it-roy-ru.com

Почему после смены контактных данных домена действует 60-дневная «Смена владельца регистрации»?

Существует несколько обстоятельств, перечисленных ICANN по адресу https://www.icann.org/resources/pages/name-holder-faqs-2017-10-10-en в Почему мой регистратор отказывается переносить мое доменное имя? раздел, в котором регистратор может или должен отказаться от передачи домена. Некоторые из них включают 60-дневные окна после определенных событий.

Одна из них, 60-дневная блокировка, которую регистраторам разрешено применять после передачи домена от другого регистратора, уже обсуждалась в Почему мы должны ждать 60 дней между каждой передачей домена? , и предоставленное обоснование: путем регулирования скорости, с которой домен может передаваться между разными регистраторами, максимальное количество разных регистраторов, участвующих в (быстро обнаруженном) угоне домена, поддерживается на низком уровне, что сводит к минимуму объем работы, связанной с восстановлением последовательность событий после захвата и возврата домена его законному владельцу.

Тем не менее, еще одно из этих 60-дневных правил - это 60-дневная блокировка "смены владельца", которую регистраторы обязаны наложить после любого контакта детали изменения регистранта. Эта блокировка, по-видимому, не оправдывается приведенным выше объяснением, поэтому я предполагаю, что за ее существованием стоит другая причина, но я не вижу ее. Для чего это нужно и почему это обязательно, если блокировка переноса домена осуществляется по усмотрению регистратора?

2
Mark Amery

Как указано в Политика передачи регистраций между регистраторами , регистраторы должны получить разрешение от держателя зарегистрированного имени до осуществления передачи. Таким образом, эти контактные данные служат целям безопасности: они представляют собой данные, которые регистратор будет использовать для подтверждения авторизации перед передачей домена.

Следовательно, блокировка помогает избежать взлома домена. Без блокировки кто-то, кто получил ваши регистрационные данные у регистратора, может изменить контактный адрес электронной почты вашего домена на свой, запросить передачу, а затем самостоятельно получить подтверждающее письмо и использовать его для авторизации передачи. С замком они не могут немедленно осуществить такой угон; если они запрашивают перевод без изменения контактных данных, они не получат подтверждающего электронного письма, а если они изменят контактное электронное письмо, то блокировка активируется и дает вам 60 дней, чтобы заметить, что что-то не так, и исправить это перед хакером. получает украсть ваш домен.

0
Mark Amery

Проблемы связаны по причинам, объясненным ниже.

Но давайте сначала вернемся в историю, чтобы разобраться в контексте, и я в основном буду ориентироваться на gTLD и .COM/.NET:

  • когда началось разделение реестра/регистратора, протокол, используемый для связи, был тогда RRP (см. RFC2832 ); как вы можете видеть в разделе 4.3.10, команда пересылки использовалась новым регистратором ... без указания ничего, кроме имени домена
  • это, конечно, само по себе означает, что злоупотребления могут иметь место, поэтому ICANN разработала политику, предписывающую регистраторам запрашивать предварительное согласие текущего владельца регистрации (или административного контакта); на самом деле это было кошмаром для регистраторов, поскольку им приходилось анализировать вывод whois, чтобы получить адреса электронной почты, чтобы иметь возможность связаться с регистрантом перед запуском команды передачи; Эта политика со временем развивалась, и ее последняя версия обязывает определенные почтовые сообщения, которые потенциальный регистратор должен отправить, снова контактному лицу с владельцем или администратором, и ему необходимо получить конкретное положительное подтверждение, прежде чем продолжить передачу.
  • даже с этой опасностью или с целью ее уменьшения многие регистраторы отправляли электронные письма своим клиентам, когда им сообщалось об исходящем переносе (они получают информацию из реестра), поскольку по умолчанию перенос занимает 5 дней, в течение которых текущий регистратор может возражать против этого (если он ничего не делает, передача утверждается, но также может быть ускорена до этого, если текущий регистратор отправляет соответствующую команду в реестр, некоторые из них предоставили эту функцию своим клиентам); поэтому переводы могут быть заблокированы, но только в течение 5 дней
  • параллельно RRP постепенно заменялся EPP (см. STD69 ); в этом протоколе передача происходит немного по-другому: идея заключается в том, что каждое доменное имя имеет "пароль", называемый authInfo в протоколе, определенный во время создания (и позднее обновляемый как требуется) и обычно под управлением регистрант (что на самом деле не было тем, что происходило на поле, регистраторы часто сами об этом заботились); команда передачи потребовала, чтобы предполагаемый регистратор отправил authInfo вместе с доменным именем, идея заключалась в том, что предполагаемый регистратор получил этот "пароль", потому что лицо, начинающее передачу, было либо владельцем регистрации, либо получило сомони. authInfo как указано регистрантом
  • даже с этой более новой защитой политика ICANN не изменилась, и, следовательно, регистраторы по-прежнему будут по контракту уполномочены отправлять и получать положительные разрешения по электронной почте, прежде чем даже попытаться передать, и даже если они получат authInfo (это все равно будет обязательно по протоколу).

