EISi infosüsteemid ja tehnilised tingimused

Uues registrisüsteemis on võrreldes vanaga mõningaid erinevusi kontaktiobjektide loomisel ja käitlemisel. Siinkohal neist olulisemad:

  • Registripidaja vahetusel kopeeritakse kõik kontaktid automaatselt. Süsteem loob ise uue registripidaja valdusesse vastavad objektid.

  • Kui registripidaja ei nimeta loodud kontakti ise (nt registripidaja vahetusel või jätab selle valimata Registripidaja portaalis kontakti luues), teeb süsteem seda automaatselt. Objektinime esimene osa on registripidaja nimi, mida eraldab sellele järgnevast automaatselt genereeritud string

(näide: RPNIMI:6257D24F)

  • Kui registripidaja valib objektinime ise, lisab süsteem selle esiotsa registripidaja nime, juhul kui registripidaja nimi juba ei ole valitud nime esimene element. Lubatud märgid on ASCII tähestik, numbrid, ‘:’ ja ‘-’ , maksimaalne pikkus 100 tähemärki. Kõik sisestatud tähed salvestatakse suurtähtedena.

  • Osade muudatuste, nagu registreerija (kontakti objekti) vahetus (chg) või kontaktisikute e-posti aadresside muudatused, saadetakse kontakti e-posti aadressile kinnitus- ja/või teavituskirju, millest kinnitust vajavate toimingute puhul oleneb ka toimingute lõpuleviimine. Seega on kontaktide e-posti aadresside toimivus ja korrektsus endisest veelgi olulisem.

Kas kontaktandmete muudatuse korral tuleks kontakti objekti muuta või see välja vahetada?

Kui ei muutu ident väli, siis ei ole objekti ennast vaja välja vahetada. Oluline on see peamiselt registreerija kontaktandmete muudatuse korral, sest registreerija objekti väljavahetamist peab süsteem registreerija vahetuseks ka juhul, kui objektis olev isik on sama. Seega näiteks e-posti aadressi või telefoninumbri muutumisel tuleks uuendada ainult kontakti objekti.

Miks ei lase süsteem domeeni või kontakti andmeid muuta?

Domeenil või kontaktil võivad olla seda välistavad staatused (updateprohibited, pendingUpdate). Neist esimene on administratiivselt määratud, tavaliselt mõne menetlustoimingu käigus, nagu kohtuvaidlus või kustutamismenetlus. Teine tähendab aga, et üks muudatustoiming on juba algatatud ja ootab lõpule viimist, enne mida ei saa uusi muudatuspäringuid teha. Kui asi ei ole muudatusi otseselt keelavas staatuses, siis tõenäoline on, et senised (kontakt)andmed on vigased või puudulikud. Täpsemad põhjused kajastuvad ka veateates.

Miks ei saa kontakti ident välja muuta?

Ident välja muutmine muudaks kontakti isikut. Kui isik vahetub, tuleks luua uus kontakti objekt. Ident väljaga seotud muudatusi on võimalik teha vaid kahel erijuhul:

  • kui ident välja (element <eis:ident>  tüüp (atribuut “type”) on 'birthday' ja kuupäevaformaat ei ole korrektne (YYYY-MM-DD);

  • kui puudu on maakood (elemendi <eis:ident> atribuut “cc”).

Ülejäänud juhtudel tuleb ka siis, kui kontaktisik jääb samaks, luua andmete parandamiseks uus kontakti objekt. 

NB! Registreerija kontakti puhul loeb süsteem kontakti objekti väljavahetamise registreerija vahetuseks ja senise registreerija aadressile saadetakse toimingu kinnitamiseks kinnituskiri, millele vastamata toimingut lõpule ei viida.

Millistel juhtudel saadab süsteem kontakti e-posti aadressile teavitusi?

