Några rader om .SE och DNSSEC

Mitt senaste inlägg om .SE och dess registrarer var oväntat uppskattat. Faktum är att jag enbart har fått ett väldigt positiva kommentare, givetvis med undantag för några personer hos .SE. Jag tänkte därför köra en liten favorit i repris och ventilera mina tankar om .SE och DNSSEC.

Igår var jag med på ett seminarium på Internetdagarna som handlade om DNS, hälsoläget på .se-zonen och dess framtid. Förutom sedvanligt DNS-evangelisering, såsom vikten av bra DNS-resolvrar, hur bra anycast är, hur dåliga svenska företag och statliga institutioner är på att hantera sin DNS, så vigdes en del av sessionen åt DNSSEC.

DNSSEC är en helt underbar lösning. Med en helt obefintlig efterfrågan.

En tragisk utveckling

DNSSEC introducerades kommersiellt i början av 2007. Sedan dess har inte ens 5 000 .se domäner säkrats med DNSSEC. Detta trots att .SE inte bara subventionerar DNSSEC, utan t om har betalat sina registrarer en slant för varje DNSSEC-domän. Målsättningen hos .SE är att vi ska ha 50 000 DNSSEC-säkrade .se domäner till årets slut. Jomentjena.

När DNSSEC introducerades så skedde det med en extra kostnad för varje signering. .SE ansåg att DNSSEC skapade ett mervärde som man skulle ta betalt för. DNSSEC var främst ämnat för finansiella och statliga verksamheter, eller företag med ett högre säkerhetstänk.

Jag sålde personligen in den första DNSSEC-domänen till en privatperson (som inte behövde betala något för det), enbart för att jävlas med .SE och denna idiotiska inställning.

Igår förklarade iaf .SE att de numera ser DNSSEC som en naturlig del av .se domänen, som något som helt enkelt bör inkluderas i domänregistreringen. Givetvis inte utan att försöka känga registrarerna en aning för att de har debiterat sina kunder extra för DNSSEC (WTF?!).

Därefter förklarade .SE att deras målsättning är att hela .se-zonen (alla .se domäner) ska vara DNSSEC-signerad fram till 2015. Fr om 2015 kommer man inte kunna registrera en .se domän utan att även DNSSEC-signera den.

Det låter väl fine and dandy? Njae…

  • DNS är förlåtande, det är inte DNSSEC. Enligt hälsorapporten för .se-zonen som .SE släppte igår, så har en femtedel av alla .se domäner allvarliga fel. Detta är fel som ändå, tack vare den förlåtande natur som DNS har, ändå inte orsakar några större problem. Domänerna funkar ändå.
     
    Men med DNSSEC så blir det desto hårdare. Om en DNSSEC-signerad domän inte är korrekt, då kan domänen helt sonika sluta att fungera. Tänk er själva hur skoj det vore om 200 000 .se domäner slutade fungera idag. Det kan bli en verklighet om .SE tvingar fram DNSSEC.
  •  

  • .SE registrar är en sak, DNS-operatör en helt annan. .SE har alltid haft svårt att separera dessa helt olika roller. Detta trots att ett väldigt stort antal av .SE registrarerna inte erbjuder någon DNS-tjänst. De stirrar istället blint på de största aktörerna på marknaden och kräver att alla andra ska anpassa sig i ledet.
     
    Rent konkret så innebär detta att .SE går in och dikterar affärsmodellerna för alla .SE registrarer. Lite som om alla Saabförsäljare helt plötsligt skulle tvingas sälja Volvobilar.
  •  

  • Alla .SE registrarer måste erbjuda en DNS-tjänst. Inklusive .SE Direkt. Du missade väl inte mitt föregående inlägg? .SE Direkt ska enbart agera sista utväg. Nu blir de ”tvungna” att erbjuda en DNS-tjänst.
     
    Vad kommer härnäst – en e-posttjänst, webbtjänst, certifikattjänst? Lyssnar ni PTS?
     
    Efter DNS-seminariet igår hade jag nöjet att få luncha med den person som ansvarar för .SE Direkt. Hon berättade glatt och brett om hur bra det går för dem, vilken nytta deras verksamhet utgör osv. Det var inga dystra utsikter där inte.
     
    Samtidigt har .SE:s VD, enligt utsago från en styrelseledamot hos Registrars.se, skyltat med en avvecklingsplan för .SE Direkt. Han har talat om avtagande tillväxt och gett ”löften” om att .SE Direkt ska försvinna vid ett visst antal registranter.
     
    Huruvida det är SE Direkt eller .SE:s registrarer som förs bakom ljuset av .SE:s VD, det går inte att säga än.
  •  

  • Det här är ett påtvingat, inte efterfrågat, beteende. Det är marknaden som ska styra utvecklingen, inte tvärtom. DNSSEC är ett riktigt prestigeprojekt hos .SE, det är något som de har arbetat med så länge jag kan minnas och ett misslyckande är definitivt ingen utväg för dem.
     
    Men i vägen för DNSSEC:s framgång står en verklighet som .SE uppenbarligen inte har någon aning om. Eller helt enkelt väljer att ignorera.

Det här är bara några korta tankar om vad .SE:s målsättning för DNSSEC kan komma att innebära. Det finns mycket mer att säga om detta, men jag vill fatta mig kort här på morgonen. Och återigen, allt detta är mina personliga åsikter.

Under Internetdagarna har jag tillfrågats och uppmuntrats vara delaktig i utvecklingsarbetet med .SE. Även om jag egentligen har tröttnat på denna cirkus för länge sedan, så har jag beslutat mig för att engagera mig igen. Man kan inte bara klaga utan att faktiskt försöka finna en lösning.

Det må ta hus i helvete igen, men det gör mig inget. .SE ska inte få köra över sina registrarer utan en rejäl strid.

Till det här inlägget accepterar jag kommentarer. Det innebär inte att jag accepterar kommentarer med tvivelaktiga undertoner och personangrepp (vilket har hänt ett flertal gånger tidigare). Så ge mig gärna svar på tal här, via e-post eller under resterande tid av Internetdagarna.

16 svar på ”Några rader om .SE och DNSSEC”

  1. Hej Jonathan,

    Du missade att DNSSEC faktiskt fyller en viktig funktion och att huvudsyftet med att införa DNSSEC är att få högre kvalitet på SE-zonen. T.ex. så upptäcktes Dan Kaminsky 2008 den sk Kaminskybuggen, som vi endast kan täppa till helt genom att på bred front införa DNSSEC, läs mer här: https://www.iis.se/domaner/dnssec/kaminskybuggenAtt vår hälsolägetrapport uppdagade att det finns problem med DNS i Sverige idag, tycker vi ett utmärkt argument att öka medvetandet om att DNS är en viktig infrastruktur. Införandet av DNSSEC tror vi kommer innebära att fler tar DNS på allvar samt att många av dessa andra problem löser sig. DNS är förlåtade som du säger, men det innebär inte att dessa problem för den delen inte bör åtgärdas. Det tror jag inte heller du menar.

    DNSSEC har de senaste åren också införts på bred front av en mängd TLD:er runt om i världen, resolveroperatörer (T.ex. Telia, Tele2 osv) och inte minst root. Jag tror du överskattar .SEs makt ifall DNSSEC enbart skulle vara vår baby. DNSSEC anses idag av alla inblandade parter vara det den enda vägen framåt för en stabil och fungerande DNS-infrastruktur.

    Den presentation som du hänvisar till redovisade ett förslag till en strategi för att försöka få in den stora mängd domäner där registrarer även är DNS-operatörer, .SE-zonen består till största del av sådana zoner. Vi tror att dessa kunder skulle uppskatta att inte vara sårbara för t.ex. Kaminskubuggen. Och vi tror att vår strategi kommer bli en framgångsrik sådan.

    Det kommer fram till 2015 vara så attraktivt att införa DNSSEC att vi är övertygade om att den avtalsförändring vi planerar inte kommer vara något större problem. Och som vi också sa så är detaljerna runt denna avtalförändring inte spikade, utan det kommer som alltid genomföras i dialog mer våra registrarer.Tack för att du var och lyssnade på oss och uppskattade hur viktig en fungerande DNS-infrastruktur är för Sverige.

    Vänliga hälsningar,
    Rickard Dahlstrand, .SE (som höll en av presentationerna som hänvisas till ovan).

    • Stort tack för din kommentar Rickard. 

      Jag missar inte att DNSSEC fyller en viktig funktion. Som jag skrev så är DNSSEC en ”helt underbar lösning”. Jag hyllar DNSSEC lika mycket idag som 2007. Vi är båda överens om DNSSEC:s stora betydelse, men vi är inte överens om hur det bör introduceras och hanteras.Som jag nämnde under vår lunch så ”tror” ni på .SE alldeles för mycket. Ni saknar en bild av verkligheten så som den faktiskt ser ut för oss registrarer. På samma sätt som vi inte kan tvinga på våra kunder vissa tjänster så kan ni inte tvinga på oss DNSSEC. Det slår bara tillbaka på fel sätt.

      Jag hoppas att vi kan fortsätta diskutera DNSSEC tillsammans här framöver. Vi är båda överens om dess nytta, men det finns bättre sätt att lösa detta på än genom att tvinga fram DNSSEC.

  2. Kan vi inte lägga ned registrarerna istället? Vad fyller de för funktion? Förutom att härbärgera en och annan bedragare och ha extremt omständiga webpaneler man jämt måste bråka med för att flytta domäner?

    Lite djävulens advokat här, som du nog förstår. Men faktum är att IIS har släppt DNSSEC gratis, och i stort sett inget registrar följer efter. Du får det att låta som något dåligt, och det tycker jag är lite småfult.

    I dag är man hänvisad till SE-direkt om man vill ha ett pålitligt registrar som hänger med i teknikutvecklingen. Det går ju knappt att köpa en säkrad domän annars, vilket känns som en självklarhet 2011.

    Så för min del som slutkund så kan de gott lägga ned det här omständiga systemet och köra alltsammans själva. PTS får väl peka med hela handen och lägga ett tak på en hundring per domän om det skulle behövas, vilket jag tvivlar starkt på eftersom det finns ett konkurrenstryck från andra toppdomäner.

    • Ja, vafan, då kan vi samtidigt passa på att lägga ner alla privata telefonoperatörer och återupprätta det gamla Televerket. Utan .SE:s registrarer/ombud så hade .se domänen varken varit så stor som den är idag, varit så ”billig” som den är idag, eller haft den stabilitet som den har idag. Registrarerna har varit väldigt drivande i utvecklingen av .se domänen.

      När .SE släppte DNSSEC så var det inte gratis. Det var en extratjänst, som kostade en slant, under en bra tid. Att implementera DNSSEC kostar dessutom pengar för registrarerna, både infrastrukturmässigt sett och för utbildning/dokumentation.

      Jag anser personligen att DNSSEC är skitbra. Något annat har jag aldrig påstått, tvärtom, jag har hyllat det sedan många år tillbaka. Men faktum är att DNSSEC inte utgör någon märkbar skillnad. Det är inte som med t ex SSL, där man enkelt ser att en domän är säkrad. Om DNSSEC däremot inte fungerar, på en signerad domän, så funkar inte domänen alls. Med utgång från detta, försök du att förklara nyttan med DNSSEC för en vanlig domännamnsinnehavare.

      • Om de privata telefonoperatörerna hade leverat en sämre tjänst dyrare än Televerket, eller till exempel vägrat införa mobiltelefoni, så tycker jag att det vore berättigat.

        Att DNSSEC från början kostade pengar var ju inte så lyckat. Men nu har man släppt på avgiften. Att då ingen av registrarerna erbjuder detta kostnadsfritt är inte bra. Då diskvalificerar man sig nästan, för vad har man för existensberättigande när man erbjuder sämre tjänster dyrare än den före detta monopolisten?

        Åtminstone tycker jag att man bör ge sig själv en kritisk blick utifrån innan man börjar slå sig för bröstet om konsumentens bästa. Jag skulle bli glad om jag såg en fungerande registrarmarknad i Sverige, men som läget är idag sköter sig inte branschen fullt ut tycker jag.

        Nyttan med DNSSEC kommer att framgå för alla domäninnehavare när alla andra använder det och tjänsten slagit igenom på riktigt. Att det mest gäller entusiaster i början är väl rätt väntat.

        • Vad menar du? Den tjänst som .SE Direkt levererar är både dyrare och mer begränsad än motsvarande tjänster/priser hos de flesta .SE registrarer. DNSSEC är dessutom något som de flesta .SE registrarer, som erbjuder detta, även erbjuder kostnadsfritt med .se domänerna. 

          Om du inte har sett detta, då kan jag förstå att du anser oss ha en icke-fungerande registrarmarknad. Men så ser det inte ut. Marknaden fungerar väldigt tillfredställande och marknaden efterfrågar inte DNSSEC (tyvärr, som sagt).

          • Jag vet inte hur många hundra registrars som finns för .SE men att hitta någon som erbjuder fungerande grundfunktioner är tidskrävande.

            För mig som slutkund är det alldeles uppenbart att SE-Direkt lyckas vara både billigare och bättre än de andra registraren jag kan hitta. Då tycker jag inte marknaden fungerar.

            Du kan ju se avsaknaden av DNSSEC som ett bevis på att marknaden visst fungerar eftersom funktionen inte efterfrågas, men det är ju ett cirkelresonemang. Sådant har jag ingen lust att ägna mig åt.

            Är du av en annan uppfattning bör du peka på ett enda motexempel som uppfyller mina kriterier, inte påstå att kriterierna är trasiga.

          • Återigen, vad menar du? På vilket sätt är det som .SE Direkt erbjuder bättre än alla andra .SE registrarer?

            Jag har själv testat ett 20-tal olika .SE registrarer under min tid i branschen, inklusive .SE Direkt, och jag kan ärligt säga att .SE Direkt är långt ifrån det bästa/billigaste alternativet. Men om du är av en annan åsikt så vore det intressant att få höra orsaken till detta.

            Jag påstår inte att dina kriterier är trasiga, jag vill enbart veta vad de baseras på.

          • Jag har också erfarenhet från många registrars som kund. Jag har ju ett enkelt exempel som jag upprepat i flera inlägg: DNSSEC.

            Det är få registrarer som erbjuder tjänsten, och de som gör är dyrare än SE-Direkt. Jag tycker inte att det är för mycket begärt av ett registrar att erbjuda samma funktionalitet som den gamla monopolisten.

            Din kommentar om att det tvärtom är ett exempel på en fungerande marknad eftersom ingen vill ha tjänsten, eftersom den inte erbjuds, belyser dock tydligt hur du ser på saken. Ett sådant cirkelresonemang blir självuppfyllande.

            Jag kan komma fler exempel, men då är de mer generellt hålla. Grundkravet från min sida är att det fungerar. Med det menar jag att jag för det första kan logga in, trots att mina kontouppgifter har några år på nacken.

            Sen vill jag kunna redigera mina uppgifter den dag jag behöver. Bonuspoäng om handhavandet är uppenbart för en kunnig. Det är faktiskt den enda funktionalitet jag någonsin efterfrågat från en registrar.

          • Tillåt mig att lite snabbt få nämna de tre första .SE registrarerna som jag kommer att tänka på, som både är billigare än .SE Direkt och som erbjuder DNSSEC: Loopia, Binero och Frobbit. 

            Det är likaså väldigt enkelt att ändra sina ägaruppgifter hos dessa .SE registrarer likaså och de är långt ifrån ensamma om detta.

            Du får ursäkta min rättframhet, men dina kommentarer och påståenden saknar helt grund. Gör om och gör rätt.

          • Frobbit har åtminstone tidigare varit dyrare men där har jag inget att klaga på. Loopia tar extra betalt för tjänsten och landar på samma pris för ett mer svåranvänt interface. Binero erbjuder inte DNSSEC alls. (De har alldeles nyss infört det för sina webhotellskunder men inte för registrarkunder.)

            Bineros tillgänglighet är dessutom ett skämt. Just nu kan man till exempel inte ens logga in. Det duger inte.

            Jag har precis som många andra i braschen varit i kontakt med många registrars. Jag talar endast utifrån egen erfarenhet. Två av dina tre exempel stämmer helt enkelt inte. Det är alltså inte jag som för grundlösa påståenden.

    • Ja, det ser så ut. Att .SE betalar för varje DNSSEC-signerad domän gav resultat. 

      Men faktum kvarstår, det är inte marknaden som har styrt denna utveckling.

  3. Har allvarligt talat inte så mycket gott att säga om de större svenska registrarerna. Frobbit verkar vara ok, men Loopia och Binero har bägge allvarliga problem med att uppfylla just registrar rollen.

    Mina inte allt för konstiga krav på en registrar:
    * Mojlighet att delegera domäner till egna namnservrar
    * Stöd för IPv6
    * Stöd för DNSSEC.
    * Bra om de har egen DNS tjänst som ett alternativ men inget krav

    Loopia:
    + Kan delegera till egna namnservrar
    –  Loopias namnservar finns ej på IPv6
    –  Loopias kontrollpanel kan ej delegera till egna namnservrar på IPv6. För detta krävs manuell epost till registry
    + Loopia har DNSSEC för .se i sin DNS tjänst
    – Tar ordentligt betalt för DNSSEC
    – Men det är ochså all DNSSEC de har. De blankt vägrar att delegera DNSSEC till egna namnservar utan hänvisar till att använda deras DNS tjänst om man vill ha DNSSEC.
    – Har inte stöd för DNSSEC i någon annan domän än .se

    Binero
    + Kan delegera till egna namnservrar
    + Binero har fullt stöd för IPv6, både i bineros namnservrar och vid delegering till egna namnservrar
    + Binero har DNSSEC för .se i sin DNS tjänst, gratis och som standard. Går att stänga av om man av någon anledning inte vill ha det.
    –  Men det är ochså all DNSSEC de har. Du kan inte delegera DNSSEC till egna namnservar. Har dock inte frågat binero registry om de vid behov kan göra detta utanför kontrollpanelen.
    – Har inte stöd för DNSSEC i någon annan domän än .se

    Och de flesta mindre registrarer jag tittat på har varit helt ute och cyklat på DNSSEC sidan, antingen inget som helst stöd för det, eller hutlösa kostnader (500:- inte ovanligt)

    •  Glömde

      Loopia:
      – Har inte ens DNSSEC signerat sig själva. Varför?

      Binero:
      – Har inte ens DNSSEC signerat sig själva. Varför?

Kommentarer är stängda.