Tym razem nie chodzi o TLD, ale domeny drugiego poziomu. To efekt planów ICANN związanych z uwolnieniem nazw dotychczas blokowanych ze względu na ryzyko ich kolizji z adresami w sieciach lokalnych.

Kolizja nazw to sytuacja, w której końcówka delegowana przez ICANN do strefy publicznej odpowiada końcówce używanej w sieci lokalnej przez jedną lub więcej organizacji, np. firm lub instytucji, a w efekcie może zostać z nią „pomylona” przez protokół komunikacyjny. W ocenach ryzyka związanego z kolizją nazw panuje duża niezgodność. Verisign, firma zarządzająca m.in. rozszerzeniami.com i .net, uważa, że kolizje domen mogą doprowadzić nie tylko do problemów technicznych i strat ekonomicznych, związanych np. z wyciekiem danych z korporacyjnych LAN-ów, ale w skrajnych przypadkach nawet do sytuacji zagrożenia życia… Jakim cudem? Chodzi o sytuacje, w których kolizje nazw mogłyby wpłynąć na działanie urządzeń podtrzymujących funkcje życiowe, podłączonych do sieci wewnętrznych, np. w szpitalach.

W związku z tymi obawami Verisign sformułował kilka postulatów w celu zabezpieczenia systemu DNS przed podobnymi ewentualnościami, m.in.:
– każda nowa końcówka powinna być indywidualnie zweryfikowana pod kątem jej interakcji z sieciami intranet, ze szczególnym uwzględnieniem TLD, które kolidują z końcówkami powszechnie używanymi w sieciach lokalnych, np. .corp;
– należy wprowadzić procedurę umożliwiającą zablokowanie nowego rozszerzenia, jeśli okaże się ono niebezpieczne dla poprawnego funkcjonowania sieci;
– należy wprowadzić okres próbny dla każdej końcówki, którą ICANN zamierza delegować do strefy root, w celu jej przetestowania przed dopuszczeniem jej do strefy publicznej;
– należy opracować procedurę usuwania delegowanych gTLD ze strefy root, jeśli będą one przyczyną problemów technicznych.

Verisign ogłosił te rekomendacje w reakcji na komunikat GAC (komitetu doradczego ICANN złożonego z przedstawicieli rządów około stu krajów), który sygnalizując wątpliwości dotyczące bezpieczeństwa działania nowych końcówek, nie zaproponował żadnych środków zaradczych. Jednak wielu przedstawicieli branży domenowej uważa, że obawy dotyczące kolizji nazw są co najmniej przesadzone, a niektórzy w ich nagłaśnianiu upatrują nawet „propagandę” Verisign – co jest zrozumiałe przy założeniu, że w interesie tej firmy jest raczej zmniejszenie konkurencji dla zarządzanych przez nią „starych” TLD niż odwrotnie.

ICANN oczywiście traktuje problem poważnie – czego efektem było zablokowanie niemal 10 milionów nazw w 1318 nowych TLD (blokadzie w największej liczbie rozszerzeń podlega nazwa „www”). Jednak Korporacja nie dokonała tego w efekcie rekomendacji Verisign, ale w odpowiedzi na wnioski płynące z raportu „Name Collision in the DNS” sporządzonego Interisle Consulting Group na zlecenie ICANN. Z dokumentu tego wynika, że największe ryzyko kolizji nazw związane jest z delegacją dwóch najczęściej wykorzystywanych w intranecie końcówek: .home i .corp.

Teraz jednak okazuje się, że zablokowane nazwy mają szansę na uwolnienie. Wszystko za sprawą kolejnego zamówionego przez ICANN opracowania: „Name Collision Occurrence Management Framework” (czyli: schemat postępowania w przypadku kolizji nazw) autorstwa JAS Global Advisors. Dokument – zgodnie z tytułem – zawiera propozycje rozwiązania problemu kolizji nazw i jedynie w skrajnych przypadkach zaleca trwałą blokadę domen drugiego poziomu. Kluczową koncepcją zaproponowanego schematu postępowania jest wprowadzenie swoistego okresu próbnego dla nazw w nowych TLD. Miałby on trwać 120 dni i polegałby na ustanowieniu rekordu wildcard dla całego drugiego poziomu lub jedynie nazw z listy nazw „kolizyjnych” wskazanych przez ICANN (rejestr posiada tu swobodę wyboru) – w taki sposób, by przekierowywał on na adres IP 127.0.53.53. Dlaczego właśnie taki? Adresy z przedziału 127/8 według standardów m.in. IEFT są zarezerwowane dla hostów lokalnych. Najpopularniejszy z nich to 127.0.0.1 znany lepiej pod nazwą mnemoniczną „localhost”. Adres do celów testu musi jednak być nietypowy, aby został odpowiednio oflagowany i zwrócił uwagę administratora LAN – stąd wybór padł na inny ciąg cyfr. W razie kolizji nazw rejestr „odbije” zapytanie do sieci lokalnej, z której ono pochodzi. Administrator wówczas będzie zmuszony do rozwiązania problemu i sprawdzi nietypowy adres IP w Google, uzyskując w ten sposób dalsze informacje na temat problemu. Po upływie 120 dni próby kwestia kolizji nazw zostanie uznana za trwale zamkniętą dla „testowanej” TLD.

Jeśli ten projekt dojdzie do skutku, rejestry wzbogacą się w sumie o 9,8 miliona nazw, w tym 6,8 miliona nazw unikalnych – niektóre bowiem, jak „www”, powtarzają się w kilku lub większej liczbie rozszerzeń. Zakończy również dyskusje na temat tego, czy problem faktycznie jest realny czy raczej „wydumany”. Za tym drugim punktem widzenia do pewnego stopnia przemawia fakt, że aktualnie działa już 160 tys. adresów w nowych rozszerzeniach i jak dotychczas nie pojawiły się żadne doniesienia na temat kolizji nazw. Z drugiej strony nawet raport JAS sugeruje, że trzy końcówki nie powinny w ogóle trafić do strefy root jako publicznie dostępne domeny. Chodzi o rozszerzenia .corp, .home i .mail, których wykorzystanie w sieciach lokalnych jest tak powszechne, że ryzyko kolizji faktycznie wydaje się znaczące.

Tagi: .corp, .home, .mail, 127.0.53.53, GAC, ICANN, IEFT, Interisle Consulting Group, intranet, JAS Global Advisors, kolizja nazw, Verisign, wildcard