutan siiski, et pärandversioonide kasutamine ei ole pikas perspektiivis jätkusuutlik ja põhjustab meile palju peavalu. Näiteks annavad täna mitmed infosüsteemide võrgupinu turvalisust hindavad skännerid meie klientide saitidel TLS 1.0 ja TLS 1.1 versioonide kasutamise kohta valepositiivseid hinnanguid ka siis, kui neid reaalselt ei kasutata.

Ainus pikas perspektiivis mõistlik lahendus on uuendada oma veebilehtede poole pöörduvat riist- ja tarkvara nii, et toetatud oleks ainult aktuaalsed TLS versioonid.

Veelkord ka ID-kaardiga autentimisest.

Nagu ka varem mainitud, siis TLS 1.3 kasutuselevõtuga muutus Eesti ID-kaardi autentimise kasutamine veebiserveris tehniliselt keerukamaks, sest autentimise nõudmine kataloogi tasandil ei ole enam praktiliselt võimalik.

Kuna ID-kaardi kasutuselevõtu seadistamine serveritasandil on   nüansirikkam teema, siis otsustasime selle keerukuse kasutaja eest veidi ära peita. Nii lõid meie tarkvaraarendajad Minu Zone haldusliidesesse uue “linnukese”, mille abil saab ID-kaardiga autentimise nõuet haldusliideses mõne klikiga sisse lülitada (vt ülalolevat illustratsiooni 1). Samuti on klientidel võimalik sealsamas sisse lülitada tuge tarkvaraarenduses kasutatavale testkaartidele.

Pärandversioonide juurest sujuvalt pärandteenuste juurde.

Oma esimese avaliku teenusena alustas Zone 1999. aastal tasuta veebimajutusteenuse pakkumist. Algselt said selle kasutajad endale kodulehe kujuga zone.ee/kasutajanimi, hiljem web.zone.ee/kasutajanimi.

Kasutajate nõudmiste kasvades jäi see teenus ajale jalgu ja lõime entusiastide ning õppurite jaoks hoopis Planet.ee keskkonna, mistõttu vanasse tasuta veebimajutusteenusesse kasutajate vastuvõtmine lõpetati.

Meie tehnikud otsustasid aga, et üldisele infoturbeolukorrale tuleb kasuks, kui tirime ka oma tasuta veebimajutuse pärandteenuse 21. sajandisse ja paneme selle “sõjaratsu” tööle üle turvalisema HTTPS protokolli.

Selleks tegime veelkord ühe kiire vangerduse ja võtsime HTTPS toe lubamiseks web.zone.ee nime asemel kasutusele nime webzone.ee.

Vanad aadressid suunatakse nüüd sujuvalt HTTPS ühendusele ümber.

.EE oksjon: spekulandid söönud, lambad terved

Homme 26. märtsil alustab tööd Eesti tippdomeeni oksjonikeskkond, mille loomise kava mõned aastad tagasi siin raevukalt kritiseerisin. Järgnevalt kirjeldan, mis esialgsest plaanist saanud on ja paljastan, miks olen oma meelt muutnud.

Teatavalt on Eesti tippdomeeni haldav Eesti Interneti SA öelnud, et nende eesmärk vabanevate domeenide oksjonikeskkonna loomisel on võidelda spekulantidega. Need on ettevõtted ja ettevõtjad, kes rakendavad oma keskmisest paremat tehnoloogilist võimekust selle nimel, et võimalikult kiiresti uuesti registreerida värskelt registrist kustutatud atraktiivseid domeene ning üritada seejärel neid senisele omanikule või uuele huvilisele korraliku vaheltkasuga edasi müüa.

Spekulantide tegevuses ei ole küll otseselt midagi ebaseaduslikku ja nad täidavad omamoodi metsasanitari rolli, kuid vaieldamatult toob nende tegevus endaga domeenide turul kaasa ebavõrdsuse. Põhjuseks asjaolu, et need kel vabanevate domeenide vastu suur huvi, kuid tehnilised oskused kesised, jäävad enamasti vabanevate domeenide püüdmisel kaotaja rolli.

Eriti suureks läheb lõhe tavaregistreerija ja spekulandi vahel siis, kui viimane teeb vahetut koostööd mõne registripidajaga või on ise registripidaja – siis omandab ta võime domeenide taasregistreerimisel mängida tundide ja minutite asemel millisekundite dimensioonis.