Süsteem saadab teavitusi e-posti aadressi vahetuse korral, domeeni üleandmisel uuele registreerijale ja domeeni kustutamispäringu korral. Domeeni üleandmisel ja kustutamisel saadetakse ühtlasi (senisele) registreerija e-posti aadressile kinnituskiri veebilingiga, mille kaudu saab taotletud ja ootel oleva toimingu kas kinnitada või tagasi lükata. Lisaks saadab registrisüsteem ühekordse automaatteavituse kõigile aegunud domeenide kontaktidele päev pärast selle aegumist. Kiri saadetakse aadressilt noreply@internet.ee

Kuidas toimida, kui registreerija ei saa kinnituskirjale vastata, aga tema tahe on kindlaks tehtud?

Kui registripidaja on veendunud registreerija tahtes, siis on võimalik kasutada update või delete päringus verified='yes' parameetrit, mille korral kinnituskirja saatmise ja pendingUpdate või pendingDelete staatuse kehtestamise asemel soovitud toiming kohe teostatakse.

Kuidas kasutada verified='yes' parameetrit Registripidaja portaalis?

Veebiliideses puudub võimalus selle parameetri sisselülitamiseks. Kasutamiseks tuleb registripidajal edastada ise koostatud päring. Käsitsi koostatud päringuid on Registripidaja portaali kaudu võimalik edastada <XML konsoolis>.

Testkeskkond on mõeldud nii neile, kes alles kaaluvad .ee registripidajaks hakkamist, et end erinevate liideste ja teenustega kurssi viia, kui akrediteeritud registripidajatele jooksvate arenduste ja katsetuste tegemiseks.

Enne uue registripidaja akrediteerimist tuleb registripidajal testkeskkonnas läbida <EPP test>, veendumaks oma tehniliste süsteemide ja protseduuride nõuetele vastavuses.

Testkeskkonna liideste asukohad:

Testkonto taotlemine

Testkonto saamiseks tuleks EISile edastada sertifikaaditaotlus, IP aadress(id) ja isikukoodi põhise konto andmed. EIS väljastab sertifikaadi EPP ja REPP testliidese kasutamiseks ja loob juurdepääsu Registripidaja portaali testkeskkonda vastavate isikukoodide omanikele. Eesti ID kaarti mitteomavad isikud saavad veebikeskkonda logida kasutajanime ja PKI sertifikaadiga. Sellisel juhul tasub silmas pidada, et sertifikaaditaotluses CN oleks sama, mis soovitud kasutajanimi.

Testkeskkonda sisestatud andmed

Testkeskkonda sisestab registripidaja või registripidaja kandidaat andmeid omal vastutusel.

NB! Toimingud, mille tagajärjel saadetakse registreerijale sõnumeid, saadavad selle toimivate kontaktandmete korral ka päriselt välja, et ka seda funktsionaalsust oleks võimalik testida. Soovitav on katsetusi sooritada spetsiaalselt selleks loodud kontaktide ja domeenidega või endale kuuluvate andmetega, mitte reaalsete klientide omadega.

Näidisdomeenid registripidaja vahetuse testimiseks

Registripidaja vahetuse testimiseks on tarvis mõnele teisele registripidajale kuuluvat domeeni ja selle autoriseerimiskoodi. Selle tarbeks on süsteemis näidisdomeenid, mida luuakse juurde vastavalt vajadusele. Testima asudes või kui juba edastatud domeenid on ära kasutatud, andke täpsemast vajadusest meile teada.

EPP test

EPP test sisaldab endas näidisülesandeid kõigi registreerimisteenuste ja sagedamini teostatavate toimingute kohta. Näiteks kontakti ja domeeni loomine, infopäring, kontakti andmete uuendamine, domeeni kontaktide ja nimeserverite muutmine, domeeni üleandmine, registripidaja vahetus, dnssec kirjete haldus, domeeni kustutamine ja poll sõnumite lugemine.

Täpsemad ülesanded saadetakse registripidaja kandidaadile, kui ta annab teada oma valmidusest testi sooritamiseks.

Kui kaua on testi sooritamiseks aega?

Üldiselt eeldame, et registripidaja on selleks hetkeks juba veendunud oma süsteemi võimekuses meie omaga suhelda ja operatsioonid ise peaksid võtma suhteliselt vähe aega, kindlasti mitte rohkem kui mõni tund.

Mis siis, kui registripidaja ei soovigi liidestuda üle EPP?

