Registration Data Access Protocol (RDAP): tutto sull’alternativa a Whois

Già nel 1982 la IETF pubblicò il protocollo Whois al fine di implementare un servizio di query per l’allora ARPANET. Il fatto che dopo più di un quarto di secolo sia ancora in uso è problematico per molti esperti, secondo i quali Whois non è semplicemente più in grado di soddisfare le moderne esigenze tecniche di Internet e del web.

Un esempio sta nel fatto che il protocollo di query non abbia alcuno schema di codifica e che pertanto non supporti caratteri non latini. Altrettanto problematico è che l’accesso ai dati non sia sicuro né regolabile: persino gli utenti anonimi hanno infatti accesso a informazioni come indirizzi e-mail o recapiti.

Progetti come l’estensione Whois++ o il protocollo Denic IRIS (Internet Registry Information Service) hanno inizialmente portato miglioramenti, ma non sono stati in grado di affermarsi come valida alternativa a Whois. Dopo lunghe discussioni interne alla comunità ICANN circa la necessità di ulteriori sviluppi, la spinta decisiva allo sviluppo del protocollo RDAP è stata data nel settembre del 2011 dalla relazione sulla sicurezza SAC 051 del Security and Stability Advisory Committee (SSAC).

Il protocollo RDAP è sotto molti punti di vista una versione migliorata di Whois. Il gruppo di lavoro IETF si è occupato con estrema attenzione dei punti deboli del vecchio protocollo, concentrandosi soprattutto su sicurezza, strutturazione e internazionalizzazione. L’alternativa a Whois è caratterizzata dalle seguenti innovazioni:

• Semantica strutturata di query e risposta (messaggi d’errore standard inclusi)

• Accesso più sicuro ai dati di contatto richiesti (es. via HTTPS)

• Estensibilità (es. aggiunta di elementi in uscita)

• Meccanismo di bootstrapping (assistito nella ricerca del server DNS autoritativo appropriato)

• Inoltro standardizzato delle query

• Basato sul web (HTTP) e conforme a REST

• Traduzione semplice dei dati di output

• Accesso differenziato ai dati di contatto

Il protocollo RDAP si dimostra anche decisamente più flessibile del suo predecessore: a differenza di Whois, legato al protocollo testuale basato su TCP e alla porta specifica (43), RDAP utilizza per la trasmissione dei dati lo standard web HTTP o HTTPS. Tutti i dati sono forniti in formato JSON standardizzato e leggibili meccanicamente. Questo offre all’alternativa di Whois più libertà nel recupero dei dati e semplifica la programmazione dei servizi di query, che possono comunicare con i diversi registry e fornire i dati richiesti in varie lingue.

Tra le funzioni inserite nel Registration Data Access Protocol, una delle più importanti è senza dubbio la possibilità di impostare diritti di accesso differenti in base ai gruppi di utenti. L’autorità di registrazione è in questo modo in grado di definire chi possa accedere a quali dati: è logico ad esempio immaginare che agli utenti anonimi venga garantito un accesso limitato, dove gli user autenticati non siano invece soggetti a limitazioni. Proprio su questo punto, tuttavia, sembra necessaria una riflessione aggiuntiva:

Una delle questioni aperte, ad esempio, è come gestire le richieste di inquirenti che necessitino pieno accesso ai dati pur rimanendo anonimi. Non sono inoltre presenti linee guida che definiscano se, in casi simili, l’accesso ai dati vada garantito oltre i confini nazionali. Allo stesso tempo rimane l’assoluta necessità di proteggere i dati degli utenti e mantenere la fiducia di chi registra il proprio dominio. Dopo che alcuni registrar hanno presentato ricorso contro il termine obbligatorio di implementazione stabilito dall’ICANN entro fine 2016, il piano dell’organizzazione è di introdurre l’alternativa a Whois attraverso contratti con società di registrazione e provider di domini.