30, maj 2020
WHOIS efter GDPR
WHOIS är standardprotokollet för information kring ”internetresurser”, såsom IP-adresser och domännamn. För oss i domännamnsvärlden är WHOIS synonymt med själva domännamnet då det är källan för den mest grundläggande informationen kring domännamnet.
Ett domännamns WHOIS har därför alltid varit dit man vänt sig för att hämta den publika informationen om ett domännamn, exempelvis ägarinformation, kontaktinformation, namnservrar, nuvarande registrar med mera.
Som vi alla vet har GDPR stor påverkan på hur organisationer presenterar data. Eftersom ett domännamns WHOIS för de mesta TLD:er (toppdomäner) innehåller exempelvis namn, telefonnummer och e-postadresser till fysiska levande personer (exempelvis kontaktpersonerna på det företag som äger domännamnet i fråga) var det förväntat att GDPR radikalt skulle komma att förändra hur WHOIS skulle fungera framgent.
Den 17e maj 2018 drev ICANN igenom en “Temporary Specification” för registreringsinformationen för en gTLD (gTLD är en ”generisk” toppdomän såsom .COM, .NET och .ORG). Detta bara åtta dagar före GDPR deadlinen vilket resulterade i att många registries och registrarer var tvungna att göra en hel del sista minuten förändringar för att kunna efterleva både GDPR och ICANNs “Temporary Specification”. Detta regelverk stipulerar hur ICANN-anslutna organisationer ska hantera WHOIS fortsättningsvis. Men ICANN har även gått ut med att de kommer se över detta regelverk var 90de dag, med ett tak på hur länge det kan förnyas på ett år.
Under det nya regelverket kommer den publika informationen i WHOIS:en kraftigt reduceras och innehålla ägare i form av en organisation (om det finns en sådan), stat/provins och land.
Men ICANN har samtidigt sagt att registrarernas krav att inhämta komplett kontaktinformation kvarstår, på samma sätt som innan. Den kompletta informationen måste även transfereras till registryt samt escrow leverantör.
Då den “nerslimmade” WHOIS:en döljer den mesta informationen om domännamnets ägare (såsom registrantens e-postadress) ställer det krav på registrarer att tillhandahålla ett sätt för tredjepart att kontakta ägaren till domännamnet. De två alternativ man som registrar då har till buds är antingen en anonymiserad e-postadress, alternativt ett webbformulär. Båda dessa ska vidarebefordras till registrantens faktiska e-postadress. Dessa lösningar är även applicerbara på domännamnets admin- och techkontakt, som annars utelämnas från WHOIS:en.
Utöver detta kräver ICANN att registrarer ger tillgång till den kompletta WHOIS datan för aktörer med “legitimt” intresse, detta för att underlätta för immaterialrättsjurister, bolag som jobbar med varumärkesskydd samt rättsväsendet. En ackrediteringsmodell med tillgång till dold information har föreslagits, men ingenting av den sorten har kommit på plats. Registrarerna alltså står just nu med krav, men inga riktlinjer för hur man ska lösa det rent praktiskt.
Den reducerade WHOIS:en kommer även påverka transferprocessen för ett domännamn, mest uppenbart är problemet med registrantinformationen. I ICANNs transferpolicy stipuleras det att enbart ägar- eller adminkontaktens e-postadress är de enda som får godkänna den s.k. ”Form of Authorization”. I frånvaron av en e-postadress i WHOIS:en omöjliggörs detta steg i transferprocessens bekräftelsesteg. Till dess att ICANN och anslutna organisationer har ett nytt sätt att säkert kunna transferera data kommer ”Form of Authorization” att utelämnas från transferprocessen, vilket resulterar i att auktoriseringskoden blir det enda sättet att bekräfta rätten att transferera domänen till en annan registrar. Den ”förlorande” registraren (vilken domänen flyttas från) måste fortfarande skicka den förlorande ”Form of Authorization”. Detta är ett e-postmeddelande som informerar den nuvarande registranten om att en registrar transfer har begärts och möjliggör en sista utväg att avbryta transfern genom att omedelbart agera. Om registranten inte agerar inom fem dagar tillåts transfern att fortgå.
Vad gäller ccTLD:er (landsdomäner som .SE för Sverige och .DE för Tyskland) finns en mängd lösningar. Allt från att dölja all WHOIS data till att göra absolut ingenting och lämna WHOIS:en som den är. Effekterna på olika verksamheter blir ett smörgåsbord av lika många potentiella lösningar. I och med att domännamnsindustrin varit så sen att agera på de krav och effekter som GDPR resulterar i är det vår tro att vi kommer se en hel del tillfälliga – och kanske även förhastade – lösningar som pekar på återkommande uppdateringar, ändringar och omformuleringar dessa kommande månader.
Läs/se mer:
https://www.icann.org/resources/pages/gtld-registration-data-specs-en
https://www.icann.org/resources/pages/data-protection-meetings-2017-12-08-en#__prclt=PfWOvtlW