Hva er RDAP (Registration Data Access Protocol)?
Hittil har man kunnet finne en domeneinnehaver ved hjelp av Whois-tjenester, som er basert på protokollen med samme navn. I 2015 fastsatte imidlertid IETF og ICANN den første RFC-spesifikasjonen for RDAP-protokollen (Registration Data Access Protocol) som den viktigste etterfølgeren til Whois.
Hva er RDAP (Registration Data Access Protocol)?
Konseptet bak Registration Data Access Protocol (RDAP) ble utviklet av en arbeidsgruppe i Internet Engineering Task Force (IETF). Etter en prosjektfase på nesten fire år ble den første versjonen av protokollprofilen (1.0) publisert 26. juli 2016. Dens egenskaper og bruksområder er beskrevet i de ulike Requests for Comments (RFC 7480–7484 og RFC 8056). RDAP gir mulighet til å få tilgang til ytterligere informasjon om grunnleggende internettressurser, inkludert
- Domenenavn
- IP-adresser eller
- Autonome systemnumre (ASN**-er** )
samt andre relaterte artikler. Av denne grunn danner Whois-alternativet grunnlaget for å sende forespørsler til de ulike domeneregistrene. Dette innebærer blant annet å gi databasen din opplysninger som for eksempel kontaktdetaljer for domeneeierne, kontaktdetaljer for eventuelle administratorer (Admin C) eller til og med adressen til navneserveren som brukes, inkludert administratorens adresse.
Hvorfor ble RDAP utviklet?
Allerede i 1982 publiserte IETF Whois-protokollen med sikte på å opprette en forespørselstjeneste for det som den gang ble kalt ARPANET. Det faktum at den fortsatt er i bruk et kvart århundre senere, nå for nettbaserte søk, har vært en torn i øyet på mange eksperter. I dag er den viktigste kritikken mot Whois at den ikke lenger oppfyller internettets tekniske krav.
Et av hovedproblemene er at Whois-protokollen ikke støtter tegnsett, og derfor ikke har støtte for ikke-latinsk tekst. En annen stor ulempe er at tilgangen til domenedataene ikke skjer via en sikker forbindelse og er uregulert. Selv anonyme brukere får full tilgang og kan få tak i e-postadresser og postadresser.
Prosjekter som Whois++-utvidelsen eller IRIS (Internet Registry Information Service) Denic-protokollen klarte å innføre noen forbedringer, men de klarte imidlertid ikke å etablere seg som et solidt alternativ til Whois. Etter lang tid og mange diskusjoner innen ICANN-samfunnet om behovet for videreutvikling**, ga Security and Stability Advisory Committee (SSAC) med sin sikkerhetsrapport SAC 501 det avgjørende støtet til å opprette RDAP-arbeidsgruppen i september 2011.
I januar 2023 igangsatte ICANN en global avstemning for å avgjøre om WHOIS offisielt skulle erstattes med RDAP. Det nødvendige antallet stemmer ble oppnådd, og det ble besluttet å gjennomføre overgangen til RDAP offisielt. Fra og med januar 2025 vil DNS-registre og -registratorer ikke lenger være pålagt å støtte WHOIS.
Hvordan fungerer RDAP?
For å kunne implementere RDAP er det viktig å først forstå hvordan protokollen fungerer, både på klient- og serversiden. I denne sammenheng er det verdt å ta en titt på RFC 7480 til 7484, der en minimal implementering av protokollen er beskrevet i detalj. I tillegg finnes det flere RFC-er der utvidelser av RDAP-protokollen er beskrevet. I det følgende avsnittet forklarer vi grovt hvordan protokollen fungerer via HTTPS, slik det er beskrevet i RFC 7840.
For å gjøre det enklere for utviklere å implementere protokollen har ICANN utgitt en RDAP-implementeringsveiledning.
Kundens oppgaver:
Det er slett ikke komplisert å implementere RDAP på klientsiden. RDAP er basert på HTTP og bruker derfor de eksisterende HTTP-metodene til å overføre data. Klienter kan sende forespørsler til serveren ved hjelp av GET- og HEAD-metodene. Både GET- og HEAD-forespørsler bør inneholde en «Accept»-overskrift som angir hvilke typer JSON-filer klienten godtar.
Serverens oppgaver:
Implementeringen er litt mer komplisert på serversiden, siden serveren må håndtere en rekke spesielle tilfeller. Hvis forespørselen lykkes, skal serveren returnere de forespurte dataene i det forespurte formatet med HTTP-statuskode 200 (OK). Ved GET-forespørsler skal serveren svare med de forespurte eierdataene, og ved HEAD-forespørsler skal den angi om den har data tilgjengelig for dette domenet.
Hvis den vet hvor de forespurte dataene befinner seg, men ikke har dem selv, bør den svare med en av statuskodene 301, 302, 303 eller 307. URL-adressen der dataene finnes, sendes da under HTTP-overskriften «Location».
Hvis serveren ikke kan behandle forespørselen fordi de forespurte dataene ikke er tilgjengelige, bør den svare med statuskode 404 (Not Found). Hvis de forespurte dataene finnes, men serveren av andre grunner ikke ønsker å svare, bør den svare med en passende statuskode fra 400-serien. Forespørsler som inneholder feil og derfor ikke kan tolkes som RDAP-forespørsler, bør besvares med statuskode 400 (Bad Request). I dette tilfellet kan tilleggsinformasjon sendes i HTTP-entitetens brødtekst.
For mer detaljert informasjon om prosessen, samt sikkerhet og utvidelsesmuligheter for protokollen, kan du se de tilhørende RFC-dokumentene. Disse er lenket til nedenfor.
- RFC 7840: Bruk av HTTP
- RFC 7841: Sikkerhetstjenester
- RFC 7842: Spørsmålsformat
- RFC 7843: JSON-svar
- RFC 7844: Finne de autoritative registreringsdataene
Hva gjør protokollen for tilgang til registreringsdata annerledes?
På mange måter har RDAP vist seg å være en forbedret versjon av Whois. IETF-arbeidsgruppen har konsentrert seg om svakhetene ved det gamle protokollet, noe som betyr at den har lagt stor vekt på sikkerhet, strukturering og internasjonalisering i det nye søkeprotokollet. Dette har resultert i flere nye funksjoner, blant annet:
- Strukturert semantikk for forespørsler og svar (inkludert standardiserte feilmeldinger)
- Sikker tilgang til de forespurte kontaktopplysningene (f.eks. via HTTPS)
- Utvidbarhet (f.eks. tillegg av utdataelementer)
- «Bootstrapping»-mekanisme (støttet av søket etter en passende autoritativ DNS-server)
- Standardisert videresending av forespørsler
- Webbasert (HTTP) og REST -kompatibel
- Enkel oversettelse av utdata
- Mulighet for å gi differensiert tilgang til kontaktopplysninger
På mange måter har Registration Data Access Protocol vist seg å være langt mer fleksibelt enn sin forgjenger. Mens Whois, som et tekstbasert protokoll, er avhengig av TCP og den spesifikke TCP-porten (43), bruker RDAP webstandarden HTTP, eller til og med HTTPS. Dette innebærer at alle data leveres i et standardisert, maskinlesbart JSON-format. Dette betyr at RDAP på den ene siden gir større frihet når det gjelder datasøk, samtidig som det blir enklere å programmere søketjenester som kan kommunisere med de ulike registreringsmyndighetene, samtidig som de forespurte dataene leveres på forskjellige språk.
| RDAP | Whois |
|---|---|
| HTTP-basert | tekstbasert |
| Standardisert JSON-format | Ingen kodingsskjemaer |
| Utdataene er maskinlesbare og kan oversettes på en enkel måte | Utdataene er i ren tekst og kan derfor ikke behandles videre automatisk |
| Svar sendes automatisk til andre registre | Svarene inneholder ingen oppfølgingsinformasjon fra registeret |
| Mulig å definere tilgangsrettigheter for ulike grupper | Ulike typer tilgang til data er ikke mulig |
Mulighet for ulike typer tilgang – fortsatt et tema for diskusjon
Uten tvil er en av de viktigste nye funksjonene som ble implementert i Registration Data Access Protocol muligheten til å definere ulike tilgangsrettigheter for individuelle brukergrupper. Dette gjør det mulig for registratoren å regulere i detalj hvem som får se hvilken informasjon. Dermed får anonyme brukere kun begrenset tilgang, mens autoriserte brukere kan se hele datasettet. Dette er et område hvor mange ser et behov for avgjørende avklaringer.
Et av spørsmålene som blant annet reises, er hva man skal gjøre med strafferettslige påtalemyndigheter som ønsker å forbli anonyme, samtidig som de har full tilgang. Videre finnes det ingen retningslinjer for om tilgang til domenedata i slike tilfeller også kan gis til aktører utenfor landets grenser. Fremfor alt er prioriteringen beskyttelsen av brukerdata og den tilliten til nettstedsoperatøren som registrerer domenet, som følger med dette. Og denne tilliten skal på ingen måte svekkes av den nye RDAP-forespørselsteknologien. I slutten av 2016 anket en rekke registre innføringsperioden som ble pålagt av ICANN, og dette har ført til at organisasjonen har besluttet å inngå kontrakter om RDAP med registratorer og domeneleverandører.