Sellisel juhul teeb ta testi ainult veebiliidest (Registripidaja portaali) kasutades. Kõiki ettenähtud toiminguid on võimalik sooritada ka ainult veebiliidese vahendusel.

Ligipääsu saamiseks tuleb EISile edastada sertifikaaditaotlus, IP aadress(id) ja isikukoodi põhise konto andmed. EIS väljastab sertifikaadi EPP ja REPP liidese kasutamiseks ja loob juurdepääsu Registripidaja portaali vastavate isikukoodide omanikele.

Eesti ID kaarti mitteomavad isikud saavad veebikeskkonda logida kasutajanime ja PKI sertifikaadiga. Sellisel juhul tasub silmas pidada, et sertifikaaditaotluses CN oleks sama, mis soovitud kasutajanimi.

IP ligipääsutellimuste juures palume märkida, kas IP on mõeldud EPP/REPP, registripidaja portaali või mõlemi jaoks. Uute registripidaja portaali kasutajakontode puhul tuleks märkida, kas kasutajal on õigused EPP toimingute või arvelduse (Billing) funktsioonide jaoks või mõlemad õigused.

NB! Lubatud IP-de arv on reguleeritud Registrilepinguga. IP-sid on võimalik lisada vaid ükshaaval, mitte võrguvahemike kaupa.

Toodangu keskkonna liideste aadressid:

Millised on erinevad kasutajaõiguste tasemed Registripidaja portaalis?

On olemas 3 taset: EPP õigustega kasutaja näeb kogu registreerimisteenustega seotud funktsionaalsust, billing õigustes kasutaja arveldusfunktsioone ja kui kasutajal on mõlemad õigused, siis mõlemaid.

Kas registripidaja saab ise uusi kasutajaid luua ja hallata?

Hetkel veel ei saa. See võimalus võib lisanduda tulevikus.

Registrisüsteemi liideste dokumentatsioon on leitav alljärgnevatelt linkidelt:

  • Tasuliste registritoimingute (domeeni registreerimine ja pikendamine) tegemiseks on vajalik, et registripidaja kontol oleks krediiti vähemalt sooritatava tehingu maksumuse väärtuses.

  • Kontot ei ole võimalik viia miinusesse. Vajaliku krediidi puudumisel toiming ebaõnnestub ja tuleb peale krediidi lisamist uuesti sooritada.

  • Ettemaksujääki saab suurendada kõige kiiremini Registripidaja portaalis pangalingi kaudu. Pangaülekande korral võib summa laekumine kontole olenevalt pangaülekande toimumise kiirusest võtta tööpäeva või isegi enam. Pangakonto rekvisiidid: EE557700771000598731, BIC/SWIFT LHVBEE22
  • Ettemaksujääki saab kontrollida Registripidaja portaalis (Billing menüü all) või REPP päringu vahendusel. REPP päringu näidet vt: https://github.com/internetee/registry/blob/master/doc/repp/v1/account.md

Kuidas näha arveid, mis on loodud enne uuele registrisüsteemile üleminekut?

Enne 1. detsembrit 2015 loodud arveid saab näha ja alla laadida endise registripidaja portaali arhiveeritud versioonist aadressil https://oldinvoice.internet.ee/registrar

Teised vana portaali funktsioonid ei tööta.

  • Domeeni maksimaalne nimeserverite arv on 11.

  • Domeeni võib registreerida ka ilma sellele nimeservereid määramata. Sel juhul eksisteerib domeen ainult registri andmebaasis, DNS-is seda ei avalikustata ja kasutada seda võimalik ei ole.

  • Aktiivsel (tsoonis oleval) domeenil peab olema vähemalt 2 nimeserverit. Kui neid on vähem, muutub domeen inaktiivseks (võetakse tsoonist välja) kuni nimeserveri(te) lisamiseni.

  • IP lisamine on kohustuslik vaid juhul, kui nimeserveri nimi asub seotud domeeni all (on sama domeeni alamdomeen). Näiteks ns.nimi.ee, kui domeen on nimi.ee

Sellisel juhul lisatakse registrisse salvestatud IP aadress kleepkirjena (glue record) tsoonifaili .ee juurnimeserveris. Muul juhul ei ole IP aadressi lisamine nimeserverile kohustuslik ega ka mõttekas, sest seda ei kasutata.

  • Ühel nimeserveril võib olla rohkem kui üks IP. IPv4 ja IPv6 on mõlemad lubatud. Kleepkirje korral on vähemalt üks IPv4 aadress kohustuslik.

Mida teha, kui domeeni nimeservereid on vaja muuta?

Nimeserveri nime muudatuse korral tuleb vastav muudatus teostada registripidaja ja domeeni registreerija või teda esindama volitatud isiku koostöös. Kui nimeserveri IP muutub, siis saab seda registris muuta ainult seda domeeni haldav registripidaja, mille all nimeserver paikneb. Kui nimeserveri IP-d ei ole registrisse kantud, siis ei ole vaja midagi teha.

Kui domeen oli tsoonist väljas (aegumise vm piirangu tõttu), kui kiiresti jõuab see DNS-i tagasi pärast staatuse eemaldamist?

Tsoonifaili uuendused toimuvad iga 10 minuti järel.Muudatuse levimine internetis võib sõltuvalt kohalikku võrku teenindavate lahendavate nimeserverite konfiguratsioonist kauem aega võtta.

Domeenil võivad olla erinevad staatused kas automaatsete protsesside tulemusel või administratiivsetel põhjustel. Staatused on alati kehtestatud serveri poolt. Klient ei saa ühtegi staatust ise vahetult kehtestada ega eemaldada.

  • ok - domeeni vaikeolek, kui puuduvad teised staatused;
  • serverRenewProhibited - domeeni uuendamine on keelatud;
  • serverTransferProhibited - registripidaja vahetus on keelatud;
  • serverUpdateProhibited - andmete muutmine on keelatud;
  • serverDeleteProhibited - kustutamine on keelatud;
  • serverManualInZone - domeeni nimeservereid hoitakse igal juhul tsoonifailis;
  • expired - domeen on pikendamata ja viimane registratsiooniperiood on lõppenud;
  • serverHold - domeeni nimeserveri kirjed on tsoonifailist eemaldatud. See juhtub automaatselt kõigi aegunud domeenidega 15 päeva peale aegumist;
  • pendingUpdate - oodatakse registreerija kinnitust registreerija vahetuse päringule;
  • pendingDeleteconfirmation - oodatakse registreerija kinnitust kustutamispäringule;
  • pendingDelete - käib domeeni kustutamisprotsess;
  • serverForceDelete - domeeni suhtes on algatatud kustutusmenetlus;
  • serverRegistrantChangeProhibited - domeeni üleandmine, s.t. registreerija vahetus, on keelatud;
  • serverAdminChangeProhibited - domeeni halduskontakti(de) muutmine on keelatud;
  • serverTechChangeProhibited - domeeni tehniliste kontaktid(de) muutmine on keelatud;
  • deleteCandidate - domeen on kustumas (kätte on jõudnud kuupäev, kui see kustub juhuslikult valitud hetkel 24 tunnise ajavahemiku jooksul).

Miks on domeen ootamatult pendingupdate staatuses ja kuidas seda eemaldada?

Domeen saab pendingupdate staatuse, kui update päringu käigus muutub domeeni registreerija (registreerija kontakti objekt). Sellisel juhul saadetakse vaikimisi alati kinnituskiri endise kontakti e-posti aadressile. See toimub ka juhul, kui samale registreerija isikule luuakse uus kontakti objekt ja üritatakse vana sellega asendada.. Nii võib juhtuda, et domeen satub pendingUpdate staatusse ilma et oleks kavatsetud algatada domeeni üleandmist.

Kui registreerija toimingu tagasi lükkab, taastub domeeni päringueelne olek ja muudatust ei toimu. Kui registreerija toimingu kinnitab, viiakse see läbi. Kui aga registreerija kinnituskirjale üldse ei reageeri, eemaldatakse pendingUpdate staatus serveri poolt automaatselt 48 tunni möödudes, tühistades ka ootel oleva toimingu.

Kui domeen on pendingUpdate staatusse sattunud eksliku toimingu tulemusel või on toimingu käigus avastatud, et kinnituskiri pole jõudnud adressaadini ja ei soovita oodata 48 tunni möödumist, siis selle administratiivseks eemaldamiseks tuleb pöörduda EIS poole.

Kuidas taastada domeeni, mille registreerija on kustutada lasknud, ent seejärel ümber mõelnud?

Pärast kustutamiskäsu andmist on domeen DeletePending staatuses 30 päeva. Selle aja vältel on registreerijal soovi korral võimalik domeeni endine olukord taastada. Selleks on vaja esitada vastav allkirjastatud sooviavaldus registripidajale, kes esitab selle EIS-ile. Registripidaja ise domeeni kustutamist tühistada ei saa.

Millisel juhul ei ole domeeni võimalik pikendada?

Domeeni ei ole võimalik pikendada, kui:

  • domeenil on seda takistav staatus;
  • registripidajal puudub piisav ettemaksujääk;
  • domeen kuulub teisele registripidajale.

Domeen pikendati vähemaks arvuks perioodideks, kui klient seda soovis. Kas on võimalik kohe lisada veel üks periood?

On, tingimusel et perioodide summa ei ületa domeenireeglites lubatud maksimumperioodi pikkust.

Registripidaja infosüsteem näitab, et domeen on pikendatud, aga klient kurdab, et talle saadeti registri poolt aegumisteavitus?

Kõigepealt tuleks kontrollida WHOIS, Registripidaja portaali või EPP liidese vahendusel, kas domeen on tõepoolest edukalt pikendatud. Päringu erinevatel põhjustel ebaõnnestumine võib registripidaja süsteemis mitte kajastunud olla.

Kui domeen on käesolevaks hetkeks pikendatud, aga klient on saanud aegumisteavituse, siis on domeen jõudnud enne pikendamist vahepeal aeguda. Süsteem ei saada aegumisteavitust domeenidele, mis pikendatakse enne aegumist.

Aegunud või peatunud domeeni pikendamine

  • Domeeni on võimalik pikendada ka pärast selle aegumist. Aegunud domeeni pikendamine ei erine tavalise domeeni pikendamisest tehniliselt ega hinna poolest.
  • Aegunud domeenil on 'expired' staatus. Pikendamisel eemaldab register selle koheselt.
  • Pärast 15 päeva 'expired' staatuses olnud domeen eemaldatakse tsoonist (peatub). Domeeni ei ole enam .ee tsooni teenindavates nimeserverites, kuid seda on endiselt võimalik pikendada 30 päeva jooksul. Pärast aegunud ja peatunud domeeni pikendamist ilmub domeen tagasi .ee tsooni hiljemalt 10 minuti jooksul.
  • Domeen, mis on olnud pärast aegumist 30 päeva peatatud olekus omandab staatuse 'deletecandidate' ja kustub 24 tunnise perioodi jooksul süsteemi poolt juhuslikult valitud hetkel. 'Deletecandidate' staatuses domeeni ei ole enam võimalik pikendada. Peale domeeni kustumist registrist on see koheselt kõigile registreerimiseks vaba.

EIS avaldab WHOIS otsingu kaudu domeeni oleku(d), registreerimise, viimase muudatuse ja aegumise ajad, registripidaja, nimeserverid, dnssec võtme, registreerija ja teiste kontaktide nime ja e-posti aadressi. Juriidilisest isikust registreerija korral avaldatakse ka tema äriregistri kood.

Peale domeeni registreerimist muutuvad need andmed WHOIS teenuse vahendusel koheselt päritavaks.

Kontaktide e-posti aadressid on nähtavad ainult captchaga kaitstud WHOIS-teenuse vahendusel, mis on kättesaadav EIS kodulehe ja Rest WHOIS kaudu.

Kas WHOIS kuvatud info on alati ajakohane? Mida teha, kui see läheb lahku registrisüsteemi sisestatud infost?

Kõigepealt tuleks veenduda, et pöördutakse võimalikult vahetult EIS enda WHOIS teenuse poole, mitte ei kasutata mõne teise teenusepakkuja vahendatud teenust, kus võivad olla salvestunud vananenud andmed.. Seejärel, kui päringu sooritab registripidaja, peaks kontrollima, kas WHOISis näha soovitavad muudatused ikka on jõudnud registrisse.

