WHOIS er dødt, RDAP tar over: Vil begrense innsyn

Gode, gamle WHOIS er lagt ned og byttet ut med RDAP. Hilde Thunem i Norid mener det var på høy tid.

Hilde Thunem, administrerende direktør i Norid, forklarer hvorfor RDAP tar over for WHOIS. 📸: Norid / kode24
Hilde Thunem, administrerende direktør i Norid, forklarer hvorfor RDAP tar over for WHOIS. 📸: Norid / kode24 Vis mer

I slutten av januar skrev ICANN at WHOIS-protokollen er død, og byttet ut med en nyere protokoll kalt RDAP (Registration Data Access Protocol).

Og nå er det også slutt hos Norid, som driver registeret for norske domenenavn:

Den 25. mars varslet Norid alle norske domeneforhandlere om at de avvikler WHOIS-tjenesten de har satt opp for at domeneforhandlerne skal kunne få tilgang til detaljert informasjon om hvem som eier et domene.

Men hva betyr dette egentlig i praksis? Og hva er poenget med å bytte ut en tjeneste som har fungert fint frem til nå?

Vi spurte Hilde Thunem, administrerende direktør i Norid.

Mer moderne format

Thunem forteller at den gamle WHOIS-protokollen, som er fra 70-tallet, returnerer data som fritekst uten noen enhetlig struktur. Det gjør det vanskeligere å bruke dataene.

– I RDAP får du tilbake JSON-data, som er enkelt å behandle maskinelt, forklarer Thunem.

Også tegnsett er entydig spesifisert.

Norid har en egen side med beskrivelse av hvordan API-et til deres RDAP-tjeneste fungerer på denne siden. Du kan for eksempel gjøre oppslag etter hvem som eier et domene slik, og få tilbake svar i JSON:

https://rdap.norid.no/domain/kode24.no

«I RDAP får du tilbake JSON-data, som er enkelt å behandle maskinelt.»

Tilsvarende kan man også slå opp kontaktpersoner, domeneforhandlere og mye annet.

– Vil overgangen fra WHOIS til RDAP få betydning for vanlige brukere?

– Nei, for de fleste har ikke dette noen betydning, sier Thunem.

Det er altså først og fremst domeneforhandlere som må forholde seg til den nye protokollen.

Vil begrense tilgangen

De to viktigste grunnene til at RDAP tar over, er personvern og sikkerhet.

  • Protokollen har støtte for såkalt "layered access". Dette betyr at priviligerte brukere kan autentiseres og få tilgang til data som "vanlige" brukere ikke har tilgang til.
  • Norids RDAP-API har også mulighet for å gjøre slike autentiserte oppslag. Dette er noe kun domeneforhandlere har tilgang til, og vil gi disse tilleggsinformasjon om hvem som har registrert et domene.

– Dette er en del av en større endring vi gjør for å begrense forhandlernes innsyn i data om kunder de ikke er forhandler for.

I varselet som ble sendt ut til domeneforhandlerne står det at Norids utveksling av personopplysninger med domeneforhandlere må tilfredsttille kravene til overføring av personopplysninger i EUs personvernforordning og personopplysningsloven.

Norid har allerede i avtalene sine med forhandlere at de kun skal benytte opplysninger i Norids systemer for å betjene egne kunder. Men det er ikke nok:

«Etter en gjennomgang anser vi imidlertid at det er nødvendig å også teknisk begrense behandlingen av personopplysninger for privatpersoner, slik at hver enkelt forhandler kun får tilgang til data om abonnenter og domenenavn de selv er forhandler for», skriver Norid.