SIDN maakt RDAP beschikbaar voor .amsterdam en .politie

RDAP, kort voor Registration Data Access Protocol, is de opvolger van het bekende WHOIS-protocol waarmee je registratie-informatie achter domeinnamen, IP-adressen en AS-nummers kunt opvragen. WHOIS is inmiddels sterk verouderd en voldoet echt niet meer aan de eisen van deze tijd. RDAP is een moderne internet-standaard die met name verbeteringen brengt op gebied van authenticatie en autorisatie, de structurering van informatie, en de opvraging en verwerking van data.

Verplicht

"ICANN stelde de registries vorig jaar al verplicht om hun WHOIS-informatie te filteren om te voldoen aan de Europese GDPR-wetgeving." Zo vertelt Pim Pastoors, productmanager bij SIDN. "Vanaf eind augustus is RDAP nu verplicht gesteld voor de generieke top-level domeinen (gTLD's). Daaronder vallen ook .amsterdam en .politie, waarover wij het technisch beheer voeren. Deze zomer gaan dus een heleboel RDAP-implementaties tegelijkertijd live." "Met deze verplichting sorteert ICANN voor op een toekomst waarin meer registratie-informatie wordt gedeeld. Op dit moment wordt beleid ontwikkeld waarin wordt vastgesteld welke belanghebbenden straks toegang tot welke informatie kunnen krijgen." Hoewel we met onze RDAP-dienst net iets eerder zijn dan de meesten, zijn we op dit gebied geen voortrekker geweest zoals bijvoorbeeld bij de ontwikkeling en implementatie van DNSSEC. "We kijken voor RDAP naar de ervaringen van de 5 Regional Internet Registries (RIR's) in de pilot-groep," zegt Pastoors. "Dat heeft te maken met een aantal losse eindjes in de interpretatie van RDAP die nu tijdens de implementatie en uitrol opgelost moeten worden. Voor de software hebben we in eerste instantie een open-source implementatie van DNS Belgium als uitgangspunt genomen, maar inmiddels draaien we geheel op eigen ontwikkeling."

"Meest eenvoudige protocol ooit"

Olaf Kolkman, Chief Internet Technology Officer bij de Internet Society (ISOC), was destijds voorzitter van de WEIRDS-werkgroep die de RDAP-standaard heeft ontwikkeld. "WHOIS is waarschijnlijk het meest eenvoudige protocol ooit bedacht," zegt hij. "Je maakt verbinding met de server, stuurt een willekeurige regel tekst, en je krijgt een tekst-blob terug. Meer is er niet: er is verder niets gespecificeerd over context, vorm of inhoud. Je moet de informatie waar je naar op zoek bent dus zelf uit die blob vissen." Die ongestructureerde data-overdracht van WHOIS is een erfenis uit de jongere jaren van internet, maar natuurlijk al lang niet meer van deze tijd. "Er is al eerder een poging gedaan om WHOIS te vervangen, maar die methode was te ingewikkeld. In 2012 besloten we een nieuwe poging te wagen met RDAP."

Moderne technologie

RDAP is een web service gebaseerd op de REST-interface en het JSON data-formaat. Die eerste is een transportmechanisme vergelijkbaar met het HTTP-protocol voor het web. Die tweede is een eenvoudig tekstformaat voor de opslag en overdracht van gestructureerde informatie – kort gezegd een sterk versimpelde variant van XML. Daarmee maakt RDAP gebruik van dezelfde moderne technologie waarop tegenwoordig alle web services gebouwd worden. "Uitgangspunt voor RDAP was een gestandaardiseerde en interoperabele manier om WHOIS-informatie te ontsluiten," legt Kolkman uit. "De informatie moest automatisch verwerkt kunnen worden, en verschillende bevragers moesten verschillende onderdelen van de informatie kunnen krijgen. Een registrar wil bijvoorbeeld meer informatie dan publiek beschikbaar is. En een overheidsdienst wil weer andere informatie dan een registrar. Voor de ontwikkeling van het datamodel hebben we daarom goed gekeken naar de informatie die typisch door verschillende partijen gebruikt wordt. Zo hebben we er voor gezorgd dat het protocol aan verschillende partijen verschillende informatie kan leveren, zonder daarbij vast te leggen welke partijen wat kunnen opvragen. Dat is beleid dat door anderen moet worden vastgesteld." Het resultaat is in maart 2015 gepubliceerd als een vijftal internet-standaarden (RFC 7480-7484) [1, 2, 3, 4, 5].

Ontwikkeling policies

Parallel aan de ontwikkeling van het RDAP-protocol hebben de RIR's in de pilot-groep – RIPE-NCC, ARIN, APNIC, LACNIC en AFRINIC – maar ook VeriSign gewerkt aan verschillende implementaties van RDAP. Voor wie met RDAP aan de slag wil of moet zijn er dan ook voldoende referentie-implementaties beschikbaar. Bij ICANN worden ondertussen samen met belanghebbenden policies ontwikkeld over de opslag en ontsluiting van WHOIS/RDAP-informatie: welke gegevens worden precies opgeslagen, en wie mag precies waar bij onder welke omstandigheden? De GDPR-regelgeving vormt een belangrijke leidraad voor deze tweede fase van het zogenaamde Expedited Policy Development Process (EPDP).

Tweede fase

Bij SIDN willen we de uitkomsten daarvan echter niet afwachten. "Dat kan makkelijk nog jaren duren," aldus Pastoors. "Dus we zullen in de loop der tijd nog wel wat aan onze software moeten veranderen. Voor ons zijn de ervaringen die we opdoen met RDAP voor .amsterdam en .politie het belangrijkst voor de uitbreiding naar de .nl-zone eind dit jaar." "In de tweede fase gaan we kijken naar de diversificatie van de RDAP-dienst voor verschillende gebruikersgroepen. Uitgangspunt daarbij is dat we niet meer delen dan nodig is. Maar je kunt je voorstellen dat een Certificate Authority (CA) een account kan krijgen met precies voldoende rechten voor de informatie die nodig is om een certificaat voor een specifiek domein te kunnen uitreiken. Hetzelfde geldt voor registrars die bepaalde informatie nodig hebben om een domein te kunnen verhuizen." "RDAP is echt een enorme verbetering ten opzichte van WHOIS," benadrukt Pastoors tenslotte. "Dit is echt honderd keer beter dan wat we hadden. We nodigen belangstellenden van harte uit met onze publieke RDAP-dienst aan de slag te gaan en hun ervaringen met ons te delen."

Downloads