Ultra thin whois - Was ist das?
Bei ICANN kocht - wieder einmal - die Diskussion über Whois hoch. Gerade mit den Anforderungen der DSGVO in der EU ist ICANN in massive Probleme gelaufen. Doch es gibt vermutlich eine Lösung: Ultra-Thin-Whois.
Worum geht es eigentlich?
Whois ist der Dienst, der darüber Auskunft gibt, wer welche Ressource des Internets gebucht hat. Üblicherweise sind das IP-Adressen oder Domainnamen.
IP-Adressen braucht man, um überhaupt am Internet teilzunehmen. Der Rechner oder das Handy bekommt während der Anmeldung im Netz eine Adresse zugewiesen, mit der es Datenpakete aus aller Welt empfangen kann. Die IP-Adresse ist also so eine Art Telefonnummer des Rechners im Netz. Wenn man mit einem Server redet, schickt man an dessen Adresse ein Paket mit der Anfrage und seiner eigenen Adresse als Absender. Der Server antwortet an die angegeben Adresse.
Natürlich kann man nicht alle Adressen aller Dienste im Netz auswendig kennen. Domain-Namen sind dafür da, den Diensten unter einem leicht merkbaren Namen in einen Eintrag in einer Art Telefonbuch zu geben. Das Telefonbuch ist heißt DNS und liefert zu einem Namen eine IP-Adresse zurück. Damit kann man den Server des Dienstes dann auch ansprechen.
Damit es keine Dopplungen gibt, die Adressen und Namen eindeutig bleiben, bedarf es eine Koordinierung, eine Art Internet Governance. ICANN ist die Organisation, die die Regeln und Verträge festlegt, nach denen die Namensräume verwaltet werden.
Sämtliche Ressourcen werden initial durch die IANA verwaltet, gemäß der ICANN-Verträge bekommen verschiedene Registries einen ganzen Block oder Teile des Namensraums zur Verwaltung zugewiesen. Wer eine Ressource benötigt, wendet sich über einen Registrar, eine Art Wiederverkäufer, an die Registry um die Ressource auf sich selbst eintragen zu lassen. Nach der Eintragung kann der Registrant dann die Ressource benutzen.
Das Whois-Dilemma
In der Praxis kommt es vor, dass man wissen will, wer gerade für ein bestimmten Dienst verantwortlich ist. Sei es, weil etwas nicht funktioniert (E-Mail kommt nicht an) und man bei der Fehlersuche Hilfe von der anderen Seite benötigt. Sei es, weil es ein rechtliches Problem (mit den Inhalten einer Webseite) hat. Sei es, weil krimineller Missbrauch (Spam, DoS) mit der Ressource betrieben wird.
Vor allem für die Behebung der technischen Fehler wurde in der Frühzeit des Internets der Whois-Dienst erfunden. Man fragt einen speziellen Dienst, wer für die Ressource zuständig ist und bekommt Namen, Telefonnummer und E-Mail eines kompetenten Ansprechpartners zurück. Das war auch ziemlich einfach, weil es nur wenige Stellen gab, die die Ressourcen direkt zuteilten. All die Dinge wie Registry und Registrar existierten nicht als eigenständige Institutionen. Wenn man alles aus einer Hand betreibt, ist die Auskunft natürlich sehr leicht.
Aber wie baut man so einen Dienst, wenn der Zuteilungsprozess sich über viele Ebenen verteilt? Der immer noch bevorzugte Ansatz ist, die Daten zentral zu sammeln und so einen Thick-Whois-Dienst zentral zu betreiben. Das hat einige Vorteile:
- Alle Anfragen können an die gleiche Stelle gestellt werden. Der Zugriff ist unmittelbar.
- Man kann Massenabfragen machen, z.B. welche Ressourcen hat der Registrant noch alles noch?
- Man kann sich bei der Absicherung der Daten gegen Angriffe auf eine Stelle beschränken und so effektiver schützen.
Mit der Zeit hat sich aber auch das Verständnis von Datenschutz verändert. Inzwischen sind sehr viele Personen mit dem Internet befasst und nutzen Ressourcen, die eigentlich keine Techniker sind. Sollen deren Daten auch im Whois sichtbar sein? Es gibt einige Fälle, bei denen die Ermittelung des Registranten sinnvoll ist, z.B. bei kriminellen Aktivitäten. Man kann aber nicht alle Nutzer unter diesen Anfangsverdacht stellen und proaktiv deren Daten veröffentlichen.
Richtig hoch gekocht ist es mit der Einführung des Europäischen Datenschutzes DSGVO. Jetzt ist selbst ICANN gefordert, zumindest für europäische Partner die dortigen Gesetze zu befolgen. Aber auch andere Länder bekommen eigenständige Datenschutzreglungen, die sich zum Teil erheblich von den Europäischen Reglungen unterscheiden.
Wie soll ICANN all diese Anforderungen gleichzeitig erfüllen?
Beispiel:
- Ein Nutzer in Indien meldet bei einem indischen Registrar eine Domain an und betreibt damit eine Webseite.
- Es gibt eine Anzeige in Pakistan gegen Inhalte auf der Seite.
- Die pakistanischen Polizei will den Eigner der Domain ermitteln und befragt den Whois-Server nach den indischen Daten.
- Nach welchem Recht soll der Dienst die Antwort zurück liefern? Die aktuelle Diskussion fordert von ICANN die Erfüllung des europäischen Rechts, um danach die Anfrage zu antworten.
Ein Lösungsvorschlag
Akzeptiert man die Tatsache, dass es in der Welt verschiedene Rechtssysteme gibt, und auch die hierarchische Struktur der Ressourcenvergabe, so gibt es nicht mehr viele Möglichkeiten das Problem zu lösen.
Der gesunde Menschenverstand empfielt, den Whois-Dienst komplett einzustellen. Man kann es damit begründen, dass er sich überlebt hat. Der Protest seitens der Strafverfolgungsbehörden, der Rechteindustrie und der Sicherheits-Community ist sicher.
Die offensichtliche, technische Lösung besteht daran, ein weltweit einheitliches Rechtssystem anzustreben. Das klingt seltsamer als es ist. Der Vorschlag eines Internet-Staates ist schon älter. Aber auch hier gibt es offenkundigen Protest.
Betrachtet man das Problem genauer, so schält sich die zentrale Datenspeicherung als eigentliches Problem heraus. Diese zentrale Datenbank erfordert, die Daten der Registranten aus deren Rechtssystemen heraus zu transportieren, um sie an anderer Stelle unter anderen rechtlichen Rahmenbedingen bereit zu stellen. Daraus ergibt sich auf natürliche Weise der folgende Vorschlag:
- Der Whois-Dienst wird ebenfalls hierarchisch strukturiert.
- Von jedem Beteiligten in der Vergabe-Hierarchie wird ein eigener Whois-Dienst betrieben.
- Bei der Abfrage eines Whois-Dienst, bekommt man einen Verweis auf den Vertrag, über den die Registrierung erfolgte und den nächsten Whois-Server.
- Folgt man der Kette, so fragt man schrittweise die Vertragsdaten ab, wobei jede Anfrage nach dem lokalen Recht des jeweiligen Betreibers beantwortet wird.
Bricht man die Kette nach den ersten Schritten ab, so nennt man das Thin-Whois. Jeder Beteiligter kann sich entscheiden, ob er den Whois-Dienst selbst betreibt oder der Registry übergibt. Dieses Modell gab es schon mal und wurde in dieser unpräzisen Umsetzung nicht weiter verfolgt.
Verpflichtet man jedoch alle Beteiligten vertraglich, die Whois-Dienste anzubieten und dort die Verträge offen zu legen, so bekommt man Ultra-Thin-Whois. Der neue Name soll klar die vertragliche Grundlage bis hin zum Registrar (und der Resellerkette) benennen.
Wie soll das funktionieren?
Es funktioniert bereits. Die zentrale Vergabestelle ist - wir erinnern uns - IANA. Also fragen wir doch mal deren Whois-Server.
$ whois -h whois.iana.org icann.org refer: whois.pir.org domain: ORG organisation: Public Interest Registry (PIR) address: 1775 Wiehle Avenue address: Suite 102A address: Reston Virginia 20190 address: United States
Die Ausgabe geht noch deutlich weiter und enthält die Ansprechpartner dieses Vertragspartners.
Im Kern sagt IANA damit, dass der Teil des Namensraums "ORG" an die Registry delegiert wurde. Man soll dort nachfragen. Also tun wir das:
$ whois -h whois.pir.org icann.org Domain Name: ICANN.ORG Registry Domain ID: D2347548-LROR Registrar WHOIS Server: whois.godaddy.com Registrar URL: http://www.whois.godaddy.com Updated Date: 2017-12-08T16:40:01Z Creation Date: 1998-09-14T04:00:00Z Registry Expiry Date: 2027-12-07T17:04:26Z Registrar Registration Expiration Date: Registrar: GoDaddy.com, LLC Registrar IANA ID: 146
Die Registry verweist uns nun an den Registrar. Wir sollen dort nachfragen. Tun wir das:
$ whois -h whois.godaddy.com icann.org Domain Name: ICANN.ORG Registry Domain ID: D2347548-LROR Registrant Organization: ICANN Registrant State/Province: California Registrant Country: US
Und wir sind am Ziel.
Jeder der Anfragen wurde an unterschiedliche Institutionen gestellt und jeweils unter dem jeweiligen nationalem Recht beantwortet.
Geht man also zu dem Beispiel zurück, so muss die pakistanische Polizei einen indischen Dienst befragen, um dort die Angaben zu erhalten. Der indische Anbieter berücksichtigt nun indisches Recht bei der Auskunft zu seinem indischen Kunden.
Warum sollten wir das nicht mal versuchen?