WHOIS info peaks alati olema ajakohane, kuid tuleb arvestada, et enne, kui info jõuab WHOISi peab see juba olema registris. Erinevuste esinemise korral on alati õige see vastus, mis tuleb otse registrisüsteemist.

Mis määrab selle, kas registreerija (äri)registrikood on WHOISis nähtav?

Registreerija kontakti loomisel määrab registripidaja ident elemendi tüübi 'org' või 'priv' abil, kas tegemist on era- või juriidilise isikuga. Kui tüüp on 'org', eeldab süsteem, et tegemist on juriidilise isikuga.

EPP päringutele kehtivad piirangud on sätestatud Registrilepingu lisas 1.

  • Korraga on lubatud kasutada kuni 4 seanssi ja kuni 4 EPP ligipääsu omavat IP-d.
  • Registripidaja portaali arvelduse funktsioonide ligipääsuks kasutatavate aadresside hulk ei ole piiratud.
  • Seanss saab olla mitteaktiivne 5 minutit, enne kui see tühistatakse.
  • Iga veateatega lõppev EPP päring toob kaasa seansi blokeerimise kuni 1 sekundiks.
  • EPP päringulimiit on 100 päringut minutis. Login ja logout käsud loetakse päringute hulka.

Poll sõnumeid saab lugeda Registripidaja portaalis (kui kasutajal on EPP toimingute õigused) või <poll> käsuga üle EPP.

<poll> käsk op="req" atribuudiga kuvab järgmise lugemata sõnumi. Loetud sõnum võetakse järjekorrast maha <poll op="ack"> käsuga.

Kuidas lisada registripidaja portaali uut kasutajat?

Tuleks saata EISile volitus uue kasutaja nime, isikukoodi ja soovitud õigustega ja vajaduse korral ka IP-d ligipääsu jaoks, kui need erinevad seni teada antuist.

Mida teha, kui väljastatud ligipääsud mingil põhjusel ei tööta?

Tuleks koguda mittetöötava ligipääsu ja veateadete iseloomu kohta võimalikult täpne info ja edastada see EIS-ile. Olulised detailid on näiteks päringute kuupäev ja kellaaeg, kasutajanimi, IP millelt päring lähtus ja liides, mille poole pöörduti. Võrguühenduse probleemide korral võib abiks olla traceroute käsu väljund.

DNSSEC ehk Domain Name System Security Extensions (eesti keeles domeeninimede süsteemi turvalaiendused) on turvavõtmete süsteem, mis tagab, et internetilehekülg kuhu kasutaja suunatakse on see, mille aadressi ta veebilehitsejasse sisestas. Näiteks tagab DNSSEC, et sisestades veebilehitseja aadressiribale oma internetipanga veebiaadressi, ei suunata kasutajat sarnase väljanägemisega lehele, mis on petturite poolt andmete ja paroolide varastamiseks üles seatud.

Mis vahe on DNSSEC teenuse ja DNSSEC täisteenuse pakkumisel?

DNSSEC teenust on domeenireeglitega kohustatud osutama kõik akrediteeritud .ee registripidajad, see tähendab, kui klient soovib domeeniregistrisse edastada oma DNSSEC võtmeid, neid eemaldada, lisada või muuta, on registripidajal kohustus seda talle võimaldada.

Seotud teema: DNSKEY kirjete haldamine

DNSSEC täisteenus tähistab registripidaja võimekust lisaks võtme edastamisele ka ise klientide DNSSEC võtmeid luua ja hallata. Sel juhul vastutab teenusepakkuja nii DNSSEC taristu haldamise, võtmete loomise kui salajaste võtmete kaitsmise eest.

Hea tava teenusepakkuja poolt on avalikustada oma DNSSEC lahenduse DPS (DNSSEC Practice Statement), kus on kirjeldatud selles ettevõttes rakendatavad DNSSEC-iga seotud protseduurid ja reeglid.

Kui registripidaja pakub oma klientidele DNSSEC täisteenust, saab ta lasta lisada vastava märke enda nime taha registripidajate võrdlustabelisse www.internet.ee avalehel: