Fra 1. marts 2015 vil den danske domæneadministrator DK Hostmaster begynde at validere indtastede registrantdata op mod CPR- og CVR-registrene. I dag er den eneste validering af registrantoplysninger et fysisk brev sendt til den oplyste postadresse. Den øgede datavalidering gælder dog kun for danske registranter.
»Valideringen bliver lavet om 1. marts 2015. Der vil man ikke få hverken en e-mail eller brev, før man er blevet valideret mod CPR eller CVR. Men det er kun for danskere. Udlændinge vil fortsat få en e-mail først og derefter et brev, fordi der ikke er nogen registre, vi kan registrere dem op imod,« siger vicedirektør i DK Hostmaster Lise Fuhr.
Dermed er der principielt ikke noget til hinder for, at registranter fra udlandet kan indtaste vilkårlige kontaktoplysninger og efterfølgende aktivere domænet via den mail, DK Hostmaster sender ud.
»Den mulighed foreligger. Men det er jo ikke alle fra udlandet, der opgiver falsk navn og adresse. Langt de fleste opgiver korrekte oplysninger,« siger Lise Fuhr.
Og det sker fra tid til anden, eksempelvis i forbindelse med oprettelse af fup-webbutikker, at der bliver indtastet registrantoplysninger på danskere, som intet har med domænet at gøre. Version2 har tidligere beskrevet, hvordan to danskeres kontaktoplysninger er blevet brugt i forbindelse med registreringen af netop et domæne med en fup-webbutik.
Ringe udsigter til effektiv kontrol mod misbrug fra udlandet
Da der i dette tilfælde er tale om en eksisterende dansk postadresse, vil det næppe afsløre fup og fidus at validere adressen op mod CPR.
En anden forbedring i forhold til den nuværende valideringsproces kunne være at koble NemID på domæneregistreringen. Men som Lise Fuhr har påpeget i en tidligere mail til Version2, så er NemID forbeholdt danskere og vil derfor ikke kunne anvendes til at validere registranter fra udlandet, der også skal have adgang til at registrere domæner i Danmark.
It-konsulent og ejer af EIT Henrik Bjørner har på sin hjemmeside kortlagt et systematisk opkøb af domæner, der tidligere har været på danske hænder. Opkøbene finder hovedsagelig sted fra personer, der ser ud til at have tilknytning til Kina. Og i det lys mener Henrik Bjørner, at valideringen af registrantdata, der i dag foregår ved at sende et fysisk brev, er for dårlig.
»I dag behøver du ikke andet end en mailadresse for at oprette, det, synes jeg, er alt for lidt,« siger han og fortsætter:
»Hvis man opretter det i et eller andet tilfældigt personnavn, så får det jo bare lov at køre videre, hvis ikke personen, der får brevet, reagerer,« siger han.
Vigtig post om registrantvalidering forveksles med reklamer
I det tilfælde, Version2 har beskrevet med falske registrantoplysninger, tyder noget netop på, at personen, hvis postadresse ser ud til at være blevet misbrugt ved domæneregistreringen, ikke har reageret efter at have modtaget et brev fra DK Hostmaster på adressen.
At der ikke er blevet reageret på brevet, kan muligvis skyldes, at det er blevet forvekslet med reklamepost. I hvert fald fortæller Lise Fuhr, at netop den misforståelse sker fra tid til anden:
»Nogle gange sker det desværre, at når vi sender et brev til en dansker med vores logo på, så tror de, det er en reklame. Men vi har også eksempler på danskere, der har kontaktet os og sagt, at de altså ikke har oprettet et domænenavn. Og så sletter vi det med det samme.«
Det er ganske vist et fåtal af de domæner, der bliver ledige, som straks bliver genopkøbt, hvorefter der dukker en fup-webbutik op på URL’en.
Henrik Bjørners kortlægning viser dog, at det er særligt attraktive danske domæner, der bliver genopkøbt. Blandt andet dem, der har en høj pageranking, og dermed dukker højere op på listen i Googles søgeresultater. På den måde forsøger bagmændene at øge sandsynligheden for at lokke folk i fup-webbutikken.
Og derfor mener Henrik Bjørner også, at valideringen af, hvem der overtager domænerne, bør være bedre - den systematiske oprettelse af blandt andet fup-webbutikker taget i betragtning.
»Det er en lille procentdel. Men jeg mener, det tyder på en generel problematik i forhold til registreringsproceduren. Der er alt for lidt kontrol med det i dag,« siger Henrik Bjørner.
EU-regler forhindrer aktivering af domæner via fysisk brev
Lise Fuhr ved DK Hostmaster er da heller ikke afvisende over for, at valideringsproceduren engang i fremtiden kan blive ændret, så eksempelvis personer i udlandet først kan aktivere deres domæner, når de modtager et fysisk brev.
