Résumé
- Une transition d'AFRINIC vers NRS doit préserver un état faisant autorité pour chaque ressource numérique. Le choix de l'opérateur devrait déterminer qui fournit le service de registre, et non permettre à des dépositaires concurrents de publier des revendications incompatibles pour le même espace d'adressage ou ASN.
- L'unité de migration n'est pas une ligne dans WHOIS ou RDAP. C'est une enveloppe de continuité signée contenant l'autorité du titulaire, le statut de la ressource, les contacts, l'historique des transferts, les demandes en attente, les litiges, les contraintes judiciaires, l'état du DNS inversé, l'état de la sécurité du routage, les identifiants, l'historique des modifications et les preuves nécessaires pour reproduire chaque conclusion.
- La migration devrait procéder par étapes de préparation, réplication protégée, réconciliation indépendante, double exécution volontaire, basculement de service limité, expansion auditée et seulement ensuite une succession reconnue à long terme. L'état existant reste autoritaire jusqu'à ce qu'un événement d'activation publié en décide autrement.
- Number Resource Society a une orientation utile centrée sur l'opérateur et limitée au comptable, mais sa charte publique ne prouve pas qu'un registre de production, un accord de reconnaissance, un standard de données portable ou un système de recours indépendant existe déjà. Le cas favorable dépend de la construction et du test de ces contraintes.
- Le succès se mesure par la continuité et la réversibilité: pas d'autorité en double, pas de litige perdu, pas de modification de registre inexpliquée, pas d'interruption évitable du RPKI ou du DNS inversé, pas d'obligation pour les opérateurs de reconstruire leur historique, et une voie claire pour revenir ou se déplacer à nouveau.
L'échec du registre n'est pas une autorisation de forker la vérité
La crise d'AFRINIC a rendu une proposition institutionnelle difficile plus facile à voir. Un registre régional peut continuer à servir des enregistrements tandis que sa gouvernance d'entreprise est altérée, que sa direction est contestée, que ses finances sont sous pression ou que son autorité est testée devant les tribunaux. La continuité technique et la légitimité institutionnelle peuvent diverger pendant longtemps.
Cette observation crée une tentation. Si l'institution est le problème, construisez un autre registre, copiez les enregistrements et invitez les opérateurs à partir. La proposition ressemble à une concurrence ordinaire entre fournisseurs. Ce n'est pas le cas. Deux bases de données clients peuvent coexister. Deux services ne peuvent pas prétendre en toute sécurité à l'autorité finale sur le même état de ressource sans règles indiquant à quelles parties prenantes ils doivent croire.
Un préfixe IPv4, une allocation IPv6 ou un ASN peuvent apparaître dans de nombreux systèmes, mais la couche de registre public ne doit pas produire des réponses incompatibles concernant le titulaire, le contact, le transfert ou la délégation. Le DNS inversé nécessite une délégation cohérente. Les certificats de sécurité du routage et les autorisations d'origine de route dépendent d'une chaîne de confiance reconnaissable. Les transferts inter-RIR nécessitent un état d'achèvement. Les registres de niveau supérieur de l'IANA identifient les blocs administrés par les RIR.
Une transition qui crée deux vérités plausibles transformerait la réforme institutionnelle en incertitude technique.
Le cas positif de NRS commence donc par la retenue. Number Resource Society ne devrait pas prétendre qu'un enregistrement devient autoritaire parce qu'un opérateur l'a rejoint, parce qu'un titulaire a échoué politiquement ou parce qu'une nouvelle base de données est plus précise selon l'avis de ses mainteneurs. Elle devrait définir une voie par laquelle les preuves, le service et la reconnaissance se déplacent ensemble sous un basculement vérifiable.
Ceci est une architecture de continuité, pas une déclaration d'indépendance. Elle traite l'échec d'AFRINIC comme une raison de rendre la fonction de registre portable tout en refusant de rendre l'unicité optionnelle.
Le service doit être séparé de l'entreprise
Le mouvement conceptuel consiste à distinguer la fonction de registre du fournisseur d'entreprise. AFRINIC Ltd est une entreprise mauricienne avec des membres, des administrateurs, des employés, des contrats, des actifs, des passifs et des procédures judiciaires. La fonction de registre est un ensemble de services et d'obligations: maintenir des enregistrements précis des ressources numériques, authentifier les modifications autorisées, publier les données d'enregistrement, prendre en charge le DNS inversé, exploiter les services de sécurité du routage, enregistrer les transferts, traiter les demandes valides et conserver les preuves.
L'entreprise fournit actuellement la fonction dans la région de service africaine. Cette histoire et cette reconnaissance comptent. Elles ne rendent pas la fonction physiquement inséparable de la personne morale. D'autres transitions de registre ont nécessité le déplacement des données, des responsabilités et du service. Le matériel de reconnaissance IANA de 2005 pour AFRINIC lui-même décrivait une transition à partir d'arrangements antérieurs des RIR et examinait la capacité d'AFRINIC à maintenir des enregistrements, du personnel et des services.
L'existence d'une transition reconnue vers AFRINIC est une preuve que l'administration du registre peut se déplacer lorsque les conditions sont définies.
La séparation ne signifie pas dépouiller AFRINIC de son autorité alors qu'elle reste capable et reconnue. Cela signifie se préparer à trois états différents. Dans le premier, AFRINIC fonctionne normalement et NRS offre une assurance de continuité indépendante sans publier d'autorité rivale. Dans le second, AFRINIC reste le registre légal tandis qu'un dépositaire qualifié de NRS fournit des services spécifiés en tant qu'agent ou substitut sous mandat valide. Dans le troisième, une succession reconnue transfère la responsabilité durable à un autre arrangement.
Ces états nécessitent différents déclencheurs et instruments. La préparation volontaire des opérateurs n'est pas une activation d'urgence. L'assistance technique n'est pas un transfert de contrat. La reconnaissance d'un successeur n'est pas la même chose que copier des données. Une conception ordonnée nomme l'état au lieu de laisser le langage politique le brouiller.
Le résultat est une revendication plus petite mais plus forte: le service de registre devrait survivre à l'entreprise de registre, et chaque transfert de service devrait être plus étroit qu'un transfert de souveraineté.
NRS est une direction, pas encore un fait de production
La charte publique de NRS soutient que les organismes de ressources numériques devraient se comporter comme des comptables précis, respecter les limites des institutions de droit privé, éviter les ingérences inutiles avec les opérateurs et soutenir la transparence, la responsabilité et un Internet sans restriction. C'est une direction utile pour la continuité car elle place l'enregistrement et l'opérateur au-dessus du prestige institutionnel.
La charte n'établit pas, par elle-même, un registre successeur fonctionnel. Elle ne montre pas un accord de données faisant autorité avec AFRINIC, une reconnaissance IANA, des cérémonies de clés RPKI de production, une délégation DNS inversée, un protocole de transfert testé, des dépositaires accrédités, des rôles de protection des données, un tribunal indépendant ou des fonds suffisants pour fonctionner pendant une crise. Le plaidoyer en faveur de la portabilité n'est pas une preuve que la portabilité a été conçue.
Cette limitation devrait être énoncée positivement. NRS a une opportunité de construire sa légitimité à partir de contraintes vérifiables plutôt que d'hériter de l'habitude des RIR de traiter la reconnaissance comme un mandat large. Son premier produit précieux ne serait pas un enregistrement concurrent. Ce serait une norme de continuité qu'un opérateur, un registre en titre, un tribunal, un auditeur et une partie prenante peuvent inspecter.
La norme devrait s'appliquer à NRS aussi strictement qu'à AFRINIC. Un dépositaire de NRS ne peut pas modifier un titulaire parce qu'il sympathise avec un membre. Il ne peut pas cacher un litige parce que le titulaire est impopulaire. Il ne peut pas conserver des enregistrements après l'expiration de son mandat. Il ne peut pas fusionner le plaidoyer des membres avec l'autorité du registre. Il doit être remplaçable.
C'est ainsi que la transition évite de devenir une campagne pour substituer un gardien à un autre. NRS gagne un rôle en rendant la dépossession portable, bornée et réversible, y compris sa propre dépossession.
L'enveloppe de continuité est l'unité de migration
Un vidage de base de données ne suffit pas. Les données d'enregistrement public peuvent montrer une ressource, une organisation et un contact tout en omettant les preuves qui ont rendu ces champs autoritaires. Un successeur recevant uniquement la ligne visible peut connaître la réponse actuelle mais pas pourquoi elle est la réponse, si elle est contestée ou quel acte en attente pourrait la modifier.
L'unité de migration devrait être une enveloppe de continuité pour chaque relation de ressource. Au minimum, elle devrait contenir:
- la plage de ressources ou l'ASN et son statut de registre;
- l'identifiant stable du titulaire légal ou opérationnel;
- les preuves et la décision établissant l'autorité actuelle;
- les contacts administratifs, techniques et d'abus actuels avec les dates de vérification;
- le statut d'accord, d'adhésion et de service le cas échéant;
- l'historique des allocations, attributions, transferts, fusions et changements de nom;
- les demandes en attente, les blocages, les enquêtes et les délais d'examen;
- les ordonnances judiciaires, les contraintes contractuelles et les métadonnées de litige;
- l'état de délégation du DNS inversé et l'autorité de changement;
- l'état du compte RPKI, du certificat, de la publication et des autorisations de route;
- les identifiants, les méthodes de récupération et l'historique des accès privilégiés sous forme protégée;
- les factures, les crédits et les faits de paiement de service qui affectent l'accès actuel;
- chaque modification matérielle après l'instantané vérifié; et
- les signatures ou attestations identifiant la source, le validateur et l'heure.
Tous les destinataires ne devraient pas voir tous les documents. Les fichiers d'identité, les contrats et les documents juridiques peuvent nécessiter un accès restreint. La portabilité signifie que le dépositaire receveur peut vérifier que les preuves existent, qui les a vérifiées, quelle conclusion elles soutiennent et comment obtenir une divulgation ciblée en cas de contestation. Cela ne signifie pas publier le fichier confidentiel d'un membre.
L'enveloppe fait de la migration un acte fondé sur des preuves. Si un champ ne peut pas être reproduit, il est marqué comme incertain plutôt que silencieusement accepté. Si deux sources sont en conflit, les deux voyagent avec le litige. Si la ligne publique est erronée, la correction se produit par une décision enregistrée, pas par un nettoyage inexpliqué avant l'exportation.
Une transition nécessite une machine d'état
Chaque enveloppe devrait occuper un état de migration défini. Une étiquette simple commecopiéoudéplacéest trop vague. La séquence d'états suivante est plus défendable:
| État | Autorité et action autorisée |
|---|---|
| Source faisant autorité | AFRINIC reste la seule autorité; NRS peut valider des répliques protégées mais ne peut pas publier de modifications comme définitives. |
| Réconciliation en attente | Une réplique existe, les différences sont classifiées et les modifications destructives restent soumises à une journalisation renforcée. |
| Double exécution, source finale | Les deux systèmes traitent des opérations de test ou en miroir; l'état signé d'AFRINIC reste final. |
| Service NRS limité | NRS exerce des fonctions nommées sous mandat valide tandis que les actes modifiant les droits restent à AFRINIC ou à un décideur indépendant. |
| NRS faisant autorité pour des fonctions sélectionnées | Une activation publiée attribue le caractère définitif pour des services spécifiés, avec un canal de modification et un journal d'audit. |
| Succession reconnue complète | L'autorité, les contrats, les données et la reconnaissance externe ont été transférés sous un instrument adopté. |
| Retour ou portage ultérieur | Toutes les modifications sont réconciliées et le prochain dépositaire reçoit l'enveloppe complète. |
L'état appartient à la relation de ressource, pas seulement aux institutions. Différentes fonctions peuvent se déplacer à des moments différents. La consultation publique pourrait être servie à partir d'une réplique vérifiée avant que les décisions de transfert contestées ne soient déplacées. Les données DNS inversé existantes pourraient être maintenues avant que de nouvelles délégations ne soient acceptées. Les corrections de contact de routine pourraient se déplacer avant les litiges sur le titulaire de la ressource.
La machine d'état empêche les annonces politiques de dépasser l'autorité technique. Un communiqué de presse ne peut pas déplacer une enveloppe. Une élection ne peut pas la révoquer. Une ordonnance judiciaire n'affecte que l'état et les fonctions dans son champ. Les parties prenantes peuvent déterminer quel service est autoritaire à un moment donné.
Plus important encore, il n'y a jamais d'étape d'autorité double non définie. La double exécution est autorisée pour la comparaison et la résilience, mais le caractère définitif reste unique.
La préparation vient avant l'activation
La première phase devrait fonctionner pendant que les services d'AFRINIC sont disponibles. Attendre l'effondrement forcerait une reconstruction précipitée à partir des registres publics et des archives privées des opérateurs. La préparation devrait être une obligation ordinaire, pas un acte hostile.
AFRINIC, NRS et un dépositaire indépendant pourraient définir le schéma de l'enveloppe, générer des exportations protégées et tester la restauration sans changer l'autorité publique. Les opérateurs recevraient une déclaration signée de leur propre état et une voie pour signaler les écarts. Les restaurations d'échantillons testeraient si un deuxième environnement peut reproduire les enregistrements, les identifiants, le DNS inversé et les métadonnées des dossiers en attente.
La préparation nécessite également des matériels institutionnels: calendriers d'autorité, dépendances des fournisseurs, contrôles de domaine, inventaires de certificats, continuité bancaire et de paiement, rôles du personnel, arbres de contact, procédures d'incident et les instruments juridiques nécessaires pour un service temporaire. Une réplique techniquement complète peut encore être inutilisable si personne n'a l'autorité de l'activer ou de payer les personnes qui l'exploitent.
La correspondance d'ICANN en 2025 concernant AFRINIC a souligné la préservation et la sauvegarde des registres de registre publics et non publics. Cette préoccupation identifie un minimum, pas une conception complète. Les sauvegardes doivent être à jour, récupérables, interprétables et liées à l'autorité. Un fichier qui peut être restauré mais ne peut pas prendre en charge une mise à jour légale du titulaire est du stockage, pas de la continuité.
Les tests de préparation devraient publier les dates, la portée, les objectifs de récupération, les lacunes non résolues et les conclusions indépendantes. Les détails de sécurité et les données personnelles restent protégés. Les preuves publiques devraient être suffisantes pour montrer que la capacité existe sans exposer comment l'attaquer.
Cette phase profite à AFRINIC même si aucune transition ne se produit. De meilleures exportations, des enregistrements d'autorité plus propres et une récupération testée réduisent le risque actuel. Une option de continuité devrait améliorer le titulaire avant qu'elle ne le concurrence.
La réconciliation doit préserver les faits inconfortables
Les programmes de migration récompensent souvent une cible propre. Les équipes sont tentées de résoudre les noms en double, les documents manquants et les contacts obsolètes avant le basculement pour que le système receveur ait l'air ordonné. Cela peut détruire des preuves.
Les archives historiques d'AFRINIC comprennent des ressources héritées d'arrangements antérieurs, des allocations ultérieures, des transferts, des changements d'adhésion, des successions d'entreprises et des affaires contestées. Certains fichiers peuvent être complets; d'autres peuvent dépendre de formats plus anciens, de connaissances du personnel ou de documents externes. La réconciliation devrait classer ces différences plutôt que de forcer un seul niveau de confiance.
Une classification utile a au moins cinq états.Vérifiésignifie que les preuves et l'état actuel concordent.Vérifié avec lacune historiquesignifie que l'autorité actuelle est forte mais qu'une partie de la chaîne antérieure est incomplète.Contestésignifie qu'une autre partie a une revendication concurrente documentée ou un examen en cours.Restreintsignifie qu'une ordonnance légale empêche une modification nommée.Preuve en attentesignifie que la conclusion actuelle ne peut pas encore être reproduite indépendamment.
Chaque classe a un traitement de continuité. Les enregistrements vérifiés peuvent passer par une migration ordinaire. Les lacunes historiques voyagent avec une réserve mais n'arrêtent pas nécessairement le service. Les enregistrements contestés préservent le dernier état vérifié et passent à un examen indépendant. Les enregistrements restreints portent la contrainte exacte au dépositaire receveur. Les fichiers en attente peuvent recevoir un service de routine non destructif tandis que les modifications modifiant les droits attendent.
Le réviseur de réconciliation ne devrait pas être la personne qui a pris la décision source ou le fournisseur receveur cherchant à élargir sa base de clients. Les opérateurs doivent recevoir leur résultat et une fenêtre de correction. Les rapports agrégés devraient montrer les dénominateurs, les classes d'exception, les taux de correction et les cas non résolus.
Une migration réussie ne produit pas un passé miraculeusement propre. Elle produit une cible dans laquelle l'incertitude est explicite et ne peut pas être exploitée en silence.
Le choix de l'opérateur nécessite une coordination, pas une échappatoire unilatérale
La continuité de NRS devrait donner aux opérateurs un choix significatif de service de registre. Le choix discipline un titulaire car un mauvais service ne porte plus la même prime de captivité. Pourtant, le choix doit être coordonné pour éviter une autorité en double.
Un opérateur devrait pouvoir demander un portage de service en authentifiant son autorité, en sélectionnant un dépositaire qualifié et en acceptant les conditions de continuité communes. Le dépositaire source reçoit un avis et peut soulever une objection définie: incertitude d'identité, revendication concurrente, contrainte judiciaire, preuve incomplète ou compromission de sécurité. Il ne peut pas rejeter un portage simplement parce qu'il n'aime pas la concurrence ou le modèle commercial de l'opérateur.
Si aucune objection matérielle n'existe, les dépositaires conviennent d'une heure de basculement, gèlent brièvement le canal de modification concerné, réconcilient l'enveloppe, changent les identifiants, publient l'état du fournisseur autoritaire et rouvrent le service. La source devient en lecture seule pour la relation ou transmet les demandes. La cible reconnaît l'état complet et chaque réserve.
Si une objection existe, l'opérateur ne devrait pas perdre tout service. L'enregistrement passe en garde neutre ou reste au dernier état vérifié pendant qu'un réviseur indépendant décide du point contesté. Les fonctions non affectées continuent. Un litige concernant le paiement, par exemple, ne devrait pas automatiquement devenir un litige concernant l'identité du titulaire ou l'autorisation de route.
Le droit est un droit à un portage coordonné, pas à s'autoproclamer une nouvelle vérité. Les opérateurs acceptent l'authentification commune, la conservation des preuves, le transport des litiges et les contraintes légales. Les fournisseurs acceptent l'exportation, l'audit, la non-représailles et l'obligation de partir lorsqu'ils sont remplacés.
Cette réciprocité transforme la portabilité de rhétorique en infrastructure.
La double exécution devrait comparer les décisions, pas publier deux réponses
Avant que NRS ne devienne autoritaire pour une fonction de production, une période de double exécution devrait comparer comment les deux environnements interprètent les mêmes cas. La source reste finale. La cible traite une copie protégée et enregistre le résultat qu'elle aurait produit.
Les cas de routine testent la compatibilité sémantique: mises à jour de contact, changements de nom d'entreprise, nouveaux facteurs d'authentification, demandes DNS inversé, modifications RPKI et statut de transfert. Les cas historiques testent si la cible peut reconstruire pourquoi l'état actuel existe. Les cas défavorables testent l'autorité contestée, la protection de sécurité urgente, le langage judiciaire ambigu et les enregistrements incomplets.
Les différences devraient être classifiées. Une différence logicielle peut nécessiter une cartographie. Une différence de politique peut nécessiter que la cible applique la règle existante d'AFRINIC pendant le service temporaire. Une différence de preuve peut révéler que la conclusion source ne peut pas être reproduite. Une différence légale peut nécessiter un instrument spécifique. Aucune ne devrait être résolue en faisant silencieusement se comporter la cible comme préféré.
La double exécution mesure également la performance opérationnelle: ordre des événements, latence de mise à jour, succès d'authentification, exhaustivité des journaux, livraison des notifications et restauration après défaillance. Une cible qui copie la base de données finale mais perd les demandes en attente ou l'historique des notifications n'est pas compatible.
La période de comparaison devrait avoir une condition de fin. NRS n'acquiert pas d'autorité simplement en exécutant un miroir assez longtemps. Des auditeurs indépendants certifient des capacités définies; les parties autorisées décident ensuite si une fonction nommée peut être déplacée. Les différences matérielles restent publiques à un niveau agrégé.
La double exécution est coûteuse, mais elle achète des preuves avant que les opérateurs ne supportent le risque. C'est le contraire d'un fork du jour au lendemain.
RDAP et WHOIS sont la surface visible, pas l'ensemble du registre
Les services de consultation publique sont les fonctions les plus faciles à répliquer. Les données des RIR sont déjà interrogées via WHOIS et RDAP, et les enregistrements publics peuvent être mis en miroir pour la résilience. Cela en fait un premier service NRS sensé, à condition que la réponse identifie clairement l'autorité et la fraîcheur.
Une réplique devrait publier le numéro de série source, le temps de l'instantané, le dépositaire autoritaire et tout retard. Elle ne doit pas laisser entendre que NRS a indépendamment validé chaque champ public alors qu'elle ne l'a que copié. Pendant les étapes ultérieures, les réponses devraient montrer le fournisseur actif et le statut de litige borné sans exposer les revendications confidentielles.
Le défi est l'autorité de mise à jour. Une consultation publique peut être lue depuis l'un ou l'autre point de terminaison tandis qu'un seul canal accepte les modifications finales. Si NRS commence à accepter des corrections, l'enveloppe doit montrer qui a authentifié la demande, quelles preuves ont été vérifiées, si AFRINIC a approuvé ou délégué la fonction et quand l'état public est devenu final.
La disponibilité a également besoin de mesure indépendante. La résolution DNS, HTTPS, la réponse RDAP, la réponse WHOIS, la fraîcheur des données et la cohérence devraient être testées depuis plusieurs réseaux. Un fournisseur ne peut pas prétendre à la continuité simplement parce que son propre moniteur voit le service.
La consultation publique est précieuse car elle donne à la transition un bord observable. Les opérateurs et les parties prenantes peuvent comparer les réponses et identifier un état obsolète ou divisé. Elle est insuffisante car le pouvoir dur se cache derrière la réponse: décider qui peut la modifier.
NRS devrait utiliser un service de consultation précoce pour prouver la transparence tout en refusant de confondre visibilité et autorité.
Le DNS inversé nécessite une cérémonie de délégation
Le DNS inversé est souvent traité comme un service de registre secondaire, mais les opérateurs en dépendent pour le courrier, la journalisation, les contrôles de sécurité, le dépannage et les systèmes clients. Sa continuité ne peut pas être déduite d'une base de données copiée.
La transition doit identifier les délégations parentes, les serveurs de noms faisant autorité, l'état DNSSEC le cas échéant, les systèmes de génération de zones, l'autorité du compte, les modifications en attente et le retour d'urgence. Un fournisseur receveur devrait d'abord servir une zone identique en ombre et prouver des réponses cohérentes. Les changements de délégation devraient utiliser un chevauchement planifié afin que les caches et les résolveurs ne rencontrent pas un écart évitable.
Pendant le service limité, NRS peut maintenir la délégation existante tandis que les modifications à fort impact restent à AFRINIC ou à une autorité indépendante. Plus tard, les mises à jour de routine peuvent être déplacées sous double approbation. Un changement contesté ne devrait pas faire disparaître toute la zone inversée. La dernière délégation vérifiée reste à moins que des preuves de sécurité ne nécessitent une protection étroite.
Chaque basculement devrait enregistrer l'état de zone avant et après le changement, les signatures, la mise à jour parente, les observations de propagation et l'autorité de restauration. Les opérateurs devraient recevoir un avis et une fenêtre de test. Les moniteurs externes devraient vérifier la continuité dans toute la région et au-delà.
La cérémonie est importante car le DNS inversé montre comment l'autorité légale atteint les systèmes en fonctionnement. Une ordonnance de préservation d'une ressource peut ou non nécessiter le gel de sa délégation. Un transfert peut nécessiter un mouvement coordonné. Un changement de service de registre ne devrait pas altérer la configuration DNS choisie par l'opérateur simplement parce que le fournisseur a changé.
NRS prouve sa discipline de comptable lorsque les noms continuent de résoudre tandis que le dépositaire devient remplaçable.
RPKI est le service le plus difficile à déplacer en toute sécurité
L'infrastructure de sécurité du routage rend la transition particulièrement sensible. L'aperçu comparatif des services de NRO a montré qu'AFRINIC propose un RPKI hébergé tandis que le service délégué n'était pas disponible de la même manière que dans plusieurs registres pairs. Cela signifie que de nombreux opérateurs concernés dépendent directement des fonctions de certificat et de publication exploitées par le registre plutôt que de contrôler une autorité de certification déléguée qui pourrait se déplacer plus indépendamment.
Une transition doit préserver la validité des certificats, les autorisations d'origine de route, la disponibilité de la publication, l'autorité du compte et l'acceptation par les parties prenantes. Elle doit éviter deux chaînes de certificats incompatibles et éviter un événement de rupture avant la création qui transformerait des routes valides en invalides. La garde des clés, l'autorité d'activation et le pouvoir de révocation nécessitent des cérémonies formelles avec plusieurs entités indépendants.
La première phase devrait répliquer les dépôts et l'état de validation sans émettre de nouveaux objets. La seconde devrait prouver que la cible peut recréer la publication à partir de l'état source signé dans un environnement isolé. La troisième devrait établir un chemin de création avant rupture reconnu par les parties prenantes, avec une heure de basculement précise et une restauration possible. Les autorisations de route existantes devraient persister sauf si le titulaire demande un changement ou une raison de sécurité séparée et prouvée nécessite une action.
NRS devrait faire du RPKI délégué ou portable un objectif de conception à long terme car la substitution du fournisseur est plus facile lorsque les opérateurs contrôlent davantage leur propre fonction de signature. La délégation nécessite toujours un parent reconnu et une publication saine, donc elle n'élimine pas la gouvernance. Elle réduit le nombre de décisions d'opérateur qui doivent être reconstruites lors d'une défaillance du fournisseur.
RPKI a également besoin d'un isolement des recours. Un litige d'adhésion, de facturation ou de politique ne devrait pas révoquer automatiquement l'état de sécurité du routage. Une compromission de sécurité peut justifier une action protectrice immédiate, mais elle devrait préserver les preuves, notifier l'opérateur et recevoir un examen indépendant rapide.
Toute transition qui ne peut pas expliquer sa chaîne de certificats et de révocation n'est pas prête, quelle que soit la complétude de sa base de données publique.
Les transferts et nouvelles allocations devraient venir plus tard
La continuité de l'état existant est plus sûre que la création de nouveaux droits ou la reconnaissance de changements permanents. NRS devrait donc déplacer la consultation, le support d'authentification et la maintenance non destructive avant les transferts, les successions contestées ou les nouvelles allocations.
Un transfert modifie la relation que le registre doit reconnaître. Il nécessite que l'autorité du vendeur, l'autorité de l'acheteur, la ressource et toutes conditions applicables soient vérifiées; les litiges en attente et les contraintes judiciaires doivent voyager; les deux dépositaires doivent convenir quand l'ancien état se termine et quand le nouveau commence. Les transferts inter-RIR ajoutent un autre registre et une interface politique.
Pendant la double exécution, AFRINIC devrait rester final pour les transferts tandis que NRS traite les mêmes preuves en ombre. Les différences révèlent si la cible peut appliquer les règles existantes et préserver la chaîne. L'autorité de transfert limitée de NRS devrait commencer par des cas non contestés et bien documentés sous un mandat explicite et un échantillonnage indépendant.
Les nouvelles allocations à partir de pools IPv6 ou ASN disponibles créent une relation IANA supplémentaire. IANA alloue des pools aux RIR reconnus sous politique globale; un dépositaire NRS ne peut pas simplement puiser dans l'inventaire d'AFRINIC parce qu'il peut exploiter une base de données. L'autorité du pool, les enregistrements d'allocation et la reconnaissance nécessitent un pont formel. Pendant le service temporaire, NRS pourrait traiter ou mettre en œuvre techniquement une décision autorisée par AFRINIC sans revendiquer le pool comme sien.
Cet ordre protège NRS de l'inflation de mission. La continuité commence par maintenir les relations existantes précises utilisables. La politique de distribution et la réallocation permanente impliquent une autorité plus large et ne devraient pas être introduites en contrebande dans un service d'urgence.
Les contrats, frais et responsabilités doivent voyager explicitement
Les opérateurs n'ont pas de relation avec un registre uniquement par les registres publics. Ils ont des accords, un statut d'adhésion, des factures, des attentes de service, des droits de protection des données et des réclamations potentielles. Un portage technique qui laisse ces relations ambiguës générera des litiges au premier événement défavorable.
Pendant le service temporaire, l'instrument devrait préciser si NRS agit pour AFRINIC, comme sous-traitant, comme fournisseur d'urgence indépendant ou sous direction judiciaire. Il devrait identifier qui facture, où l'argent est détenu, quelles conditions s'appliquent, qui reçoit une plainte, quelle loi régit et qui supporte la perte en cas de modification erronée.
Le modèle de service limité le plus sûr est spécifique à une fonction. La relation sous-jacente de l'opérateur avec AFRINIC reste à moins d'être légalement cédée ou novée. NRS ne reçoit que l'autorité nécessaire pour les services nommés, garde les fonds et les données séparés, applique la règle existante lorsque c'est légal et ne peut pas étendre la relation via ses propres conditions d'adhésion. Les opérateurs reçoivent un avis et un énoncé concis de leurs droits.
La succession à long terme peut nécessiter un transfert de contrat ou un nouvel accord. Le consentement devrait être significatif plutôt que fabriqué en menaçant la perte des enregistrements. L'opérateur devrait pouvoir examiner les conditions, préserver les droits existants et contester une enveloppe incorrecte avant que le portage ne devienne final.
La responsabilité devrait suivre le contrôle. Un dépositaire qui authentifie et exécute un changement devrait supporter les conséquences en cas de non-respect des contrôles définis. Un titulaire qui fournit un état incomplet ou faux devrait rester responsable de cette contribution. Un opérateur qui soumet de fausses preuves devrait assumer la responsabilité appropriée. Un examen indépendant peut attribuer la faute sans utiliser l'interruption de service comme levier.
NRS ne peut pas plaider pour la liberté des opérateurs tout en déclinant tout coût de sa propre erreur. Une autorité limitée peut justifier une responsabilité bornée; un pouvoir opérationnel sans recours ne le peut pas.
Les tribunaux et les contraintes légales devraient devenir portables
La crise d'AFRINIC s'est développée dans le cadre du droit mauricien ordinaire. La mise sous séquestre, l'adhésion à l'entreprise, l'autorité du conseil, les comptes bancaires et les litiges n'ont pas disparu parce que l'entreprise exploitait une infrastructure Internet. Une transition NRS doit fonctionner avec l'autorité légale plutôt que de revendiquer un exceptionnalisme technique.
En même temps, une ordonnance judiciaire devrait être traduite avec précision. Empêche-t-elle la cession d'une ressource, le changement de titulaire, le paiement de fonds, l'action d'un administrateur nommé ou l'accès à un système? Exige-t-elle la préservation, la divulgation ou une administration temporaire? Une réponse institutionnelle large peut endommager des opérateurs non concernés même lorsque l'ordonnance est valide.
L'enveloppe de continuité devrait porter la contrainte opérante, le forum émetteur, la date d'effet, l'expiration ou l'état d'examen, les parties et les fonctions exactes concernées. Les documents confidentiels peuvent rester scellés tandis que les dépositaires autorisés reçoivent les instructions nécessaires pour se conformer. Un fournisseur NRS receveur accepte la contrainte dans le cadre du portage. La portabilité n'est pas une échappatoire à la justice.
Des ordonnances contradictoires ou ambiguës nécessitent une préservation neutre. La cible ne devrait pas choisir l'interprétation juridique qui élargit sa propre autorité. Elle préserve le dernier état vérifié, demande des instructions par les parties appropriées et protège les services non affectés. Un conseil indépendant peut conseiller, mais l'action technique finale et sa source devraient être enregistrées.
Les tribunaux bénéficient de l'architecture car ils reçoivent une carte. Ils peuvent distinguer la consultation du registre, le changement de titulaire, le RPKI, le DNS inversé, la facturation et le contrôle d'entreprise plutôt que d'ordonner à un registre Internet vaguement défini de tout faire ou rien faire.
La continuité de NRS est une infrastructure d'état de droit lorsqu'elle rend l'intervention légale plus étroite, plus efficace et moins susceptible d'enrôler les réseaux en fonctionnement dans une affaire d'entreprise.
La protection des données ne devrait pas devenir une excuse pour la captivité institutionnelle
L'enveloppe contient des données sensibles: documents d'identité, autorité d'entreprise, contacts, contrats, état de sécurité, paiements et litiges. Un système portable pourrait créer un nouveau risque de concentration si chaque fournisseur recevait des fichiers complets.
NRS devrait séparer les données de coordination publique, les données opérationnelles restreintes et les preuves confidentielles. Les données publiques soutiennent la consultation et le statut d'autorité. Les données restreintes soutiennent l'authentification et le service. Les preuves confidentielles ne sont divulguées qu'aux réviseurs autorisés, aux tribunaux ou aux dépositaires pour une décision définie.
Des engagements cryptographiques et des attestations signées peuvent montrer qu'un document existait et a été validé sans copier le document complet à chaque nœud. Un dépositaire receveur peut demander un accès ciblé lorsqu'un changement le nécessite. Les journaux d'accès devraient être visibles pour l'opérateur et l'auditeur indépendant. La conservation devrait suivre le but et la détention légale, pas l'appétit institutionnel indéfini.
Les rôles de contrôleur et de sous-traitant de données doivent être explicites à chaque état. Un miroir utilisé uniquement pour la récupération a un but différent d'un service autoritaire. Les opérateurs devraient savoir où les données sont détenues, quelle loi s'applique, comment les corriger et ce qui se passe après le retour. Un dépositaire qui perd son mandat devrait supprimer ou archiver les documents selon la règle de conservation convenue et produire une preuve d'achèvement.
La vie privée ne peut pas justifier une transition opaque. Les résultats de réconciliation agrégés, la performance du service, les raisons des décisions et les défaillances des fournisseurs peuvent être publiés sans exposer les enregistrements personnels. La portabilité ne peut pas non plus justifier une copie non contrôlée. La conception devrait recueillir le minimum de preuves nécessaires pour reproduire l'autorité et divulguer le minimum nécessaire pour décider un cas.
Cet équilibre rend l'enregistrement mobile sans rendre l'opérateur transparent à chaque institution.
L'audit indépendant est une condition de basculement, pas une cérémonie annuelle
L'audit devrait accompagner chaque expansion de l'autorité de NRS. Un rapport d'assurance annuel général ne peut pas répondre si une migration particulière a préservé chaque litige en attente ou si deux états RPKI ont brièvement concouru.
Avant la réplication protégée, les auditeurs testent l'exhaustivité, les signatures, l'accès et la restauration. Avant la double exécution, ils testent la cartographie sémantique et l'ordre des événements. Avant le basculement limité, ils testent le mandat, la notification, les identifiants, la restauration et le caractère définitif d'une source. Avant la succession complète, ils testent le traitement des contrats, la reconnaissance externe, la capacité financière, la sécurité, les exceptions non résolues et la sortie du fournisseur.
Les auditeurs devraient échantillonner les enregistrements difficiles, pas seulement les plus propres. Les lacunes historiques, les fusions, les ressources héritées, les contraintes judiciaires, les comptes suspendus, les contacts contestés et les transferts en attente révèlent si le système préserve l'incertitude. Les opérateurs devraient pouvoir nommer des cas sans donner à l'auditeur un mandat politique.
Le rapport d'assurance devrait indiquer ce qui a été testé, ce qui ne l'a pas été, les taux d'erreur, la gravité non résolue, les actions correctives et l'expiration. Une réussite ne devrait pas être permanente. Les modifications matérielles du logiciel, de la politique, des clés ou des fournisseurs nécessitent des tests renouvelés.
L'indépendance de l'auditeur inclut l'indépendance économique. Le fournisseur receveur ne devrait pas choisir et contrôler le seul évaluateur. Le financement peut provenir d'une réserve de continuité mutualisée avec des règles de nomination et de conflit. Les rapports devraient être disponibles pour AFRINIC, NRS, les opérateurs, les organismes de reconnaissance concernés et les tribunaux compétents au niveau approprié à chacun.
L'audit devient utile lorsqu'il peut arrêter un basculement. S'il ne décrit que les échecs après que l'autorité a été déplacée, c'est de l'histoire plutôt que du contrôle.
L'activation doit être en couches et réversible
Un plan de continuité a besoin de déclencheurs objectifs. La critique institutionnelle, une mauvaise réputation ou un désaccord politique ne devraient pas suffire à activer l'autorité de NRS. Le plan ne devrait pas non plus attendre une panne totale.
Les déclencheurs peuvent être en couches. La perte d'un point de terminaison public active une réplique en lecture seule. La perte de capacité du personnel active un support autorisé. La preuve de compromission des enregistrements gèle les modifications destructrices et commence la réconciliation. L'incapacité à authentifier les mises à jour de routine active une maintenance limitée vérifiée. L'absence d'un décideur légitime préserve l'état contesté et invoque une autorité indépendante. L'incapacité persistante à fournir la fonction peut justifier un substitut limité dans le temps. L'échec permanent nécessite une succession reconnue.
Chaque déclencheur devrait identifier les preuves, le décideur, la portée, l'avis, l'examen et l'expiration. L'acteur décidant de l'activation ne devrait pas être le fournisseur NRS qui gagne des revenus ou de l'influence. Une action d'urgence peut précéder une audience complète, mais l'examen suit rapidement et les fonctions non affectées restent stables.
La réversibilité nécessite un état de restauration, pas seulement des sauvegardes. Chaque modification effectuée par NRS pendant le service devrait être exportée sous forme de delta signé. AFRINIC ou un autre successeur devrait pouvoir reproduire l'état complet actuel. Les dossiers en attente, les avis et les paiements doivent revenir avec. Les identifiants et les clés devraient être transférés par des cérémonies contrôlées, et les accès obsolètes devraient être révoqués.
Le statut temporaire devrait avoir un point de décision dur. Avant l'expiration, les parties autorisées choisissent le retour, une extension justifiée ou une succession formelle. Les extensions répétées ne peuvent pas devenir une autorité permanente par épuisement.
Une conception d'activation est crédible lorsque NRS peut entrer rapidement et partir complètement.
Un chemin pratique en six étapes d'AFRINIC à NRS
La transition peut être énoncée comme une séquence concrète.
L'étape un est la préparation des preuves. Définir l'enveloppe, cartographier les systèmes d'AFRINIC, générer des déclarations d'opérateur signées, vérifier les sauvegardes, classer l'autorité légale et établir un audit indépendant. Aucune autorité publique ne change.
L'étape deux est la réplication protégée. Les dépositaires NRS reçoivent des copies à usage limité, les restaurent dans des environnements isolés et comparent l'état public et privé. Les opérateurs corrigent les écarts via le canal autoritaire d'AFRINIC. La résilience publique en lecture seule peut commencer avec des étiquettes de source claires.
L'étape trois est l'ombre de décision. Les deux systèmes traitent des demandes sélectionnées, mais AFRINIC reste final. Les différences de preuves, de règles, de calendrier et de résultat sont signalées et résolues. Les répétitions RPKI et DNS inversé ont lieu sans autorité de production.
L'étape quatre est le service limité volontaire. Les opérateurs vérifiés peuvent choisir NRS pour des fonctions nommées sous un mandat convenu. Les fonctions de contact et de support de routine se déplacent en premier. Les droits contestés, les nouvelles allocations et les actes irréversibles restent à AFRINIC ou à une autorité indépendante. Un état public reste final.
L'étape cinq est la portabilité fonctionnelle auditée. Les fournisseurs qualifiés peuvent recevoir des relations complètes; le DNS inversé, le RPKI et les transferts ne se déplacent qu'après une assurance spécifique au service. Les opérateurs peuvent revenir ou choisir un autre dépositaire. Les litiges et les contraintes légales suivent l'enregistrement.
L'étape six est l'architecture reconnue à long terme. Si AFRINIC reste capable, il concurrence en tant que dépositaire sous des obligations de portabilité communes. S'il ne peut pas continuer, une décision formelle de reconnaissance et de succession déplace les fonctions restantes. NRS gouverne la norme et la couche d'assurance sans nécessairement exploiter chaque service lui-même.
La séquence permet l'amélioration sans parier l'Internet sur un événement irréversible. Chaque étape a des preuves et un point d'arrêt. NRS grandit en prouvant la portabilité, pas en déclarant une victoire institutionnelle.
Le succès devrait être mesuré à la frontière de l'opérateur
Les jalons institutionnels sont inadéquats. Signer un accord, lancer un portail, nommer un conseil ou terminer une copie de données en dit peu sur le fait qu'un opérateur est resté protégé.
Les mesures principales devraient inclure l'exhaustivité de l'enveloppe; le pourcentage d'enregistrements reproduits indépendamment; les classes d'exception non résolues; le temps d'authentification après le basculement; la cohérence des données publiques; les taux d'erreur et de propagation du DNS inversé; la continuité des objets RPKI; le nombre et la durée des événements invalidants; les demandes en attente préservées; les avis livrés; les contestations résolues; les portages terminés; les restaurations; les modifications non autorisées; l'interruption impactant le client; et le temps pour exporter à nouveau.
Les dénominateurs comptent. Cinq portages échoués sur dix sont différents de cinq sur dix mille. Un faible nombre de plaintes peut indiquer un succès ou de la peur. Les tranches de taille d'opérateur peuvent révéler si les petits réseaux font face à des charges de preuve ou de délai disproportionnées. Les cas contestés devraient être signalés séparément des portages propres.
NRS devrait également mesurer la discipline du fournisseur: délais d'exportation manqués, journaux incomplets, blocages excessifs, conflits, incidents de sécurité, taux de retour et échec à supprimer les accès obsolètes. Un dépositaire qui échoue à plusieurs reprises peut perdre l'accréditation sans menacer la relation de ressource.
Les mesures financières devraient montrer le coût de la continuité minimale, le coût par portage, la réserve mutualisée, le tirage d'urgence, le coût d'audit et la compensation pour erreur du fournisseur. Le système ne devrait pas se financer par des blocages indéfinis ou des frais obligatoires opaques.
Le résultat principal est simple: le réseau a-t-il conservé une relation de registre fiable, unique et correcte tandis que l'institution changeait autour de lui? Tout le reste est une preuve à l'appui.
Le cas positif de NRS est l'administration remplaçable
L'argument le plus fort en faveur de NRS n'est pas qu'il prendra de meilleures décisions que chaque RIR. Toute institution peut commettre des erreurs, être capturée ou exagérer son mandat. L'affirmation plus forte est qu'aucun fournisseur ne devrait être irremplaçable.
La remplaçabilité change les incitations avant qu'un portage n'ait lieu. AFRINIC saurait que la qualité des enregistrements, le service et le recours affectent si les opérateurs restent. Les dépositaires NRS sauraient qu'ils doivent exporter la même enveloppe complète qu'ils ont reçue. Les opérateurs sauraient qu'un désaccord n'a pas besoin de menacer leur identité réseau. Les tribunaux sauraient que la continuité peut être préservée sans maintenir en place un arrangement d'entreprise défaillant pour toujours.
Cela n'abolie pas les règles communes. L'unicité, l'authentification, la précision du registre, les assertions de sécurité, les métadonnées de litige et l'état du fournisseur autoritaire restent communs. Cela supprime les règles dont l'effet principal est la captivité institutionnelle. La couche commune devient plus fine car les fournisseurs peuvent concurrencer sur le service tout en partageant les invariants nécessaires pour un seul Internet.
NRS peut également séparer les rôles que les RIR regroupent souvent. Un organisme de normalisation définit l'enveloppe. Des dépositaires accrédités fournissent le service. Des auditeurs indépendants les testent. Des arbitres décident des portages contestés. Un fonds mutualisé soutient les urgences. Les opérateurs autorisent le mouvement. Les tribunaux conservent le pouvoir légal. L'IANA et les organismes de reconnaissance maintiennent la coordination de haut niveau nécessaire pour la cohérence mondiale.
La séparation n'est pas de la complexité pour elle-même. Elle rend les conflits visibles. Le fournisseur de services ne juge pas son propre refus d'exporter. Le défenseur ne devient pas l'opérateur caché. L'auditeur ne dépend pas d'un seul dépositaire. L'opérateur n'acquiert pas la liberté de forker l'enregistrement.
C'est la continuité comme ingénierie institutionnelle: l'enregistrement survit parce que chaque administrateur peut être remplacé selon des règles que l'administrateur ne contrôle pas seul.
La transition devrait rendre l'échec d'AFRINIC moins existentiel
AFRINIC peut se rétablir et fournir un service compétent pendant des années. La continuité de NRS est toujours précieuse. L'assurance est plus crédible lorsqu'elle est construite avant l'événement assuré, et la portabilité améliore la discipline du titulaire même lorsque les opérateurs restent.
La conception devrait donc éviter un langage triomphal. Elle ne devrait pas exiger un verdict selon lequel chaque acte d'AFRINIC était illégitime. Elle ne devrait pas utiliser la controverse historique pour pré-décider les réclamations actuelles des titulaires. Elle ne devrait pas s'emparer d'une identité régionale. Elle devrait poser une question plus étroite: un opérateur peut-il préserver un enregistrement, une sécurité et un état de délégation précis si le fournisseur ne peut pas ou ne veut pas le servir sous une règle révisable?
Si la réponse devient oui, les litiges de gouvernance d'AFRINIC perdent une partie de leur caractère tout ou rien. Une élection du conseil ne détermine plus si chaque opérateur reste captif. Un tribunal peut isoler une réclamation d'entreprise. Un séquestre peut préserver et restituer le service via une route testée. Un membre peut contester sans menacer les clients. Les institutions externes peuvent soutenir les enregistrements plutôt que défendre l'immortalité institutionnelle.
La transition donne également à AFRINIC un rôle constructif. Il peut aider à définir l'enveloppe, fournir des preuves, participer à la double exécution, conserver le service par la performance et démontrer que son enregistrement est suffisamment solide pour être porté. La coopération ne serait pas une reddition. Elle prouverait la confiance dans la fonction que l'institution existe pour fournir.
L'échec du registre devient gérable lorsque la continuité ne dépend plus de faire semblant que l'échec est impossible. NRS devrait être l'architecture qui rend cette honnêteté sûre.
Sources et limites analytiques
Lacharte de NRSpublique est utilisée pour les principes déclarés de NRS en matière de comptabilité, de liberté des opérateurs, de transparence et de responsabilité. Ce sont des preuves de plaidoyer sur la direction institutionnelle. Elles ne sont pas traitées comme une preuve que NRS exploite actuellement un registre autoritaire, un service de migration, une chaîne de confiance RPKI, une délégation DNS inversée, un tribunal indépendant ou un arrangement successeur reconnu.
L'aperçu desressources numériques de l'IANA, lesdonnées d'allocationet lerapport de reconnaissance d'AFRINIC de 2005, ainsi que laRFC 7020et laRFC 7249, soutiennent le contexte hiérarchique du registre, la fonction de coordination mondiale et la transition historique vers AFRINIC. Ils ne définissent pas le modèle de service-port de NRS proposé.
Lalettre d'ICANN du 7 mars 2025et lalettre du 16 juillet 2025sont utilisées pour les préoccupations attribuées concernant la préservation, les sauvegardes, les enregistrements non publics et le dépôt des données d'enregistrement. Les lettres sont des positions institutionnelles dans un cadre contesté, et non des conclusions que chaque obligation de sauvegarde ou de dépôt a été violée.
Lemémorandum du NRO, leFonds conjoint de stabilité des RIR, lemessage de 2022 à la communauté AFRINIC, lesprocédures d'évaluation ICP-2 de 2024et leprojet de document de gouvernance des RIR, version 2soutiennent le contexte existant d'entraide, d'évaluation et de continuité proposé. Le texte du projet n'est pas traité comme une autorité adoptée.
L'aperçu comparatif des services RPKI du NROsoutient les différences indiquées entre le service hébergé d'AFRINIC et les fonctionnalités déléguées ou de transition signalées pour d'autres RIR. Il ne prouve pas que l'arrangement de création avant rupture proposé est actuellement disponible pour les titulaires d'AFRINIC.
Aucun export complet du registre AFRINIC, fichier client privé, inventaire de clés RPKI, historique des modifications DNS inversé, accord de dépôt, mise en œuvre technique de NRS, contrat de portage d'opérateur, rapport de conformité indépendant ou décision de reconnaissance n'était disponible dans les archives publiques examinées. L'enveloppe de continuité, la machine d'état, le chemin en six étapes et les métriques sont une conception prospective.
Ils n'affirment pas qu'un transfert vers NRS est actuellement autorisé ou techniquement prêt, et ils ne recommandent pas une activation sans autorité légale valide, assurance indépendante et un état autoritaire clairement reconnu.

