La setmana passada, Verisign va realitzar una sèrie de canvis a la configuració dels dominis de primer nivell .COM i .NET consistents en la redirecció de totes les peticions errònies de dominis a un servei ofert per aquesta companyia. Aquesta modificació en el funcionament de la resolució de noms té unes importants implicacions de seguretat i privadesa.

El passat dia 15 de setembre, Verisign va realitzar una sèrie de modificacions a la definició dels dominis de primer nivell .COM i .NET. Aquests canvis van consistir a afegir una entrada comodí perquè qualsevol petició de resolució d'un nom de domini erroni fos automàticament redirigida cap a un sistema (sitefinder.verisign.com), on hi ha un servei de recerca i directori de pàgines web.

El que hem descrit en el paràgraf anterior és, a grans trets, la descripció del servei tal com la presenta Verisign. Però hi ha molt més: les implicacions d'aquesta modificació realitzada són molts majors i afecten en gran mesura al funcionament de la xarxa. De fet, el canvi efectuat per Verisign pot qualificar-se com la modificació més important realitzada a l'arquitectura del servei de resolució de noms des de la introducció del DNS.

La presència dels comodins implica que qualsevol petició de resolució de noms d'un domini .COM o .NET sempre resultarà satisfactòria, amb independència de l'existència real d'aquest domini. Si el domini està registrat, el canvi efectuat per Verisign no afecta en absolut a la resolució. Aquesta continuarà delegada als servidors de noms associats al domini.

La diferència de funcionament es troba quan el domini no estigui registrat. En aquest cas, des de la modificació realitzada per Verisign, en lloc de donar un error de resolució de nom, l'existència dels comodins implica que sempre serà resolt. I aquesta resolució sempre retornarà la mateixa IP i el mateix nom de sistema: 64.94.110.11 o sitefinder.verisign.com.

Justament és aquest canvi el que té unes molt importants connotacions en la seguretat i la privadesa. A diferència del comportament de la resolució de noms abans del 15 de setembre, les aplicacions no rebran un error de domini inexistent. Per a elles, el domini resoldrà satisfactòriament i estarà associat a l'adreça IP de la màquina de Verisign.

Així, a partir d'ara, quan una persona cometi un error en l'escriptura del nom de domini (per exemple, en lloc d'escriure quands.com escrigui qaunds.com) accedirà al servei sitefinder de Verisign. Si això ho fa amb un navegador web, possiblement no tingui major importància. En lloc del missatge d'error del navegador apareixerà un altre. Èticament pot ser qüestionable fins que punt Verisign té el dret de presentar aquesta informació, però a nivell de seguretat no té majors implicacions.

El problema és quan l'error en l'escriptura s'utilitza en altres serveis com poden ser el correu electrònic, per citar un exemple de servei especialment crític. Seguint amb l'exemple anterior, si en el moment d'un missatge a la meva adreça de email (xcaballe@quands.com) es comet un error d'escriptura del domini (xcaballe@qaunds), el servidor de correu no detectarà aquest error. AL contrari, com el domini inexistent qaunds.com resol satisfactòriament intentarà connectar amb l'adreça IP associada i lliurar el missatge. En el moment de redactar aquest butlletí, sitefinder.verisign.com té obert el servei de correu electrònic, pel que tots els missatges escrits amb una adreça errònia són lliurats satisfactòriament a la màquina de Verisign.

Una altra situació possible és que Verisign aturi el servidor de correu a sitefinder.verisign.com. En aquest cas, el missatge quedaria a la cua d'enviaments pendents i no s'informarà a l'emissor de l'error fins que passi el període de temps configurat al servidor SMTP per als intents de lliurament, que poden ser diversos dies.

Fins que punt és lícit que Verisign intercepti els missatges de correu electrònic dirigits a dominis escrits de forma incorrecta? Sincerament, jo no tinc cap interès que aquests missatges passin per la màquina de Verisign, on no conec que es fa amb els mateixos.

Senzillament, el servei sitefinder.verisign.com no pinta gens, no m'aporta res i si que obre molts dubtes raonables sobre l'ús que es pugui fer de la informació que li arriba.

Amb motiu de l'entrada en producció d'aquest servei de Verisign, la comunitat no ha trigat a respondre. A més de les iniciatives per a demanar la immediata suspensió del servei, s'ha plantejat el desenvolupament de sistemes per a la circumval·lació dels comodins als dominis de primer nivell. Així l'ISC (Internet Software Consortium), que desenvolupa el servidor de noms BIND ja ha anunciat que en breu facilitarà un pegat per a deshabilitar el canvi efectuat per Verisign. També altres grups han decidit aplicar mesures addicionals, com la redirecció del tràfic dirigit a sitefinder.verisign.com.

Això ens duu a una raó més per a estar en contra del canvi introduït per Verisign. De forma innecessària s'afegeix un nivell addicional de complexitat a la xarxa i al sistema de resolució de noms, així com l'existència de mesures individualitzades. Aquesta mena de resposta, comprensible i que qualsevol podria esperar que succeís, no pot ser considerat com una cosa bona per al funcionament de la xarxa. Verisign el que ha fet es crear un problema que, sincerament, mai hauria d'haver existit.

Per a saber més

Verisign's Site Zinder Implementation
http://www.verisign.com/resources/gd/sitefinder/implementation.pdf

Domain Name System Wildcards in Top-Level Domain Zones
http://www.verisign.com/resources/gd/sitefinder/bestpractices.pdf

Petició de la ICAAN a Verisign per tal que suspengui el servei de comodins als dominis .COM i .NET
http://www.icann.org/announcements/advisory-19sep03.htm

Resposta de Verisign a la petició de suspensió del servei de comodins als dominis .COM i .NET
http://www.icann.org/correspondence/lewis-to-twomey-21sep03.htm

Petició de suspensió del servei de comodins per part del Comitè de Seguretat i Estabilitat de la ICANN
http://www.icann.org/correspondence/secsac-to-board-22sep03.htm

Problemàtica a nivell d'arquitectura de la xarxa provocada pels canvis fets per Verisign
http://www.iab.org/documents/docs/2003-09-20-dns-wildcards.html

Verisign Accussed of Privacy Violation
http://www.pcworld.com/news/article/0,aid,112572,00.asp

Verisign Feels Heat for SiteFinder
http://siliconvalley.internet.com/news/article.php/3080071

Verisign abusing it domain
http://www.netimperative.com/cmn/viewdoc.jsp?cat=all...

Verisign attacked for profiting from typo monopoly
http://www.out-law.com/...

Verisign takes control
http://www.geek.com/...

Verisign sued over broken-URL redirect
http://www.zdnet.com.au/...

Verisign redirects error pages
http://news.com.com/2100-1032-5077530.html

Verisign DNS change broke my HP printer
http://www.theregister.co.uk/content/6/32872.html

Verisign's redirecting of error pages irks net community
http://www.smh.com.au/articles/2003/09/17/1063625072035.html

Verisign condemend for domain-system changes
http://news.zdnet.co.uk/internet/0,39020369,39116436,00.htm

Verisign takes sting out of typos
http://www.wired.com/news/business/0,1367,60466,00.html

Verisign Mulls Way to Make Money from Typos
http://www.cbronline.com/...

Demandan a Verisign 100 millones de dólares por redirigir los ‘.com' y ‘.net'
http://www.elmundo.es/...

Todos los dominios .com y .net erróneos conducen a Verisign
http://www.elmundo.es/...

Resposta de Verisign: Els comodins continuen
http://www.quands.cat/blog/2003/09/23.html#a606

Problemas originats pel fiasco Verisign
http://www.quands.cat/blog/2003/09/21.html#a591

Resolving Everything: Verisign adds wildcards
http://slashdot.org/article.pl?sid=03/09/16/0034210

Verisign responde al aviso de la ICANN
http://barrapunto.com/articles/03/09/22/2358240.shtml

ICANN pide a Verisign que detenga el servicio ‘sitefinder'
http://barrapunto.com/articles/03/09/20/1629253.shtml

Verisign DNS, privacidad y otros
http://barrapunto.com/article.pl?sid=03/09/16/1327229