Даже со всеми этими "защитами" на местах случалось, что "многие" домены были украдены по разным причинам, и люди, делавшие это, переходили от одного регистратора к другому, что усложняло как расследования, так и возможную отмену операций, поскольку если домен перешел от X к Y, то к Z, разрешение не может быть выполнено от Z обратно к X, все равно нужно будет задействовать Y, что усложнит задачу.

Следовательно, 60 дней после любого создания или передачи отключаются: это дает владельцу регистрации, который считает, что его домен был украден, достаточно времени, чтобы связаться с регистратором, чтобы как минимум заблокировать домен во время расследования спора, прежде чем доменное имя снова будет перемещено.

Эта политика ICANN подробно описана здесь: https://www.icann.org/resources/pages/registrars/transfers-en (и, как политика консенсуса, она применяется немедленно и без необходимости явного ссылка где угодно, на любого регистратора или реестр, аккредитованный ICANN, так что это касается только рДВУ).

Лишь совсем недавно (декабрь 2016 г.) ICANN расширила свою политику и на изменение владельцев регистраций, особенно на электронную почту. Вы можете просмотреть красную линию здесь: https://www.icann.org/en/system/files/files/transfer-policy-redline-25may16-en.pdf

Обратите внимание, что, в отличие от задержки после переноса/создания, задержка после смены владельца домена является отказом, поэтому регистратор может лишиться ее, если клиенты просят об этом.

Почему ICANN добавила это? Потому что в противном случае у вас есть четкая лазейка, поскольку вся описанная выше процедура зависит от текущего владельца регистрации (или административного контакта), чтобы ответить на какое-либо электронное письмо, чтобы разрешить начать передачу.

Представьте, что вы хотите украсть какой-то домен, подобный этому: вам нужен и код authInfo (для передачи будущему регистратору), и для управления адресом электронной почты, чтобы иметь возможность отвечать на "FOA" (отформатированное письмо для сбора). авторизация). По умолчанию вы не можете. Но если вы найдете способ подключиться к панели регистратора с правильной авторизацией (любой другой атакой, например, фишинговой), вы можете изменить правильную регистрацию, которая дает вам две вещи:

  • во-первых, вы легко сможете получить код authInfo, поскольку все регистраторы имеют систему, которая передает его текущему владельцу регистрации.
  • затем вы можете поместить любое электронное письмо, которое захотите, чтобы вы могли получить FOA и ответить на него.

Если все предыдущие удачи вы можете начать передачу. И это будет трудно устранить, если бывший владелец регистрации вдруг пожалуется, потому что в нем участвуют 5 сторон: реестр (политика позволяет реестру участвовать в урегулировании споров о передаче), бывший регистратор, новый регистратор, текущий владелец регистрации и предыдущий.

Теперь, в соответствии с новейшей политикой ICANN, даже если вам удастся изменить информацию о владельце регистрации, вам придется подождать 60 дней, чтобы начать передачу. Опять же, это дает больше времени бывшему владельцу регистрации для обнаружения проблемы (регистратор мог уведомить его о том, что что-то изменилось в его учетной записи, или для опытных пользователей они могут отслеживать вывод whois и видеть разницу ...), и исправить это. Или хотя бы заморозить перевод, чтобы проблемы не усугублялись.

В заключение отметим, что все это может измениться в ближайшем будущем и вернуться к некоторой более разумной настройке, как в начале (политики и протоколы сваливания, один из лучших для решения проблемы, дает вам только больше проблем). Более новые европейские правила (GDPR) оказывают влияние как на whois, так и на переводы. Короче говоря, это означает, что потенциальному регистратору очень трудно отправить электронное письмо текущему владельцу и получить его одобрение. Текущее предложение ICANN на столе заключается в том, чтобы использовать для него многоуровневый доступ RDAP, что может сработать, но, безусловно, потребует времени и, скорее, является скорее обходным решением для сломанной системы, чем ее реорганизацией (и предыдущими попытками ICANN изменить вся система двигалась в еще более неправильных направлениях, таких как создание глобального хранилища содержимого whois). Другое решение было вынесено на обсуждение какой-то рабочей группой внутри ICANN: https://www.icann.org/en/system/files/files/gdpr-comments-contract-party-techops-icann-proposed- Compliance-модели-08mar18-en.pdf

Короче говоря, он обязывает текущего регистратора, а не предполагаемого регистратора. получить подтверждение от текущего владельца. Будущему регистратору просто нужно будет начать передачу, снова и снова с authInfo, требуемым протоколом и полученным от клиента, начинающего передачу.

1
Patrick Mevzek

Если кому-то удастся изменить контактные данные регистрантов на вашем домене, будете ли вы счастливы, если они сразу же передадут его? Или вы бы предпочли какой-нибудь период охлаждения, чтобы можно было отменить любые вредоносные действия?

Это точка 60-дневной блокировки после изменения (только определенных) сведений о владельце регистрации.

0
Steve

Для этого правила есть "недостатки", которые разрешены ICANN. Многие регистраторы добавили возможность для владельцев регистраций отказаться от этой блокировки.

Почему это правило существует? Это способ попытаться предотвратить захват домена. Я не думаю, что большинство регистраторов или даже владельцев регистраций запрашивали такой тип блокировки, поскольку существует множество других, более эффективных способов минимизации перехвата домена, например добавление двухфакторной аутентификации.

0
Dynadot