ICANN taber tredje runde om ret til at indkræve whois-data fra europæisk udbyder

Illustration: teguhjatipras/Bigstock
ICANN's europæiske whois-database smuldrer efter endnu et juridisk nederlag.

ICANN, der står for at uddele domænenavne til hele verden, har netop tabt en sag(PDF) i den tyske by Kølns appelret.

Det er ICANN selv, der lagde sag an mod den tyske domæneregistrant EPAG, der ligesom den danske DK Hostmaster sælger og uddeler domæner. Den tyske registrator mener ikke, at selskabet længere kan udlevere deres tyske kunders oplysninger til ICANN’s whois-database og samtidig overholde GDPR.

Det skriver The Register.

Læs også: Stadig problemer med WHOIS-privatliv - EU giver nedadvendt tommel

Appelretten slog endnu en gang fast, at ICANN ikke »har givet ordentlige grunde« til at kræve, at EPAG udleverer informationer om domæneindehaverne.

Retten i Køln gjorde det også klart, at sagen ikke ryger videre til EU-Domstolen trods ICANN’s ønske om dette.

Læs også: Dårligt nyt til politi og sikkerhedsfolk: GDPR lukker ned for fri adgang til WHOIS-opslag

Ifølge The Register sår dette tredje juridiske nederlag for ICANN tvivl om organisationens fornuft og dømmekraft.

Det er nemlig mere end 15 år siden, den først blev advaret om juridiske problemer, men først da EPAG for under et år siden nægtede at udlevere oplysningerne, gik det for alvor op for ICANN, at der var risiko for milliardbøder.

Siden har ICANN bedt om ekstra tid til at blive compliant, men har fået afslag.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (7)
Leif Neland

Besøgende eller domæneejer?

Kan man forvente at være anonym, når man har en offentlig tilgængelig hjemmeside, hvor man kan skrive alle mulige mere eller mindre kontrovercielle udtalelser?

Browsere burde advare imod sider uden verificerbare ejerinformationer i whois.

Niels Danielsen

Besøgende eller domæneejer?
..
Browsere burde advare imod sider uden verificerbare ejerinformationer i whois.


Hvad hvis man er begge dele på samme tid ? (Besøger et site fra en statisk IP hvor et whois på rDNS oplyser ens navn, telefon nummer og adresse :-/ )

Jeg ser det som 3 uafhængige problemer:
1) Hvem har ansvaret for en IP adresse, eller domæne, og hvordan kommer man i kontakt med dem hvis de f.eks. de spammer eller DDoS.
2) Beskyttelse imod crypto MiM.
3) Er et site det som den udgiver sig for at være, f.eks. moms registeret i DK,
Godkendt til at udbyde sundheds ydelser, eller forhandle fødevare etc.

Problemet er at et EV certifikat ikke giver den sikkerhed som en forbruger forventer det giver.

Ad1) Her burde whois kunne hjælpe, evt. ved at henvise til ISP, eller hosting firma. Ofte ender man desværre ved Markmonitor...
Jeg mener at whois skal indeholde kontaktinformation på nogen der rent faktisk har kompetencer, og mulighed for at gøre noget ved misbrug.

Ad2) Det er den opgave de nuværende certifikater løser, man kunne evt. anvende DANE istedet.

Ad3) Denne opgave løses ikke særlig godt af EV certifikater, eller whois.
Jeg mener at ’chain of trust’ for vigtige certifikater på nettet skal følge det samme struktur som udstedelse af tilladelser, autorisationer etc. i den fysiske verden.
Hvis jeg f.eks. er ved at købe noget i en tysk netbutik, vil jeg gerne kunne klikke på hængelåsen, og se at butikken har et gyldig tysk moms nummer, samt navn og adresse på butikken.
Og jeg vil gerne kunne følge certifikat kæden tilbage til delstats regeringer, EU, og ultimativt tilbage til et FN organ der holder styr på hvem der er selvskabs register myndigheder i alle verdens lande.

Henrik Biering Blogger

Ad3) Denne opgave løses ikke særlig godt af EV certifikater, eller whois.
Jeg mener at ’chain of trust’ for vigtige certifikater på nettet skal følge det samme struktur som udstedelse af tilladelser, autorisationer etc. i den fysiske verden.
Hvis jeg f.eks. er ved at købe noget i en tysk netbutik, vil jeg gerne kunne klikke på hængelåsen, og se at butikken har et gyldig tysk moms nummer, samt navn og adresse på butikken.
Og jeg vil gerne kunne følge certifikat kæden tilbage til delstats regeringer, EU, og ultimativt tilbage til et FN organ der holder styr på hvem der er selvskabs register myndigheder i alle verdens lande.


Det er den basale sammenbinding af faktiske legale entiteter og online services, vi i Peercraft har taget initiativ og foreløbigt et simpelt proof of concept til. Det kan samtidigt overflødiggøre den pt. nødvendige brug af proprietære og megadyre discovery-services som Google og Amazon. Foreløbig er det kun i Danmark, Norge, Finland og enkelte andre lande at virksomheder kan have officielt registrerede internetadresser, så man ikke skal besøge dem fysisk for at opdage og tilgå deres services på sikker vis. Men f.eks. UK og F kan være tæt på. Enhver form for validering kræver så iøvrigt også at der fundamentalt ER legalt styr på hvem der driver virksomhed. Det er stadig et problem i mange lande. Men det kan jo løses ved at virksomheder i disse lande kan opnå trust at være forsikret i et internationalt anerkendt selskab (hvilket også kan dokumenteres via OpenDiscovery).

Ivo Santos

Fordelen ved at der findes kontakt informationer på whois er at det er en del nemmere at få lukket hjemmesider ned uden at man behøver at kontakte politiet eller anden myndighed.

Hvis noget derude mangler en forretnings ide, så er der er en gratis ide.
En service som f.eks. GoDaddy, hvor der i GoDaddys tilfælde er deres kontakt informationer der står i whois databasen, men, det kræver nok et par millioner i start omkostninger, hvilket jeg så ikke besidder, men mok ikke der er et par iværksætter derude som har lyst til sådan et eventyr!.

Leif Neland

Jeg kan (desværre) ikke se at der skulle være noget i vejen for at oprette et system, hvor du betaler mig X kr, hvorefter jeg opretter domænet for X-n Kr i mit navn, opretter en bruger i mit navn hos gratisdns, og giver dig login-oplysningerne.
Jeg behøver ikke kende dit navn, og jeg kan lave en postbox til ditdomænenavn@anonymousdomains.dk på min server, du kan sætte din gmail eller lign til at hente fra, så jeg heller ikke kender din emailadresse.

Eller er der regler for at jeg skal sikre mig de korrekte kontaktoplysninger på mine kunder?

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017