»Hvis vi oplever pludselig stigning i misbrug af domæner registreret fra udlandet, så vil vi evaluere på registreringsproceduren igen,« siger hun og tilføjer:
»Problemet i den forbindelse er, at der ikke må være handelshindringer i EU. En tysker må ikke have dårligere registreringsmuligheder end en dansker. Det vil være en handelshindring.«
Men vil der efter 1. marts 2015 være mere kontrol med danske registranter end med registranter fra udlandet?
»Ja, men vi vil også forsøge at validere virksomhedsoplysninger mod de registre, der er i EU, men det kører ikke godt nok endnu. Vi vil jo også gerne sikre os, at oplysningerne er korrekte.«
Hvorfor ikke bare nøjes med at sende et fysisk brev allerede nu i stedet for en mail - systemet bliver jo misbrugt?
»Fordi mange fuldstændigt reelle registranter fra hele verden på den måde vil opleve en service, der er markant ringere på grund af nogle få brodne kar. Det er jo en afvejning. Og vores indtryk er, at langt hovedparten er reelle registranter.«
Lise Fuhr fortæller, at DK Hostmaster får breve retur fra udlandet, hvor postadressen er ukendt. Og at domæneindehavere, der ikke reagerer på DK Hostmasters efterfølgende henvendelse, får deres domæner slettet. Lise Fuhr erkender også, at der i sagens natur kan gå noget tid, inden domænet bliver slettet, når postadressen ligger i udlandet.
»Men der er da et tidsmæssigt issue i det i forhold til, hvor hurtigt sådan et brev når frem til eksempelvis Kina.«
Ud over en eventuel ændring af valideringsprocessen engang i fremtiden nævner Lise Fuhr en karensperiode for domæner, der bliver aktivt slettet af den tidligere ejer. I dag går der tre måneder, fra en ejer lader være at betale sit domæne, til domænet bliver ledigt. Hvis ejeren opsiger det, bliver det ledigt med det samme og kan altså i princippet overtages af hvem som helst.
Og som Version2 tidligere har beskrevet, så er det ikke kun en eventuel fup-webbutik, der kan ende med at dukke op på domænet. Den nye ejer kan også begynde at modtage den e-mail, der var tiltænkt den tidligere ejer. Henrik Bjørner har også identificeret flere tilfælde af klonede hjemmesider. Det vil sige hjemmesider, der ligner den hjemmeside, der tidligere lå på domænet, men som i virkeligheden er en kopi, den nye ejer har skabt via Wayback-machine. En tjeneste, der netop gør det muligt at hente tidligere udgaver af hjemmesider.
Mangel på internationale registre til at validere domænekøbere
Partner og it-advokat ved Bird & Bird Martin von Haller Grønbæk er en af stifterne af DK Hostmaster, og han har desuden også en fortid som bestyrelsesmedlem hos Dansk Internet Forum, der står bag DK Hostmaster. Og han fortæller, at problemstillingen omkring validering af registrantinfo bestemt ikke er ny i DK Hostmaster-regi.
»Det har løbende været oppe at vende hos DK Hostmaster. At sikre en balance mellem validering af domænedata på den ene side og på den anden side ikke gøre det for besværligt at oprette et domæne i Danmark,« siger han.
Martin von Haller Grønbæk mener, løsningen med CPR- og CVR-validering fra 1. marts er et skridt i den rigtige retning i den forbindelse, også selvom det kun kan anvendes i forhold til danskere.
»Der har hele tiden været en udfordring i forhold til internationale registranter, fordi der ikke er gode centrale registre at validere op imod.«
I den forbindelse mener Martin von Haller Grønbæk, at det er vigtigt, at domæne-registreringsprocessen forbliver forholdsvist ukompliceret, også selvom der i nogen grad sker misbrug i dag.
»Der er en tendens til, at bare fordi tingene foregår online, så er det nogle helt andre høje standarder, man forsøger at lægge ind over. Men det er da klart, at hvis der er en let løsning i forhold til at validere kontaktoplysninger, så skal man da selvfølgelig gøre det.«
Når det er sagt, så mener Martin von Haller Grønbæk, det er væsentligt løbende at vurdere udviklingen på domæner, hvor der eksempelvis optræder falske webshops.
»Det kan godt være, det ville være en god idé at kaste en bold op i luften og se, hvad der er af muligheder.«
Den bold griber Henrik Bjørner gerne. Han har i hvert fald et umiddelbart bud på en forbedring af den nuværende registreringsproces. Det går ud på, at når en bruger første gang optræder i DK Hostmasters administrationssystem, så sker valideringen via et fysisk brev og ikke via mail.
»Jeg mener, at første gang man opretter et domæne med et nyt handle, må man sende et fysisk brev med en aktiveringskode,« siger Henrik Bjørner.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