Vastloodud oksjoniruumiga plaanitakse võitlustandrit tasandada. Keskkonda pannakse 24 tunniks üles kõikide selliste EE-lõpuliste domeenide taasregistreerimise eelisõigused, mida domeeni senine omanik  ei ole pikendanud.

Eelisõiguse oksjonile panek tähendab, et EIS ei registreeri oksjoni võitjale soovitud domeeni, vaid see reserveeritakse võitja nimele ning tollel on õigus domeen enda poolt valitud registripidaja juures esmajärjekorras registreerida.

Ülaltoodust tulenevalt on domeeni omandamise kogukulu oksjonil omandatud eelisõiguse eest välja käidud tasu ja registripidaja tavapärase teenustasu summa.

Eelisõiguse alghinnaks on 5€, millele lisandub käibemaks. Oluline on tähele panna, et domeeni senine omanik eelisõiguse müügist mingit osa endale ei saa.

Kui domeen endale ööpäeva jooksul omanikku ei leia, siis vabaneb see domeen registreerimiseks tavahinnaga.

Nüüd jõuamegi sujuvalt minu varasema intensiivse kriitikani. Kui vabanevate domeenide oksjonist oleks kujunenud Osta.ee, eBay või Sedo sarnane kauplemiskeskkond, nagu Eesti Interneti SA justkui algselt plaanis, siis ei oleks see kindlasti registri poolt seatud eesmärke täitnud.

Tõsised spekulandid, kelle mõju domeeniruumile neutraliseerima mindi, oleksid hakanud EPP asemel lihtsalt rippuma oksjonikeskkonna küljes ja oma tehnoloogilist arsenali täiendanud uute sobivate skriptidega. Kuid lisaks oleks nende ärimudelile sisendiks pakutud veel oksjonikeskkonnast saadavat nõudlust puudutavat infot. Ainus suurem vahe varasema olukorraga võrreldes, oleks olnud registri poolt spekulantidelt teenitav kümnis oksjonitasude näol.

Õnneks võttis EIS meie ja teiste registripidajate tagasisidet tõsiselt, mistõttu oksjon läks küll käiku, kuid selle vorm sai kokkuvõttena palju nutikam.

.EE domeenide oksjoni vormiks on pimeoksjon. Oksjonile minevate domeenide nimekiri avaldatakse oksjoni alguses (00:00) Eesti Interneti SA lehel ja kõigil huvilistel on ööpäeva jooksul (kuni 23:59) võimalik teha soovitud domeenile oma pakkumine. Jooksvat pakkumiste arvu ja sisu ei avalikustata, teatavaks saab vaid võitja pakkumine. Ühegi pakkuja, sealhulgas ka võitja, isikut ei avalikustata.

Ülalkirjeldatu tagab, et domeeni saab endale see, kes näeb sel enda jaoks kõige suuremat majanduslikku väärtust, mitte see, kellel on kõige kavalam skript, kiired näpud või nahaalsust oksjoniga manipuleerida. Pakkumisi võivad loomulikult jätkuvalt teha ka spekulandid ja nende vahel tekib nüüd tõenäoliselt senisest veel suurem konkurents.

Seega, spekulandid söönud ja lambad ka terved. Minule see printsiip sobib!

Domeen on oksjoni võitjale 14 päevaks reserveeritud. See tähendab, et oksjoni võitjal on võimalik registreerida domeen eelisjärjekorras järgmise 14 päeva jooksul. Kui ta seda ei tee, läheb domeen uuesti ööpäevaks oksjonile.

Oksjoni võitja saab pärast tasumist oma valdusesse domeeni reserveerimiskoodi, millega saab ta vabalt valitud registripidaja juures vormistada võidetud domeeni registreerimise. Sellele tehingule lisandub lõpuks registripidaja hinnakirja alusel registreerimisteenuse hind.

Domeeni registreerimise protsess on oksjonilt võidetud eelisõiguse puhul sarnane tavapäraselt reserveeritud domeeni registreerimisele. (nt valdadele, linnadele reserveeritud domeenid).

Oksjonikeskkond asub aadressil: https://auction.internet.ee/

Oksjonikeskkonna kasutamise täpsed tingimused on kättesaadavad Eesti Interneti SA kodulehel https://www.internet.ee/domeenid/domeenide-oksjonikeskkonna-kasutajatingimused.

Lisa: Tegime oksjonihuvilistele Zone veebi ülevaatliku infolehe, mille kaudu saavad ühtlasi võitjad meiega ühendust võtta, et oma eelisõigust realiseerida   https://www.zone.ee/et/domeeni-registreerimine/ee-domeeni-oksjon/

Artikkel 13: Lõkked on süüdatud, Gondor on ohus!

Ilmselt on vähe inimesi, kel hoiatuslõkete süütamise stseen Peter Jacksoni fantastilises “Sõrmuste isanda” filmi-triloogias ei paneks külmavärinaid mööda selga jooksma. Filmis kandsid nimelt seitse mäetippudel läidetud hiiglaslikku lõket hoiatust ja abipalvet rünnaku ohvriks langenud Minas Tirith’ist Rohani ratsanikele.

Jääb üle vaid kahetseda, et Euroopa interneti-kogukonnal pole varnast võtta nii eepilist protokolli oma hoiatuse edastamiseks Brüsselist siia Tallinnasse. Kindlasti aitaks see sõnumi kõlale kõvasti kaasa. Aga õnneks on meil vähemalt ISOC-i Eesti haru ja nende Facebooki leht.

Olgu selle vormiga kuidas on, aga sõnumi sisu on üheselt mõistetav: Brüsselit piiravad huvi- ja lobigrupid on meie oma maavillase Sarumani juhtimisel nakatamas Euroopa Liidu õigussüsteemi oma versiooniga ühisturu autoriõiguste direktiivist 2016/0280, mis  artikli 13. tänases sõnastuses lubab väidetavalt internetis kehtestada masintsensuuri.

Meie siin Zones peame oma missiooniks edendada informatsiooni edastamist, töötlemist ja säilitamist internetis. Autoriõiguste direktiiv, mis iseenesest on positiivne algatus, pärsib tänu 13. artikli praegusele sõnastusele seda missiooni, sest sunnib meielaadseid infoühiskonna teenuste loojaid automaatselt valima, kellelt ja millist informatsiooni internetti lubada. See ei tundu meile õige.

Kui see tundub ka sulle kahtlane, siis loe mida on ISOC-i eestvedajatel sulle öelda ja kiika üle ka vastuargumendid.

Kui lugeda ei viitsi, siis vaata mida ütleb meie oma Galadriel 🙂

Üks võimalus oma meelt avaldada oma juba homme Vabaduse väljakul, ISOC-i haru korraldataval kogunemisel.

Zone kroonika: 2018

Meil on taas kätte jõudnud aeg võtta kokku möödunud majandusaasta ja nagu traditsiooniks saanud, siis annan siin blogis eelmise aasta tegemiste kohta veidi põhjalikuma ülevaate kui see, mis aastaaruandesse kirja läheb.

 

GDPR

Aasta esimeses pooles panustasime jõuliselt isikuandmete kaitse üldmäärusega seotud teavitustegevusse ja klientidele sellega ühilduva teenuskeskkonna loomisesse, mis tõi endaga kaasa muutusi kogu organisatsiooni üleselt. Muuhulgas juurutati täiendatud infoturbepoliitika ja kohandati kliendilepinguid.

Peeter, kes Zone andmekaitsespetsialistina omandas ka Andmekaitse Inspektsiooni poolt tunnustatud kvalifikatsioonitunnistuse Tallinna Ülikoolist, käis selle valdkonna evangelistina jagamas oma tarkusi mitmetel erialaüritustel ning jagas oma teadmisi ka siin blogis.

Tema töö tulemusena valmis meie veebi jaoks ka ülevaatlik infokogum, mis annab põhjaliku ülevaate nii Zone kui ka meie klientide õigustest ja kohustustest andmekaitse üldmääruse kontekstis ning infoturbest Zones üldiselt: https://www.zone.ee/et/lepingud/isikuandmete-kaitse-gdpr/.

Domeenindus

Hea meel on tõdeda, et domeeninduses kujunes 2018. aasta positiivselt stabiilseks ja möödunud aastate eufooriale järgnenud depressioon sai läbi. Eesti tippdomeenis registreeritud domeenide arv on tõusuteel ja meie turuosa on võrreldes eelmise aastaga samuti veelkord kasvanud.

Zone poolt teenindavate domeenide arv läheneb vääramatu järjekindlusega kuuekohalisele arvule. Globaalses mõõtkavas vähetähtis number, kuid meile südamelähedane.

Erakordselt hea aasta oli .EU tippdomeenil, mille registreerimiste arv tegi Zones eelmisel aastal ühe oma kõigi aegade tipptulemustest.

