Registration Data Access Protocol (RDAP): tutto sull’alternativa a Whois
Conoscere i dati di contatto del proprietario di un dominio può risultare utile per diverse ragioni: la necessità di un utente di segnalare un problema tecnico all’operatore, ad esempio, o di intraprendere un’azione legale a causa di una violazione dei diritti di terzi, o l’intenzione di acquistare il dominio stesso.
Attualmente è possibile identificare il proprietario di un dominio tramite il servizio Whois, basato sull’omonimo protocollo. Tuttavia nel 2015 la Internet Engineering Task Force (IETF) e la Internet Corporation for Assigned Names and Numbers (ICANN) hanno definito le prime RFC del protocollo RDAP (Register Data Acess Protocol), che, se fosse per le massime autorità in materia di domain, avrebbero già preso il posto dei Whois.
Registra subito un dominio .it in offerta speciale!
Registra ora il tuo dominio .it con un consulente personale incluso!
RDAP: di che cosa si tratta?
Il protocollo RDAP è stato elaborato da un gruppo di lavoro della IETF. Dopo una fase progettuale di quasi quattro anni, la prima versione del profilo di protocollo (1.0) è stata pubblicata il 26 giugno 2016. Le sue proprietà e applicazioni sono state descritte in diverse RFC (RFC 7480-7484 e RFC 8056). Il RDAP offre la possibilità di ottenere ulteriori informazioni in merito a risorse Internet elementari, come:
- Nomi di dominio
- Indirizzi IP
- Numeri di sistemi autonomi (Autonomous System Numbers o ASN)
A tale scopo, l’alternativa a Whois rappresenta uno strumento per inviare richieste ai vari registrar di dominio, atte a ottenere informazioni come ad esempio i dati di contatto dell’intestatario del dominio, del contatto amministrativo (Admin-C) o ancora l’indirizzo e il gestore del nameserver utilizzato.
Perché è stato progettato il protocollo RDAP?
Già nel 1982 la IETF pubblicò il protocollo Whois al fine di implementare un servizio di query per l’allora ARPANET. Il fatto che dopo più di un quarto di secolo sia ancora in uso è problematico per molti esperti, secondo i quali Whois non è semplicemente più in grado di soddisfare le moderne esigenze tecniche di Internet e del web.
Un esempio sta nel fatto che il protocollo di query non abbia alcuno schema di codifica e che pertanto non supporti caratteri non latini. Altrettanto problematico è che l’accesso ai dati non sia sicuro né regolabile: persino gli utenti anonimi hanno infatti accesso a informazioni come indirizzi e-mail o recapiti.
Progetti come l’estensione Whois++ o il protocollo Denic IRIS (Internet Registry Information Service) hanno inizialmente portato miglioramenti, ma non sono stati in grado di affermarsi come valida alternativa a Whois. Dopo lunghe discussioni interne alla comunità ICANN circa la necessità di ulteriori sviluppi, la spinta decisiva allo sviluppo del protocollo RDAP è stata data nel settembre del 2011 dalla relazione sulla sicurezza SAC 051 del Security and Stability Advisory Committee (SSAC).
RDAP e Whois: quali sono le differenze?
Il protocollo RDAP è sotto molti punti di vista una versione migliorata di Whois. Il gruppo di lavoro IETF si è occupato con estrema attenzione dei punti deboli del vecchio protocollo, concentrandosi soprattutto su sicurezza, strutturazione e internazionalizzazione. L’alternativa a Whois è caratterizzata dalle seguenti innovazioni:
- Semantica strutturata di query e risposta (messaggi d’errore standard inclusi)
- Accesso più sicuro ai dati di contatto richiesti (es. via HTTPS)
- Estensibilità (es. aggiunta di elementi in uscita)
- Meccanismo di bootstrapping (assistito nella ricerca del server DNS autoritativo appropriato)
- Inoltro standardizzato delle query
- Basato sul web (HTTP) e conforme a REST
- Traduzione semplice dei dati di output
- Accesso differenziato ai dati di contatto
Il protocollo RDAP si dimostra anche decisamente più flessibile del suo predecessore: a differenza di Whois, legato al protocollo testuale basato su TCP e alla porta specifica (43), RDAP utilizza per la trasmissione dei dati lo standard web HTTP o HTTPS. Tutti i dati sono forniti in formato JSON standardizzato e leggibili meccanicamente. Questo offre all’alternativa di Whois più libertà nel recupero dei dati e semplifica la programmazione dei servizi di query, che possono comunicare con i diversi registry e fornire i dati richiesti in varie lingue.
RDAP | Whois |
---|---|
Basato su HTTP | Testuale |
Formato JSON standardizzato | Nessuno schema di codifica |
I dati forniti sono leggibili dalle macchine e facilmente traducibili | I dati sono forniti in testi in chiaro e non possono essere elaborati automaticamente |
Le risposte inoltrano ad altri registry in modo automatico | Le risposte non contengono ulteriori informazioni di registrazione |
Possibilità di personalizzare i diritti di accesso per diversi gruppi di utenti | Accesso differenziato ai dati non previsto |
Discussione sui diritti di accesso differenziati
Tra le funzioni inserite nel Registration Data Access Protocol, una delle più importanti è senza dubbio la possibilità di impostare diritti di accesso differenti in base ai gruppi di utenti. L’autorità di registrazione è in questo modo in grado di definire chi possa accedere a quali dati: è logico ad esempio immaginare che agli utenti anonimi venga garantito un accesso limitato, dove gli user autenticati non siano invece soggetti a limitazioni. Proprio su questo punto, tuttavia, sembra necessaria una riflessione aggiuntiva:
Una delle questioni aperte, ad esempio, è come gestire le richieste di inquirenti che necessitino pieno accesso ai dati pur rimanendo anonimi. Non sono inoltre presenti linee guida che definiscano se, in casi simili, l’accesso ai dati vada garantito oltre i confini nazionali. Allo stesso tempo rimane l’assoluta necessità di proteggere i dati degli utenti e mantenere la fiducia di chi registra il proprio dominio. Dopo che alcuni registrar hanno presentato ricorso contro il termine obbligatorio di implementazione stabilito dall’ICANN entro fine 2016, il piano dell’organizzazione è di introdurre l’alternativa a Whois attraverso contratti con società di registrazione e provider di domini.