In juni 2016 schreef ik een blog over de naderende publicatie van de keyrelay-standaard. Nu is het eindelijk zover: RFC8063 met als titel "Key Relay Mapping for the Extensible Provisioning Protocol" is gepubliceerd door de IETF.
Keyrelay: verhuizen met behoud van de DNSSEC-keten
SIDN wint met EPP keyrelay de Internet Innovatie Award 2014!
EPP keyrelay genomineerd voor de Internet Innovatie Award 2014
Wat is keyrelay ook alweer?
Het EPP-protocol wordt gebruikt om, met behulp van XML, domeinnamen te registreren en te beheren bij een registry. SIDN is hiervan een voorbeeld, wij zijn de registry voor .nl. Meer dan 90% van alle transacties die betrekking hebben op .nl-domeinnamen worden door registrars met behulp van EPP doorgevoerd in ons domeinnaamregistratiesysteem. De extensie zelf is niet heel erg spannend. Het is vooral een XML-specificatie waarin de syntax van het bericht beschreven wordt. Wat veel interessanter is, is wat het mogelijk maakt.
SIDN is een van de eerste registry’s die samen met onze registrars DNSSEC succesvol en op grote schaal heeft uitgerold. Al in 2011 hebben wij onderkend dat als je een met DNSSEC beveiligde domeinnaam verhuist de beveiliging tijdelijk onderbroken wordt. Hierdoor verloopt een verhuizing niet ‘secure’. Een secure verhuizing is dus een verhuizing van een domeinnaam, waarbij de ‘keten van vertrouwen’ intact blijft gedurende de verhuizing van de met DNSSEC beveiligde domeinnaam. Meer informatie over een secure verhuizing lees je in een publicatie van SIDN Labs. SIDN wilde het probleem van deze ontbrekende schakel voor een secure verhuizing oplossen. Dit draagt immers bij aan een veiliger internet.
Waarom heeft het zo lang geduurd?
Zoals veel standaardisatietrajecten heeft ook de publicatie van deze internetstandaard lang op zich laten wachten. In de zomer van 2015 tijdens de 93e IETF meeting heeft de EPP-werkgroep het document goedgekeurd. De volgende stap is dan dat de IESG (een soort van stuurgroep) een review van het document uitvoert. Hierbij kijkt de IESG naar de technische interoperabiliteit, of de werkgroep het juiste proces gevolgd heeft, etc. Gemiddeld duurt dit ongeveer 6 weken. In het geval van keyrelay is daar een jaar overheen gegaan. De belangrijkste reden hiervoor is dat er een zogenaamde ‘Intellectual Property Rights Disclosure’ (IPR-disclosure) op het document van toepassing is.
Gegijzeld door een patentaanvraag of door de werkgroep?
Een IPR-disclosure betekent dat een IETF-deelnemer er melding van gemaakt heeft, dat de voorgestelde standaard mogelijk inbreuk maakt op een patent of patentaanvraag. In het specifieke geval van de keyrelay betreft het een patentaanvraag van Verisign die betrekking heeft op het transporteren van DNSSEC-sleutelmateriaal van een domeinnaam. Overigens is de keyrelay niet de enige standaard die last heeft van deze specifieke IPR-disclosure. Eigenlijk worden alle voorstellen waarin gesproken wordt over een ‘secure verhuizing’ hierdoor belemmerd.
Nu liggen IPR-disclosures gevoelig binnen de IETF. Het internet werkt immers op basis van open standaarden die door iedereen gebruikt mogen worden. Men wil liever geen standaarden waar (mogelijk) patenten een rol in spelen. Zeker als die standaarden de veiligheid en stabiliteit van het internet verhogen. Als je dan in de kleine lettertjes van het standaardisatieproces duikt, dan blijkt dat een IPR-disclosure geen reden is om iets niet te standaardiseren. De werkgroep moet in dat geval wel aangeven dat ze een weloverwogen beslissing nemen om de standaard te publiceren.
In eerste instantie hebben we geprobeerd om helder te krijgen wat de plannen van Verisign zijn met het patent. Kunnen partijen die inbreuk maken op het patent een claim verwachten als de aanvraag wordt toegewezen? Of kunnen de partijen door middel van een licentie gebruik blijven maken van de technologie en zo ja, onder welke voorwaarden.
We hebben ongeveer een jaar op diverse manieren geprobeerd een antwoord van Verisign te krijgen, maar het bedrijf heeft hierover geen duidelijkheid willen of kunnen verschaffen. Toen hebben wij, de auteurs, besloten om de publicatie toch door te zetten. Belangrijkste reden hiervoor is dat wij graag de ontbrekende schakel willen invullen, zodat het internet weer wat veiliger en betrouwbaarder wordt. Hiervoor moest de werkgroep zich wel uitspreken over de vraag of het een weloverwogen beslissing is geweest om het document goed te keuren.
Ook dat bleek erg lastig omdat veel deelnemers aan de werkgroep zich niet willen uitspreken vanwege de nog lopende patentaanvraag. Met name de Amerikaanse deelnemers binnen de werkgroep hebben zich niet in de discussie gemengd. Uiteindelijk hebben toch meerdere mensen zich uitgesproken vóór publicatie, waarna de IESG het document heeft goedgekeurd voor publicatie.
Hoe nu verder?
Nu de standaard er is, richten we ons op de adoptie van de standaard. Registry’s wereldwijd kunnen nu op dezelfde, uniforme manier, via EPP, domeinnamen secure verhuizen. Voordat we daar vol op kunnen inzetten, moeten we wel onze eigen implementatie in lijn brengen met de nieuwe standaard.
Tijdens het standaardisatietraject hebben wij in november 2013 al een eerste versie van de keyrelay-extensie in DRS geïmplementeerd. Met deze versie hebben we toen de eerste succesvolle "secure verhuizing" ter wereld uitgevoerd. Daarna is de XML-syntax als onderdeel van het standaardisatietraject nog aangepast. Deze aanpassingen moeten wij nu doorvoeren in ons registratiesysteem. Zodra dit is gebeurd gaan we samen met de registrars kijken hoe we het gebruik van een secure verhuizing kunnen stimuleren. Dan realiseren we deze bijdrage aan een beter en veiliger internet pas écht.
