[GTER] RES: Sequestro de DNS no Registro.br

Rubens Kuhl rubensk at gmail.com
Thu Nov 24 16:15:14 -02 2016 

2016-11-24 15:50 GMT-02:00 Danton Nunes <danton.nunes at inexo.com.br>:

> On Thu, 24 Nov 2016, Francisco Paletta wrote:
>
> O problema as vezes não é so "ativar" quantos telefones você quiser. Mas
>> "desativar" um, ou dois, telefones quando não forem mais de pessoas
>> autorizadas a executar essa atividade ....
>>
>
> mas cada pessoa tem um UserID próprio, não? e o TOTP pode estar associado
> ao UserID e não ao domínio.
>
> Normalmente temos um contato administrativo e um contato técnico que é o
> cara que empurra o piano. Num modelo em que mais de um cara empurra o piano
> todos eles deveriam constar como contatos técnicos, e cada um com seu
> UserID e com seu próprio TOTP. Senha e TOTP autenticam o mané, não dão
> autorização do que o mané pode fazer, isso quem dá é o contato
> administrativo. Se o mané sai do grupo basta o contato administrativo
> removê-lo da lista de contatos técnicos. Assim ninguém precisa compartilhar
> senhas ou chaves de TOTP.
>

Na verdade já existem 3 usuários hoje que podem fazer alterações no
domínio: o contato de titular, o contato administrativo e o contato
técnico. O único usuário sem poder é o de cobrança.


> Fica a pergunta para o pessoal do registro.br: seria possível/fácil mudar
> do modelo "um só contato técnico" para "muitos contatos técnicos"?


Não é fácil, a premissa de contato único é pervasiva no sistema... e isso
não demanda alterações apenas no Registro.br, mas também os mais de 100
provedores de serviço de registro hoje ligados via EPP precisariam estar
prontos para essa mudança.

Aliás, as organizações que de fato tenham mais que 3 pessoas diferentes com
necessidade de credenciais(pois até 3 o sistema hoje já comporta) tem duas
opções:
- Utilizar os serviços de algum desses 100+ provedores de serviço de
registro que tenham um modelo operacional que atenda suas preferências de
comodidade x segurança.
- Fazer integração direta via EPP com o Registro.br; isso não é restrito a
empresas com qualquer tipo de licença ou atividade, e inclusive já há uma
montadora de automóveis e um grupo de comunicação entre os que tem acesso
direto via API. A API tem 3 fatores de autenticação (senha, certificado de
PKI interna e IP de origem), suficientes para níveis bem elevados de
paranóia...



Rubens

More information about the gter mailing list