tra due mesi...

Marco d'Itri md a LINUX.IT
Mar 18 Mar 2003 14:49:42 CET


On Mar 18, Maurizio Martinelli <maurizio.martinelli a IIT.CNR.IT> wrote:

 >> RIPE funziona così (e funziona assai meglio della RA), perché .it no?
 >dalle tue mail si evince che hai una visione abbastanza approssimata di
 >RIPE! Ti ricordo che RIPE (anzi RIPE-NCC) ha uno staff di circa 100
 >persone, che puntualmente alla riunione annuale emergono molti dissensi
 >sul suo operato
È logico che in una organizzazione così ampia ci siano dissensi, ma
l'indagine commissionata da RIPE (che non mi risulta qualcuno abbia
messo in discussione) ha mostrato che per quanto ci siano cose da
migliorare i membri ne approvano l'operato.
Non esistono sistemi perfetti, ma la differenza sostanziale che vedo è
che NCC opera secondo le indicazioni di RIPE e tiene informata la
comunità, mentre la RA spesso e volentieri fa le cose in segreto, non
solo non consultando la NA ma nemmeno avvertendola.
E sarebbe semplicemente impensabile che NCC cerchi di svincolarsi da
RIPE come lo IAT ha tentato di fare!

 >e che tecnicamente non sono certo un esempio da
 >imitare (tanto per fare un esempio stanno iniziando solo adesso a
 >cercare di realizzare una PKI, hanno implementato l'WHOIS su SQL solo
 >recentemente, alla scorsa riunione un tecnico ha involontariamente
 >detto che stanno migrando i sistemi su Linux solo perche' Solaris
 >e' troppo complicato, ecc. ecc.).
Bene, parliamo di cose tecniche. Io su queste cose do un giudizio
piuttosto diverso:
- la RA ha da anni una PKI sperimentale fatta con OpenCA, scomoda da
  usare e che mi risulta non sia usata da nessuno o quasi. RIPE invece
  gestisce da tempo immemorabile l'autenticazione PGP per gli oggetti
  whois (che personalmente ritengo assai più utile).
  Per inciso, https://pki-ra.iit.cnr.it:483/ non funziona nè con Galeon
  nè con elinks.
- il rifacimento di RIPE-DB non lo definirei "recente", e se ha richiesto
  un lavoro piuttosto lungo è perché implementare RPSL è ben più
  complesso che gestire i soli oggetti domain.
  Le proposte di cambiamenti al software vengono discusse in queste
  settimane sul WG, mentre invece i maintainer italiani si sono
  ritrovati la bella sorpresa del secondo database per gli oggetti
  person.
  L'anno scorso ho proposto una soluzione chiara e semplicemente
  implementabile (credo, visto che a differenza di RIPE il vostro
  software non è disponibile) per risolvere il problema dei glue record
  sballati, ma alla discussione su ITA-PE non è seguito niente.
  E visto che hai sollevato l'argomento, en passant noto che quando RIPE
  ha introdotto una incompatibilità (-V <versione del client> con le
  query fatte tramite IPv6) questa è stata corretta in giornata, mentre
  il mio maintainer ha perso un mucchio di tempo per capire cosa non
  andava con l'oggetto MDI-ITNIC (che alla fine ho dovuto abbandonare).
- un sistema solaris è effettivamente più complicato da gestire di un
  buon sistema linux, soprattutto quando ormai il sistemista medio è
  molto più familiare con il secondo. In ogni caso non mi sembra
  appropriato dare giudizi su una "voce di corridoio".

Ci può essere ampio spazio di discussione su queste cose e ciascuno darà
le proprie valutazioni, ma sostenere che "RIPE non è un esempio da
imitare" non sta in piedi.

Inoltre RIPE lavora attivamente su temi sperimentali o di frontiera come
DNSSEC ed IPv6, solo per rimanere all'ambito dei domini, mentre la RA
non ha nemmeno attivato un secondario raggiungibile tramite IPv6.

 >Credo che, in ogni caso, le due realta' non possano neanche essere
 >confrontate, in quanto operanti in settori con problematiche
 >senz'altro diverse tra di loro.
Io invece credo di sì, si occupano di cose diverse ma molti problemi
sono comuni.

--
ciao,
Marco



Maggiori informazioni sulla lista ita-pe