Kahjuks varjutab seda Brexit-i ümber toimuv. Olen ka varem viidanud sellele, et poliitika ja interneti segamisel tekkival kokteilil on tihti paha lõhn juures – kahjuks leidis see tõdemus taas kinnitust. Nimelt viibutab (vastupidiselt meie ootustele) Euroopa Komisjon jätkuvalt Suurbritannia kodanikest .EU registreerijate suunal ähvardusega hakata domeene registreerijatelt ära võtma, mis võiks kõige halvema stsenaariumi kohaselt juhtuda juba 30. mail käesoleval aastal. Plaanime omalt osalt juba lähiajal võtta ühendust nende klientidega, keda Euroopa Komisjoni otsus puudutaks, et pakkuda neile omapoolset abi.

Eesti tippdomeenis suuri mullistusi ei toimunud, mis on väga positiivne. Domeenidega spekuleerimisele leevendust lubav oksjonikeskkond, mille arendamisel arvestati tänuväärselt palju ka registripidajate arvamusega, pidi küll esialgse kava kohaselt aasta lõpuks valmima, aga kuna testiperioodi otsustati pikendada, siis käivitub see alles alanud kevadel.

IT

IT valdkonna tehnikutel, arhitektidel ja programeerijatel oli Zones möödunud aasta tegevusterohke.

Üks suurimaid edasiminekuid oli uue, unikaalse e-posti platvormi juurutamine, mis on eelmisega võrreldes palju kiirem, turvalisem ja võimalusterohkem. Platvormi südameks sai Andrise eestvedamisel loodud e-posti server Wildduck. Eelnevalt uurisime põhjalikult turul saadaolevaid vabasid ja kommertstingimustel pakutavaid e-posti lahendusi, nende positiivseid ning negatiivseid külgi, kuid jõudsime lõpuks siiski äratundmisele, et maailmatasemel e-posti teenusepakkujate, nagu Google ja Microsoft, teenustega konkureerimine ei ole innovatsiooniriski võtmiseta lihtsalt võimalik. (Soovitan lisalugemisena Andrise blogiposti “Kuuldused e-posti surmast on jätkuvalt liialdatud”).

Loodetavasti saan sellele platvormile ehitatud uutest teenustest ja lisavõimalustest juba peagi siin rohkem kirjutada.

Uuest e-posti platvormist sai ühtlasi meie esimene teenus, mille vundamendiks on uus versioon Zone sisekasutuseks loodud Linuxi distributsioonist ZoneOS. Uue distro arenduse inspiratsiooniks oli CoreOS, mis omakorda põlvneb Gentoo Linuxist ja Google arendatavast Chrome OS operatsioonisüsteemist.

Uus distributsioon on optimeeritud serveriteenuste jaoks, pakkudes meile ühtaegu nii stabiilsust kui ka agiilsust, mis on vajalik selleks, et senisest tempokamalt reageerida muutuvatele kliendinõudmistele ja püsida kaasas tehnoloogiamaailma üha kiireneva tempoga.

Eelmise aasta lõpuks jõudis see distro meie MariaDB SQL serverite teenindusse ja tänaseks baseeruvad sellel juba meie uued Virtuaalservereid teenindavad veebiserverid ning Nutikad Privaatserverid.

Muude tegemiste hulgas uuendasime oluliselt oma populaarseimat veebimajutusteenust Virtuaalserver teenindavat serveriparki ja andsime sellega (Peetri mõõtmiste järgi) klientidele vähemalt 65% võrra vunki juurde, ilma et sellega oleks kaasnenud neile mingeid täiendavaid kulusid või ebamugavusi. Meie andmesidearhitektid paigaldasid hulgaliselt uut riistvara ja juurutasid oma haldusalas uusi vahendeid ja meetodeid. Algas üleminek uuele teenuste monitooringuplatvormile, et saada ja jagada teenuste kohta veel täpsemat infot. Nagu ikka periooditi juhtub, laiendasime oma majutuspinda.

Meie teenuste köögipoolel keeb ja podiseb kogu aeg.

Meil oli rõõm tervitada selle “supipoti” ääres ka hulgaliselt uusi “kokkasid”, nimelt liitus meiega rekordarv uusi töötajaid. Oli hea meel tervitada Atsi, Kristjanit, Sulevit, Gustavit, Martinit, Georgi, Erkit, Tanelit ja Lemmet!

Logo

Ja lõpetuseks tasub ehk mainida, et tänu Peetri eestvedamisele sai Zone 20. tegutsemisaastaks värskema ja dünaamilisema väljanägemise meie logo, mis nüüd näeb välja selline: