Guten Morgen
Besten Dank für die Infos.
Von unserer Seite kam die Frage auf, wenn wir die Angelegenheit schon
mit DNS-Mitteln zu erschlagen haben (mit allen Vor- und Nachteilen
bezgl. Zertifikatswarnung beim https-Zugriff auf eine gesperrte Seite,
etc.), warum wir die Sperrlisten nicht zusätzlich per DNS-Zonentransfer
in Form eines RPZ-Feeds erhalten können. Scheinbar wurde dies
(an)diskutiert, dann aber aufgrund von Komplexität etc. verworfen. Wir
haben bei der ESBK bezgl. der IP-Adresse / Hostnames resp. Templates für
die Landingpage angefragt, bis dato aber auch noch keine Antwort erhalten.
Gruss,
Tom
On 27.06.19 17:10, Benoit Panizzon wrote:
Hallo zusammen
Nachdem ich ausgiebigen Kontakt mit Suissedigital hatte, hier noch ein
paar Infos zusammengefasst, welche Euch vermutlich auch interessieren
könnte.
F: Wann muss dies umgesetzt sein?
A: Die Behörden sind noch nicht so weit. Es gibt keine Liste von zu
sperrenden Domains, welche am 1. Juli
publiziert wird. Es wird vermutlich Herbst, bis
eine erste Liste publiziert wird.
F: Muss jeder ISP selber diese Stoppage hosten, auf welcher die Besucher
der gesperrten Domains geleitet werden sollen? Wer bezahlt die
Hosting Kosten?
A: Nein, die Behörden hosten diese Seite bereits, um auch schnell
Anpassungen am Text und den Informationen auf der Seite vornehmen zu
können. In der technischen Dokumentation sei die IP Adressen zum
Eintragen in die DNS Zonenfiles zu finden (ich habe diese nicht
gefunden, Suissedigital konnte sie mir auf Anhieb nicht nennen, kennt
die jemand?). ISP mit Bedenken betreffend dem Schutz der Privatspäre
Ihrer Kunden, dürfen dies aber auch selber Hosten. Ein Template
ist auf der Webseite der ESBK erhältlich.
F: Werden die Emails mit den Sperrlisten irgendwann als Emails
versendet oder nur umständlich als .eml Download angeboten? Wie
erfährt man, wenn eine neue Liste publiziert wird?
A: Vorgesehen war der Versand per Email, dies ist aber auf wenig
Akzeptanz bei den Providern gestossen, daher werden die .eml Dateien
der Emails als Work-Around zum Download angeboten. Nicht schön, hat
'Verbesserungspotential' (Text-Datei anstatt .eml).
An eine Lösung für eine Notification über Updates der Liste wird
gearbeitet.
F: 99% der Casino Seiten benutzen SSL. Stimmt das SSL Cert der
Sperrseite nicht, kriegt der Besucher nur eine Fehlermeldung und
sieht so die Informationen warum die Seite gesperrt ist nicht.
Wird mit der CA des Bundes daher gültige Zertifikate für alle
gesperrten Domains generiert?
A: Ja, dies ist ein Problem welches nicht gelöst ist. Es ist nicht
vorgesehen, dass die Sperrseite ein gültiges Zertifikat haben soll
und der Problematik dass die Browser dann eine Fehlermeldung
anzeigen sind sich alle bewusst. Suissedigital ist froh um Tipps,
wie man dieses Problem lösen könnte.
F: Was passiert mit dem MX Einträgen zu diesen Casinos? Müssen wir
sicherstellen dass Email noch funktioniert? Sprich die Original MX
Einträge in die Zonenfiles kopieren? SPF Einträge auch? Oder könnte
man ein 'Zentrales' Zonenfile generieren und die verschiedenen
Hostnamen darauf zeigen lassen und der Bund betreibt dann einen SMTP
Relaying Server der sicherstellt, dass Emails an die Casino Domain
richtig weitergeleitet werden (und diese möglicherweise mit liest).
A: An das Thema wurde noch gar nicht gedacht.
Noch eine Bemerkung am Rande: Die meisten versendeten PDF Dokumente
haben ungültige Links. Man hat dies bei der ESBK erst kürzlich bemerkt
und werde diese Dokumente nochmals korrigiert versenden. :-)
Mit freundlichen Grüssen
-Benoît Panizzon-
_______________________________________________
swinog mailing list
swinog@lists.swinog.ch
http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog
