La storia del sistema WHOIS potrebbe terminare a maggio 2018 con l’entrata in vigore in Europa del GDPR (General Data Protection Regulation), il Regolamento generale sulla protezione dei dati. Cosa prevede questo nuovo regolamento? E dove e quali informazioni sarà possibile reperire una volta che WHOIS non sarà più disponibile? Il protocollo RDAP sembrerebbe rappresentare una valida alternativa.
WHOIS, un sistema obsoleto
L’entrata in vigore del Regolamento generale sulla protezione dei dati (GDPR), prevista a maggio 2018, si ripercuote anche sul sistema WHOIS, grazie al quale fino ad oggi è possibile rintracciare l’indirizzo IP o il DNS dei titolari o dei gestori di domini. Con il GDPR molte informazioni visibili a tutti sul protocollo non saranno più disponibili. Da più di 10 anni il sistema WHOIS è considerato obsoleto per rintracciare i titolari di domini o i fornitori di servizi tecnici e dovrà essere pertanto sostituito.
Il Regolamento Generale sulla protezione dei dati (GDPR) – di cosa si tratta?
Il Regolamento generale sulla protezione dei dati contiene disposizioni relative alla protezione delle persone fisiche per quanto riguarda il trattamento dei dati personali e la libera circolazione di questi dati. Conformemente all’art. 8, par. 1 della Carta dei diritti fondamenti dell’Unione europea e dell’art. 1 del Trattato sul funzionamento dell’Unione europea (TFUE) ogni persona ha diritto alla protezione dei dati di carattere personale. Con il GDPR, dal 28 maggio 2018, tutte le aziende saranno obbligate a ottenere il consenso della rispettiva persona prima della raccolta, della memorizzazione e della pubblicazione di tali dati. Ciò vale anche anche per quelle aziende con sede fuori dai confini dell’Unione, le cui offerte sono rivolte ai cittadini dell’UE. La versione attuale del sistema WHOIS viola il nuovo regolamento., poiché mette a disposizione di chiunque dati personali.
Il Registration Data Access Protocol (RDAP) come valida alternativa
I registry corrono ai ripari e sono alla ricerca di soluzioni che presentino le stesse possibilità offerta da WHOIS, conformi alla nuova disposizione europea. In molti vedono nel protoccolo di rete RDAP una valida soluzione. Sviluppato da un team di esperti dell’Internet Engineering Task Force (IETF), il RDAP fornisce informazioni sulle risorse Internet di base quali nomi di dominio, indirizzi IP o numeri di sistema autonomo (ASN). Il protocollo è stato concepito dall’azienda Verisign, la quale gestisce i domini di primo livello .COM e .NET. Il progetto, ancora in fase di prova, funziona tramite applicazioni basate sul web e fornisce all’utente un modulo riassuntivo in formato JSON (JavaScript Object Notation), utilizzabile senza software o plugin aggiuntivi. Anche l’azienda irlandese Afilias lavora a un progetto RDAP. Non figurano però applicazioni online basate sull’URL. Le versioni RDAP dei due registri si limitano ai rispettivi domini di primo livello, ad eccezione di alcune wildcard. Prima che le versioni possano essere utilizzate anche per gli altri TLD, occorrerebbe chiarire se i progetti pilota siano conformi alle norme del GDPR.
RDAP e sistema WHOIS: qual è la differenza?
Il Registration Data Access Protocol (protocollo di accesso ai dati di registrazione) è in qualche modo, un WHOIS migliorato sotto molti aspetti. Nello sviluppo del protocollo RDAP è stata prestata particolare attenzione alla sicurezza, alla strutturazione e all’internalizzazione. Il nuovo protocollo è caratterizzato dai seguenti punti:
• Ricerca semantica strutturata
• Accesso sicuro ai dati di contatto
• Estensibilità
• Tecniche di bootstrapping
• Inoltro delle query standardizzato
• Basato sul web e conforme all’architettura REST
• Traduzioni facilmente comprensibili dei dati di output
• Accesso differenziato ai dati di contatto
Quello che emerge in particolare è la flessibilità di RDAP, decisamente superiore rispetto al sistema WHOIS. Mentre WHOIS è legato al protocollo testuale basato su TCP e alla specifica porta per la trasmissione di dati, RDAP utilizza lo standard web HTTP o HTTPS. I dati sono forniti in formato JSON standardizzato leggibile meccanicamente. Ciò offre una maggiore libertà a RDAP per il recupero dei dati, oltre a semplificare la programmazione dei servizi di query, in grado di comunicare con i diversi registry e fornire i dati richiesti in diverse lingue.
RDAP | WHOIS |
Basato su HTTP | Testuale |
Formato standardizzato JSON | Nessun schema di codifica |
I dati in uscita sono leggibili dalle macchine e facili da tradurre | I dati in uscita sono in testo in chiaro e non possono essere lavorati dalle macchine con facilità |
Le risposte inoltrano automaticamente ad altri registry | Le risposte non contengono ulteriori informazioni di registrazione |
È possibile definire i diritti di accesso per i diversi gruppi | Non è previsto un accesso differenziato ai dati |
ICANN prende misure
Finora, in qualità di amministratore del DNS, ICANN ha avuto accesso illimitato ai dati presenti nel sistema WHOIS. Nella sua attuale versione, tuttavia, WHOIS potrebbe continuare a essere utilizzato solo se ogni titolare di dominio acconsenta all’utilizzo dei dati. Uno sforzo non da poco, difficilmente realizzabile, dal momento che dovrebbe essere chiarito anche come gestire eventuali revoche. Questi e altri problemi troveranno difficilmente una soluzione entro maggio 2018, data di entrata in vigore del GDPR. In caso di violazioni della nuova normativa EU sono previste sanzioni fino a 20 milioni di euro. In occasione del 60° incontro ad Abu Dhabi, l’ICANN ha affermato di non sapere ancora in che misura i registry e i registrar dovranno modificare i propri obblighi contrattuali. Il sistema WHOIS non verrà spento completamente, ma verrà di certo modificato in gran parte. Il 3 novembre 2017 ICANN ha pubblicato un’ulteriore dichiarazione relativa alla sospensione provvisoria delle procedure d’infrazione contrattuali contro i registry e i registrar, i quali dovranno comunicare all’ente, in via riservata, come intendono risolvere il problema. L’ICANN ha poi esaminato gli approcci di soluzione e cercherà di sviluppare una soluzione fruibile a tutti. È chiaro che i dati continueranno a essere raccolti, ma resta da chiarire se potranno essere pubblicati e trasmessi ai registry.
Tradotto e adattato dall’originale tedesco da Simone Catania
Resta aggiornato sul mondo dei nomi di dominio.