tra due mesi...

Marco d'Itri md a LINUX.IT
Mer 19 Mar 2003 04:34:21 CET


On Mar 18, Maurizio Martinelli <maurizio.martinelli a IIT.CNR.IT> wrote:

 >> Bene, parliamo di cose tecniche. Io su queste cose do un giudizio
 >> piuttosto diverso:
 >> - la RA ha da anni una PKI sperimentale fatta con OpenCA, scomoda da
 >>   usare e che mi risulta non sia usata da nessuno o quasi. RIPE invece
 >circa 200 P/M approssimativamente, non mi pare cosi' male!
Intendi maintainer che si sono registrati al servizio o che
effettivamente lo usano per tutte le loro operazioni?
Se il mio campione è rappresentativo il secondo numero è molto minore
del prio...

 >>   gestisce da tempo immemorabile l'autenticazione PGP per gli oggetti
 >>   whois (che personalmente ritengo assai più utile).
 >
 >che guarda caso all'ultimo RIPE meeting hanno annunciato di voler
 >abbandonare per passare ai certificati X.509!
Ma la PKI progettata servirà per molto più che il DB! Ora c'è da
autenticare anche l'accesso al portale web ed a syncupdates/webupdates,
cosa impossibile con le chiavi PGP.
Non ricordo che sia stato annunciato l'abbandono di PGP e mi sembra
molto strano visto che è l'unico metodo di autenticazione forte di RPSL
che mi risulta standardizzato.

 >> - il rifacimento di RIPE-DB non lo definirei "recente", e se ha richiesto
 >>   un lavoro piuttosto lungo è perché implementare RPSL è ben più
 >>   complesso che gestire i soli oggetti domain.
 >
 >le problematiche relative ai nomi a dominio sono molto piu' ampie che
 >"gestire i soli oggetti domain", ma comunque non importa ...
Beh, a me per esempio importa, ma il vostro software non è disponibile e
nemmeno ne è stata discussa pubblicamente l'implementazione.
Non stupirti che non si apprezzi il vostro lavoro se questo viene fatto
in segreto.

 >>   L'anno scorso ho proposto una soluzione chiara e semplicemente
 >>   implementabile (credo, visto che a differenza di RIPE il vostro
 >>   software non è disponibile) per risolvere il problema dei glue record
 >>   sballati, ma alla discussione su ITA-PE non è seguito niente.
 >>   E visto che hai sollevato l'argomento, en passant noto che quando RIPE
 >>   ha introdotto una incompatibilità (-V <versione del client> con le
 >>   query fatte tramite IPv6) questa è stata corretta in giornata, mentre
 >>   il mio maintainer ha perso un mucchio di tempo per capire cosa non
 >>   andava con l'oggetto MDI-ITNIC (che alla fine ho dovuto abbandonare).
 >bastava che il tuo maintainer leggesse con attenzione le mail che
 >abbiamo
 >inviato prima della migrazione dei nic-handle.
 >La procedura era stata ampiamente illustrata prima di implementarla
Ho cercato quel messaggio nell'archivio ma non l'ho trovato. Ricordo di
averlo letto a suo tempo ma sono piuttosto sicuro che non specificava
che gli oggetti person con questo formato sarebbero rimasti nel database
in un formato inutilizzabile (e nessuno dei tre maintainer che ha avuto
a che fare con quell'oggetto lo sapeva).
E anche ammettendo che il cambiamento fosse documentato sarebbe comunque
parecchio discutibile visto che costringe a cambiare NIC handle senza
una buona ragione.

 >> Inoltre RIPE lavora attivamente su temi sperimentali o di frontiera come
 >> DNSSEC ed IPv6, solo per rimanere all'ambito dei domini, mentre la RA
 >> non ha nemmeno attivato un secondario raggiungibile tramite IPv6.
 >Chi ti dice che noi non facciamo sperimentazioni?
Come si fa a saperlo se nessuno ne annuncia l'inizio e poi ne pubblica i
risultati? Siete timidi?

 >dns.nic.it ha IPV6 attivo da tempo, ma non ancora "visibile", aspettavo
 >che Daniele lo comunicasse al prossimo CE ;-)
Noto che non è nemmeno nel testbed. Perché?

 >Del resto spero che ti sia chiaro, che fintanto che ICANN non inserira'
 >nelle deleghe gli indirizzi IPV6 (cosa che al momento non fa e non
 >sembra abbia intenzione di fare imminentemente), la visibilita' di un
 >nameserver con IPV6 lascia il tempo che trova.....
Mi è chiaro: l'utilità è simile a quella di mettere auth2.dns.cogentco.com
al posto di ns2.psi.net senza che sia stata aggiornata la delega nella
root (e sì, lo so che ci vuole del tempo). Almeno se si usa BIND 9,
l'indirizzo IPv6 non potrà essere usato per la prima query ai name
server autorevoli per it, ma lo sarà dalle successive, o come minimo
appena la label sarà ottenuta per soddisfare un'altra query (perché
BIND9 non riutilizza i glue record ottenuti se non per risolvere il
dominio a cui appartengono).
D'altra parte ci sarà un motivo se i gestori di fr, jp ed altri ancora
hanno aggiunto dei record AAAA ai propri server...

Sempre in tema, c'è speranza di poter mettere glue record AAAA nella
zona it in tempi ragionevoli?


(Ovviamente "this is strictly business", nulla ho nulla contro lo staff
della RA che anzi stimo molto...)

--
ciao,
Marco



Maggiori informazioni sulla lista ita-pe