概況

  • ポータブル登録は、認定ホルダーにサービスを提供する認定プロバイダを変更するものであり、ホルダー、リソース、割り当て履歴、ルーティングポリシーを変更するものではない。ホルダー identity も変更される場合は、両方の変更が近接して予定されている場合でも、別個の取引であり、別個の権限と証拠が必要である。
  • 7つのステップは、リクエスト、検証、通知、並行運用、カットオーバー、証明、紛争分離である。各ステップには、バージョンにバインドされた入力、責任のある役割、期限、署名された結果、定義された失敗状態があり、独立したレビュー担当者が、単一のプロバイダの説明に依存することなく、切り替えを再構築できる。
  • 獲得プロバイダはホルダーを認証し、リクエストを組み立てる。独立した調整機能が、現在の状態、プロバイダの資格、権限、範囲、保留を検証する。喪失プロバイダは通知を受け取り、公開され証拠に基づく理由のみで異議を唱えることができる。沈黙や無関係な料金紛争は永久的な拒否権にはならない。
  • 並行運用では、2つの現在の権限を作成せずに、レコード、連絡先、監視、依存サービスの準備を行う。旧プロバイダはカットオーバーまで現在の行為を実行できる。新プロバイダは変更を検証しステージングできるが、コミットはできない。ミラー観測は許可される。二重管理は許可されない。
  • カットオーバーは、同じリソースバージョンに対して新プロバイダをアクティブにし、旧プロバイダの現在の権限を廃止する、1つの順序付けられたイベントである。RDAP ディスカバリ、逆引き DNS、RPKI 構成、リカバリチャネル、緊急連絡先には、1つのレジストラポインタがすべてを安全に変更するという想定ではなく、明示的な継続性の選択が必要である。
  • 証明は、独立して検証可能な領収書、変更前後の状態、依存関係チェック、ホルダーおよび両プロバイダへの通知で構成される。何が変更され、何が変更されなかったかを確立する必要があるが、保護された認証証拠は機密のままである。
  • 紛争分離は、1つの紛争リソース、プロバイダ、または依存サービスが、クリーンな切り替えを凍結したり、権限を分岐させることを防ぐ。異議申し立ては、狭い保留、保存された証拠、理由のあるレビュー、制限された救済を受ける。紛争のないポートフォリオと1つの現在状態ルールは継続される。

ポータビリティには原則だけでなく手順が必要

機関は、退去の権利を宣言しながら、退去を非実用的にすることができる。現在のプロバイダは、資格情報、証拠、プライベート連絡先、依存サービスを管理する可能性がある。そのスタッフは、すべてのリクエストを例外として扱うかもしれない。受け入れプロバイダは、どのレコードが信頼できるかわからない場合がある。共通のコーディネータは、その決定シーケンスを公開せずに指示を受け入れるかもしれない。その環境では、ポータビリティは政策上存在し、実践上失敗する。

反対の誤りは、切り替えを1つのデータベースフィールドに縮小することである。番号登録は、異なる意味とクロックを持ついくつかのシステムの横に位置する。RDAP はユーザーが登録情報を発見するのに役立つ。逆引き DNS はアドレス空間の下で委任を委譲する。RPKI は署名付きルーティング認証をサポートする。ルーティング自体はネットワークの決定である。プロバイダ変更は、サービス構成に応じて、これらの一部、すべて、またはなしに影響を与える可能性がある。

したがって、真剣な手順は、狭くかつ完全でなければならない。狭いとは、基本行為が登録サービスプロバイダのみを変更することを意味する。完全とは、すべての依存関係が棚卸しされ、明示的な移行決定が与えられることを意味する。ホルダーは、カットオーバー後に、旧プロバイダがアカウントリカバリチャネルを保持していたり、ホストされた RPKI 構成が公開を停止したことを発見するべきではない。

リプレイ可能性がテストである。独立したレビュー担当者は、保存されたリクエスト、現在の状態参照、検証結果、通知、ステージングされた依存関係計画、カットオーバー領収書、後続の異議申し立てを取り、各状態が受け入れられた理由を再現できるべきである。説明が文書化されていないスタッフの記憶に依存する場合、切り替えの権利は裁量的なままである。

不変条件は、1つのホルダー、1つのリソース状態、1つの現在のプロバイダ

7つのステップは不変条件から始まる。受け入れられたバージョンにおける各対象リソースについて、1つの認識されたホルダーと1つの現在の登録サービスプロバイダが存在する。過去のプロバイダは可視のままである。提案されたプロバイダは準備できる。証人はレプリカを保持できる。いずれも、同等に信頼できるものとして競合する現在の回答を公開してはならない。

この原則は、RFC 7020で文書化された一意性の懸念に従う。グローバルに調整された IP アドレス空間と自律システム番号は、異なる機関が同じリソースを互換性なく割り当てたり認識したりできる場合、運用上の意味を失う。競争は、矛盾する現在の状態ではなく、サービスの周りで発生するべきである。

不変条件は、1つの中央企業や1つのマシンを必要としない。独立したバリデーターが移行を目撃でき、複数のサイトが受け入れられたレコードを提供できる。重要なのは、順序付けられた収束である。リクエストは現在のバージョンを参照する。成功したカットオーバーはそのバージョンを消費し、1つの後継を作成する。古いまたは競合するリクエストは、ブランチを作成する代わりに安全に失敗する。

不変条件はまた、並行運用を明確にする。両方のプロバイダがデータを所有し、テスト結果を観察できる。カットオーバー前は、1つのプロバイダのみが通常の変更を提出する現在の権限を持ち、カットオーバー後はもう1つだけがその権限を持つ。準備は重複できるが、権限のある制御は重複できない。この境界は、サービス移行を、一般が信頼するべきプロバイダのレコードをめぐる競争に変えることなく、継続性を可能にする。

プロバイダ切り替えはホルダー移転から分離されなければならない

サービス切り替えは、認識されたホルダーを変更しないままにする。法的名称、ホルダー参照、リソースセット、割り当て履歴、既存の制限、未解決の紛争は継続する。受け入れプロバイダは、将来の登録サービスの責任を引き受ける。リソースを取得したり、新しい割り当てが行われているかのようにホルダーの適格性を再開したりしない。

ホルダー移転は、認識された個人または組織を変更する。売却、合併、破産、継承、またはポリシーベースの移転から生じる可能性がある。その行為には、現在のホルダーと提案されたホルダーからの証拠、該当する場合の実質的な適格性レビュー、および関連する権利と制限の処理が必要である。ポータビリティの内部に隠すと、セキュリティと市場の説明責任の両方が弱まる。

リクエストは、不変のフィールドを明示的に述べなければならない。ホルダーが変更されていないこと、正確なリソースをリストし、現在のプロバイダを特定し、提案されたプロバイダを指名する。ホルダーの法的アイデンティティが合併や変換を通じて変更された場合、リクエストは以前に受け入れられた継続性の決定を引用するか、最初にホルダー変更手順を開始する。

2つの取引は、統合されることなく調整できる。買収される企業は、完了時にプロバイダを変更したい場合がある。ホルダー変更決定は条件付きにでき、プロバイダ切り替えは直後にスケジュールできる。それぞれに独自の承認、証拠、結果がある。買収が失敗した場合、ホルダーは旧プロバイダを離れる独立した権利を保持できる。プロバイダ切り替えが失敗した場合、買収が誤って無効として扱われることはない。

6つの役割が責任を可視化する

ホルダーは切り替えを開始し、承認する。その代表者は、対象リソースと要求された結果に対する権限を持たなければならない。獲得プロバイダはホルダーを認証し、提出物を組み立て、サービスの準備状況を検証し、将来の義務を引き受ける。

喪失プロバイダは現在のサービスを維持し、必要なエクスポートを提供し、独立した通知を送信し、有効な異議を特定し、カットオーバー時に権限を廃止する。獲得プロバイダの商業的メリットを判断したり、無関係の債務を一般的な拒否権として使用したりしない。

調整機能は、現在のバージョン、プロバイダの資格、承認結果、保留、タイミング、依存関係宣言をチェックする。1つの順序付けられたプロバイダ置換をコミットする。依存関係オペレーターは、RDAP 公開、逆引き DNS、RPKI ホスティング、監視、または基本登録とともに移動する場合としない場合があるその他のサービスを管理する。

独立レビュー担当者は、争われた検証、無効な異議、無許可のカットオーバー、継続性の失敗を調査する。保存された証拠へのアクセスと、狭い復元、修正、補償を命令する権限が必要であるが、日常的なオペレーターにならない。

1つの組織が複数の役割を実行できるが、各行為はそれを承認した役割の下でログに記録されるべきである。ソサエティが調整とレビューの両方を行う場合、内部の分離だけでは影響の大きい紛争には十分ではない。外部のレビューパスが必要である。役割の明確さは、すべての失敗が抽象的な「システム」に割り当てられることを防ぎ、現在のプロバイダがその顧客関係が共通の状態に対する権限を与えると主張することを防ぐ。

リプレイ可能な移行には小さな共通記録がある

すべての切り替えには、耐久性のある移行記録が必要である。リソースセット、認識されたホルダー、新旧プロバイダ、参照された現在のバージョン、要求された日付、権限クラス、依存関係計画、該当する保留、通知、決定、結果のバージョンを識別する。各イベントは、責任のある役割、時間、結果、証拠参照を記録する。

記録には、不必要な個人証拠を公開せずに決定を再現するのに十分な情報が含まれているべきである。レビュー担当者は、資格のある検証者が述べられた保証レベルでホルダー権限を確認したこと、およびその確認が異議申し立てられた場合に保護された証拠を管理されたアクセス下で検査できることを確認できる。一般の観測者は、切り替えステータスとイベント時間を必要とし、アイデンティティ画像やプライベート契約は必要ない。

状態語彙は有限であるべきである:要求済み、検証保留中、検証済み、通知オープン、並行準備中、準備完了、カットオーバーコミット済み、証明完了、紛争中、分離済み、クローズ。失敗状態は、リソースをあいまいな一般キューに戻すのではなく、失敗したステップを特定すべきである。欠落した逆引き DNS テストは、失敗したホルダー認証とは異なる。

バージョンバインディングは、リプレイ攻撃と偶発的な重複を防ぐ。検証後に連絡先、保留、ホルダーレコードが変更された場合、調整機能は新しい状態をリクエストと比較する。重要な変更は、移行を関連するステップに戻す。重要でない更新は、すべてを再起動せずに記録できる。理由は可視でなければならず、プロバイダが不便な変更を選択的に重要と呼べないようにする。

ステップ1:リクエスト

ホルダーは、現職と交渉して解放を得るのではなく、獲得プロバイダから開始する。これにより、キャプティビティが減少し、ビジネスを求めるプロバイダに完全なリクエストを組み立てる責任が与えられる。ホルダーは、正確なリソース、現在のプロバイダ、希望する切り替え日、代表者、希望する通知チャネル、および旧プロバイダによって供給されることが知られているすべての依存サービスを特定する。

リクエストは、何が変更されないかを宣言する:認識されたホルダー、リソース範囲、割り当て履歴、既存の紛争制限。また、請求、管理 RPKI、逆引き DNS、RDAP プレゼンテーション、悪用連絡先、委任管理、監視、リカバリ構成が移動すべきか、残るべきか、終了すべきかを宣言する。未知の依存関係は、黙示的に存在しないと想定されるのではなく、発見のためにマークされる。

獲得プロバイダは、移行参照、正規化されたリソースリスト、現在の状態バージョン、有効期限を含む署名付き領収書を返す。ホルダーは、認証証拠が提出される前に省略を検出できる。同じリソースとバージョンに対する重複リクエストはリンクされ、獲得プロバイダ間で競争する競争を作成しない。

リクエストは、通知と保存の対象となるが、カットオーバーコミットまで撤回できる。撤回は、実際に発生した開示されたコストを超えて、ホルダーが旧プロバイダからのペナルティにさらされるべきではない。有効期限または重要なホルダー変更後は、新しいリクエストが必要である。これにより、代表者や企業支配が変更された数ヶ月後に古い承認が使用されることを防ぐ。

ステップ2:検証

獲得プロバイダは、リクエスターが現在のホルダーを代表し、リストされたリソースの登録サービスを変更する権限があることを検証する。ホルダーの現在の支配権主張、代表者の権限、独立した連絡先確認、影響の大きいリソースに対する強化要件をチェックする。アカウントへの認証は証拠であるが、決定全体ではない。

調整機能は、現在の状態を別途検証する。ホルダーとリソースセットが信頼できるレコードと一致すること、旧プロバイダが現在であること、新プロバイダがサービスクラスの資格があること、リクエストバージョンが新鮮なままであること、互換性のない保留が存在しないことを確認する。この2番目のチェックは、獲得プロバイダが独自の商業的結論を共通の権限として検証することを防ぐ。

検証は、隠れた拒否権を作成できる依存関係を特定すべきである。旧プロバイダが RPKI をホストしている場合、逆委任を制御している場合、または唯一のリカバリ連絡先を保持している場合、移行計画は準備前にそれぞれに対処しなければならない。現職がバンドルしたという理由だけで、サービスは分離不可能として扱われない。ホルダーは、公開された技術的制約の下で継続性のオプションを選択する。

結果は、範囲、保証、証拠日付、例外、有効期限を含む署名付き検証ステートメントである。失敗には理由がある:間違ったホルダー、不十分な権限、リソース不一致、資格のないプロバイダ、アクティブな保留、古い状態、未解決の依存関係。ホルダーは証拠を修正するか、レビューを求めることができる。検証者は、ホルダーがどの事実が失敗したかを推測せざるを得ない説明のない拒否を返してはならない。

ステップ3:通知

検証後、調整機能は少なくとも2つの独立した経路で通知を送信する:ホルダーの保護された連絡先と喪失プロバイダの指定された移行連絡先。獲得プロバイダも同じイベントを受け取る。通知は、リソース、変更されないホルダー、提案されたプロバイダ、スケジュールされたウィンドウ、異議の期限、保護された異議申し立て経路を特定する。

喪失プロバイダは、証拠に裏付けられた公開された理由に基づいてのみ異議を唱えることができる。有効な理由には、信頼できる無許可のリクエスト、ホルダー identity の不一致、拘束力のある裁判所またはレビュー保留、定義された権限の下での現在の詐欺調査、またはホルダーの制御外のリソースが含まれる。競争への不満、バンドルされたサービスの喪失、通常の契約債務、または別のプロバイダの優先は、基本切り替えをブロックすべきではない。

沈黙には定義された結果がある。必要な通知が配信され、異議期間が経過した後、移行は継続される。現職の不作為は永久的な拒否権にならない。同時に、通知は、侵害されたアカウントが独立した連絡先が応答する前にポートフォリオを移動できるほど短くすべきではない。タイミングはリスクを反映すべきであり、盗難の強力な証拠に対する緊急リカバリがある。

ホルダーは、許可されたウィンドウ内で後日のカットオーバー日を選択できる。公共部門と重要なネットワークは、メンテナンス調整が必要な場合がある。有効な異議は自動的にメリットを決定するものではなく、影響を受けるリソースを紛争分離に移動し、クリーンなリソースは進行する。したがって、通知はセキュリティ制御であり、紛争を含む分岐点でもある。

ステップ4:並行運用

並行運用は、旧プロバイダが現在のままで新しいサービスを準備する。獲得プロバイダは、許可された登録データをインポートし、連絡先を構成し、リソース範囲を検証し、監視をステージングし、変更を提出する能力をテストする。依存関係オペレーターは、代替または継続的な取り決めを準備する。ホルダーは、古い状態と提案された状態の比較をレビューする。

この段階では、二重書き込み権限を禁止しなければならない。新プロバイダは、現在のホルダー、連絡先、移転、セキュリティ変更をコミットできない。非権威的な状態で動作し、提案された差異を記録する。旧プロバイダは現在の義務を継続し、検証済みの切り替えが保留中であるという理由だけでサービスを低下させてはならない。

読み取り専用の比較は価値がある。両方のプロバイダは、カットオーバー後の RDAP 結果を計算し、すべてのプレフィックスと自律システム番号が存在することを確認し、通知連絡先を確認し、応答エンドポイントをテストできる。独立した観測者は、状態ダイジェストを比較できる。差異は、意図されたもの、無害なフォーマット、欠落データ、ブロッキング競合として分類される。

並行時間は制限されるべきである。最小限は意味のあるチェックを可能にし、最大限は旧プロバイダが無限の準備要求を通じて依存を延長することを防ぐ。単純なポートフォリオは数時間で済む場合がある。複雑な公共ネットワークは数日またはスケジュールされたメンテナンス期間が必要な場合がある。標準はクラスを設定し、正当なバリエーションを許可すべきである。

出力は、獲得プロバイダによって署名され、ホルダーによって承認され、調整によってチェックされた準備状況ステートメントである。未解決の非ブロッキング問題と正確なカットオーバー計画をリストする。準備が失敗した場合、古いサービスは継続し、移行は検証済みの履歴を失うことなく、失敗した準備タスクに戻る。

ステップ5:カットオーバー

カットオーバーは、検証された現在のバージョンに対する1つの順序付けられたコミットである。調整機能は、通知期間が閉じたこと、新しい互換性のない保留が存在しないこと、準備状況が有効なままであること、スケジュールされた時間が来たことをチェックする。その後、同じ受け入れられたイベントで、獲得プロバイダの現在の権限をアクティブにし、喪失プロバイダの権限を廃止する。

どちらのプロバイダも緊急サービスを実行できないギャップや、両方がコミットできるオーバーラップがあってはならない。分散バリデーターはイベントを目撃または共同署名できるが、1つのシーケンスを受け入れる。旧プロバイダからの遅れた競合する指示は、置き換えられたバージョンに対して失敗する。新プロバイダからの事前提出された指示は、コミット前に有効にならない。

カットオーバーは、リクエストによって承認されたフィールドのみを変更すべきである。プロバイダ参照、プロバイダスコープのリカバリキー、選択されたサービスエンドポイントは変更される可能性がある。ホルダー identity、リソース範囲、割り当て履歴、既存の制限、無関係の連絡先は、別の承認された変更が指示しない限り変更されない。前後の比較により、無許可の追加が可視になる。

コミットがアトミックな権限を達成できない場合、どちらのプロバイダ状態も変更される前にクローズドで失敗する。リカバリは、最初に応答するプロバイダによる即興の選択ではなく、最後に受け入れられた現在のバージョンを使用すべきである。大規模なポートフォリオの場合、リソースは宣言されたグループに分割でき、それぞれが独自のコミットを持ち、1つの不正なレコードが全か無かの地域イベントを作成しない。

ステップ6:証明

完了には、獲得プロバイダからの成功メッセージ以上のものが必要である。調整機能は、以前と新しいバージョン、正確なリソース、新旧プロバイダ、カットオーバー時間、変更されていないホルダー、依存関係イベントを特定する署名付き領収書を発行する。独立した証人は、受け入れられたシーケンスの検証可能な確認を公開または保持する。

ホルダーは、人間が読める比較と機械検証可能な領収書を受け取る。喪失プロバイダは、その現在の権限が終了したことの証明と、証拠保持や最終エクスポートなどの継続的な義務のリストを受け取る。獲得プロバイダは、その権限が開始したことの証明を受け取る。公開登録は、現在のプロバイダとサービスに適したイベント履歴を示す。

依存関係の証明は明示的である。RDAP クエリは、権威あるディスカバリを通じてテストされる。逆引き DNS 委任は、関連する公開ポイントからチェックされる。RPKI 公開と依拠当事者の可視性は、選択された継続性計画に従って観測される。リカバリ連絡先は、承認されたチャネルを通じてチャレンジされる。ルーティング観測は運用継続性を示すことができるが、登録コミットが有効であると宣言するために必須ではない。

証明には時間枠がある。なぜなら、分散キャッシュとリポジトリは瞬時に変更されないからである。領収書は「コミット受け入れ」と「すべての観測完了」を区別する。遅延観測は、修復タスクと、リスクが必要とする場合の対象を絞ったセーフガードを作成する。旧プロバイダが一方的に現在の権限を復活させることは許可されない。

ステップ7:紛争分離

切り替え中または後の紛争は、リソース、問題、権限によって分離されるべきである。ポートフォリオ内の1つのプレフィックスが裁判所の保留の対象である場合、そのプレフィックスは現在のプロバイダに留まり、無関係のプレフィックスは進行できる。逆引き DNS のみが失敗した場合、登録プロバイダのコミットを自動的に元に戻す必要はない。ホルダー権限が信頼できる形で異議申し立てられた場合、高い影響力の行動は保留できるが、通常の継続性は維持される。

分離は、関連するリクエスト、証拠、通知、状態バージョン、依存関係観測を保存することから始まる。レビュー担当者は、争われた命題を特定する:ホルダー identity、代表者の権限、プロバイダの資格、通知配信、カットオーバーの順序、サービス継続性。救済はその命題を対象とする。

無許可の切り替えは、イベントが発生しなかったかのように歴史を書き換えるのではなく、新しい順序付けられたコミットを通じて以前のプロバイダを復元する正当化がある。プロバイダエラーは、修正と補償を必要とする場合がある。通知の欠陥は、明らかに承認されたホルダーを妨げることなく、再確認を必要とする場合がある。依存サービスの停止は、登録権限が新プロバイダに留まる間、一時的な技術的復元を必要とする場合がある。

紛争記録は、競合する公開状態を作成してはならない。「紛争中」マーカーは、依拠当事者に警告できるが、1つの現在のプロバイダが特定されたままである。レビュー期限、暫定保護、理由のある決定、上訴は、一時的な保留が静かな永久的なキャプティビティになることを防ぐ。他のクリーンな移行は継続する。分離により、適正手続きと運用継続性が共存できる。

ドメイン移転は、獲得と喪失の役割がなぜ異なるかを示す

ICANN のTransfer Policyは、有用な制度的比較を提供する。獲得レジストラ、記録レジストラ、レジストリオペレーターを区別し、承認義務を割り当て、拒否の理由を制限し、通知を要求し、紛争ルートを提供する。このポリシーは進化しており、ドメイン名に固有であるが、その役割の分離は、プロバイダの選択が競合する権威あるレジストリを必要としないことを示している。

番号リソースは実質的に異なる。ドメイン移転は、レジストリの下の1つの名前のスポンサーシップを変更する。IP プレフィックスまたは自律システム番号は、逆委任、RPKI オブジェクト、公開ルーティング観測、サブ委任、希少性に敏感な市場関係を持つ場合がある。番号ホルダーはまた、多くの運用ユニットにまたがるポートフォリオを持つ場合がある。

したがって、教訓は手続き的であり、文字通りのものではない。獲得プロバイダは、完全なリクエストを認証し提出する負担を負うべきである。喪失プロバイダは通知を受け取り、制限された異議を持つべきである。共通の権限がプロバイダ置換を実行すべきである。証拠は紛争のために保持されるべきである。無関係の料金の不一致は、退出の一般的なロックになるべきではない。

ドメインの経験はまた、資格情報だけが承認ではないことを示している。移転コードはリクエストを登録に接続できるが、ホルダーの確認とポリシーチェックは依然として必要である。番号ポータビリティは、秘密の所有が現在の企業権限を証明するふりをすることなく、強力でリソース固有の資格情報を使用すべきである。

モバイル番号ポータビリティは、顧客主導の開始の価値を示す

Ofcom の現在の消費者ガイダンスは、モバイル顧客が切り替えコードを取得して新しいプロバイダに与えることができ、新しいプロバイダが現在のプロバイダに通知することを説明している。番号は通常、1営業日以内にポーティングされるべきである。このフレームワークはまた、二重請求と遅延に対する補償に対処している。これは、インターネット番号リソースの法的地位のモデルではないが、明確な顧客行動、受け入れプロバイダの責任、測定可能な完了時間の価値を示している。

最も強い比較は、移動の方向である。顧客は、離れたいプロバイダに全体の切り替えを管理するよう依頼するのではなく、希望するプロバイダにアプローチする。コードは、受け入れプロバイダにポータブルな参照を与える。プロバイダは共通のルールの下で調整する。顧客は識別子を保持する。

番号登録は、一部の変更に対してより多くの証拠と長いリスククラスを必要とするが、同じ制度的規律を維持すべきである。ホルダーは獲得プロバイダから開始する。旧プロバイダは必要な継続性を提供し、定義されたセキュリティ異議を提起できる。競争が許可されるかどうかを制御しない。

補償も重要である。不当な遅延に対する結果のない権利は名目上のものになる可能性がある。サービス基準は、プロバイダ起因の遅延に対する自動的な料金救済または定義された補償を提供し、同時に高い影響力の制御失敗に対する救済を別途保存すべきである。スピードは決して弱い承認を許すべきではないが、「セキュリティレビュー」は終わりのない測定されていないカテゴリーになるべきではない。

当座預金切り替えは、リダイレクトと保証がなぜ重要かを示す

英国の Current Account Switch Service は、7営業日の切り替え、顧客選択のタイミング、特定の損失に対する保証、旧口座に送信された支払いのリダイレクトで導入された。銀行業務は番号登録ではなく、金融移転には異なる法律とリスクがある。比較が有用なのは、切り替えを二国間のキャンセルではなく継続性インフラとして扱うからである。

支払いリダイレクトに相当するのは、ルートリダイレクトではない。ネットワーク(レジストラではなく)がパケットの経路を決定する。移転可能な教訓は、古い取引先と遅延更新を予測すべきであることである。旧プロバイダ、廃止された連絡先チャネル、または以前のサービスエンドポイントに宛てられた通知は、制限された期間、転送されるか、署名付き紹介で回答される。

保証の教訓も制度的である。ホルダーは、プロバイダが共通の手順を実行しないことによって引き起こされるすべてのコストを負担すべきではない。定義されたサービス credit、修正義務、無許可変更に対する高い責任は、準備状況を維持するインセンティブを作成する。保証は、制御可能な害に一致するべきであり、リモートネットワークが損失を被ることは決してないと約束するべきではない。

最後に、顧客選択のタイミングは、公共部門と重要なネットワークにとって重要である。ホルダーは、財政的な締め切り、選挙期間、公共サービスのピーク、計画されたインフラ変更を避けることができる。ポータビリティは、検証後にカットオーバーウィンドウの制限された選択を提供すべきであり、すべてのホルダーを最初に利用可能な自動スロットに強制するべきではない。

RDAP 継続性には、ディスカバリ、コンテンツ、履歴チェックが必要

RDAP ポータビリティには3つの層がある。第一に、クライアントは該当するディスカバリ構成を通じて権威あるサービスに到達しなければならない。第二に、新しい応答には正確なホルダー、ネットワーク、自律システム、連絡先、ステータス、通知、イベント情報が含まれていなければならない。第三に、履歴は新しいリソース identity を発明することなく、プロバイダ移行を説明しなければならない。

RFC 9083は、構造化エンティティ、役割、イベント、通知、備考、ステータスをサポートする。したがって、切り替えは、ホルダーとリソースオブジェクトが継続する間、サービスイベントとして表現できる。獲得プロバイダはプレゼンテーションを改善できるが、共通のセマンティクスは存続しなければならない。

並行準備は、古い公開応答と提案された応答をフィールドごとに比較すべきである。意図されたプライバシーの違い、ローカライズされたプレゼンテーション、プロバイダ連絡先は承認できる。欠落したリソース範囲、変更されたホルダー名、失われた通知、削除されたステータス制約は、準備状況をブロックすべきである。証明は、新プロバイダによって提供されたプライベートエンドポイントのみではなく、通常のディスカバリを通じてクエリすべきである。

キャッシングと分散観測には忍耐が必要である。正しい権威ある変更がどこにでも即座に現れるとは限らない。手順は期待されるウィンドウを定義し、キャッシュ遅延と間違った紹介を区別すべきである。古いサービスは、カットオーバー後に制限された紹介を返すことができるが、それ自体を同様に現在の権限として提示し続けてはならない。

逆引き DNS は明示的なオプションの下でのみ移動すべき

逆引き DNS は運用上重要であるが、概念的に登録プロバイダから分離されている。一部のホルダーは既存のネームサーバーを維持する場合がある。他のホルダーはプロバイダホストサービスを使用し、移行が必要な場合がある。さらに他のホルダーは部分を顧客に委任する場合がある。基本プロバイダ切り替えは、黙示的に委任を書き換えるべきではない。

リクエストは、現在の構成をリストし、保持、移行、または後日の別個の変更を選択する。保持とは、獲得プロバイダが古い商業関係が終了した後も委任が継続できることを検証することを意味する。移行とは、新しい権威あるサーバーが準備され、ゾーンデータが検証され、TTL 計画が考慮され、委任変更が承認されることを意味する。別個とは、保護された後日のタスクが DNS を処理する間に切り替えが完了することを意味する。

並行運用は、新しいサーバーをテストし、それらを権威あるものにせずに応答を比較できる。カットオーバーは、ホルダーが移行を選択した場合に委任イベントを調整できるが、イベントは別途可視のままである。証明は、複数の公開視点から委任をチェックし、期待されるレコードを検証する。

失敗の分離は重要である。逆引き DNS エラーは、技術的復元または修正をトリガーすべきであり、2つの登録プロバイダを作成すべきではない。旧プロバイダは、特に以前のホスティングを唯一制御していた場合、合意された移行中にサービスを保存する制限された義務を持つ場合がある。その義務は、ホルダーが退出をリクエストする前に価格設定され開示されるべきであり、後でレバレッジとして即興されるべきではない。

RPKI 継続性には別個の権限計画が必要

RPKI は、署名付きオブジェクトが依拠ネットワークによるルートオリジン検証に影響を与える可能性があるため、最もセキュリティに敏感な依存関係である。RFC 6480は、リソース公開鍵基盤、署名付きルーティングオブジェクト、分散リポジトリを説明している。RFC 9582は、現在の Route Origin Authorization プロファイルを指定している。登録プロバイダ切り替えは、それらのオブジェクトの意味とタイミングを尊重しなければならない。

ホルダーが独自の認証局を運用する場合、基本登録切り替えはキーまたはオブジェクトの変更を必要としない場合がある。手順は、プロバイダ移行が証明書が依存する割り当て関係を中断しないことを検証すべきである。旧プロバイダが RPKI をホストする場合、ホルダーは制限された期間の継続ホスティング、別のホストへの移転、または承認されたセレモニーの下でのホルダー管理権限への移行を選択しなければならない。

並行運用は、キー、リポジトリ、意図された ROA を準備できるが、準備状況をテストするためだけに矛盾する現在の承認を公開してはならない。カットオーバーの順序は、証明書発行、失効、リポジトリ可用性、マニフェスト、依拠当事者の観測を考慮すべきである。単純化された即時失効は、回避可能な無効状態を作成する可能性がある。

証明は、適切な期間にわたって独立した依拠当事者のビューを通じて結果のオブジェクトを観測すべきである。意図されたプレフィックスとオリジン承認を比較すべきであり、リポジトリ URL が応答することを確認するだけではない。観測が失敗した場合、応答は RPKI 計画に従う。旧レジストラが主張によって登録全体を取り戻すことは許可されない。

公共部門のポートフォリオには分割と継続性ウィンドウが必要

公共団体は、病院、学校、緊急通信、税システム、交通、選挙、または自治体サービスをサポートするリソースを保有することが多い。また、プロバイダ変更を必要とする調達期限に直面する場合がある。継続性を退出を禁止する理由として扱うと、弱いサプライヤーを固定化する。ポートフォリオを通常の小規模切り替えとして扱うと、重要なサービスを危険にさらす可能性がある。

7ステップ手順は中間コースをサポートする。ホルダーはサービスを棚卸しし、結果によってリソースグループを割り当てる。低リスクブロックは最初に移動できる。共有依存関係が特定される。リハーサルは、エクスポート、通知、リカバリ、観測をテストする。高影響グループは、スケジュールされたウィンドウ、追加の証人、事前承認された復元アクションを受け取る。

分割は、運用上の境界に従うべきであり、政治的な都合ではない。1つの不正なレガシーレコードが、何千もの無関係のリソースを無期限に保持すべきではない。同時に、共通の RPKI または逆引き DNS 依存関係は、一貫性のあるグループを一緒に移動することを正当化する場合がある。準備状況ステートメントは選択を説明する。

公的説明責任はまた、請負業者の変更を生き残る記録を必要とする。権限連絡先、移行領収書、依存関係計画は、公共団体またはその責任のある管理者に属し、単に出ていくサプライヤーのサポートアカウントだけには属さない。調達条件は、サービスの初日から共通のポータビリティ手順との協力を要求すべきである。証拠と資格情報が移動するように設計されていた場合、退出はより安価で安全である。

大規模ポートフォリオ切り替えは、モノリシックではなく直列化可能であるべき

プロバイダの障害や大規模調達は、数千のリソースを移動する必要がある場合がある。1つの巨大なコミットは相関リスクを作成する。数千の無関係な手動トランザクションは遅延と一貫性のない決定を作成する。答えは、リソースレベルの権限と分割コミットを持つ宣言されたバッチである。

リクエストは、リソースのマニフェストを含み、ホルダー、依存関係、カットオーバーウィンドウによってグループ化する。検証は、すべてのリソースを現在の状態に対してチェックしながら、共通の企業権限を再利用できる。通知は全体の範囲を特定し、特定のリソースに対する異議を許可する。クリーングループは、争われたアイテムが分離されている間に並行準備に入る。

各カットオーバーグループは、共通のバッチ参照と独自のバージョンセットに対してコミットする。失敗はそのグループを停止し、完了したグループや無関係の保留グループは停止しない。証明は、集計進行状況とリソースレベルの領収書の両方を報告する。これにより、監査人がすべてのアイテムが1つの不可分な瞬間に変更されたふりをすることなく、ポートフォリオ全体を説明できる。

レート制御は共有サービスを保護すべきであるが、公開され、容量テストされるべきである。現職は、通常のポートフォリオデータのエクスポートが異常であると主張することで競合他社を遅延させるべきではない。協会は、プロバイダの破産に対してテストされたバルク移行容量を維持すべきである。一度に1つのリソースでのみ機能するポータビリティは、継続性計画ではない。

セキュリティは独立したチャネルと最小権限に依存する

プロバイダ切り替えは攻撃者にとって魅力的である。なぜなら、成功した移動はリカバリ、公開記録、ホストされたセキュリティサービスを変更できるからである。手順は、1つのアカウント、メールボックス、または代表者が侵害される可能性があると想定すべきである。影響の大きいリクエストは、独立して維持されたホルダーチャネルを通じた確認と、該当する場合は2人の承認者が必要である。

資格情報は、リソース固有で、短命で、獲得プロバイダと現在のバージョンにバインドされるべきである。一般的なアカウントパスワードまたは再利用可能なエクスポートコードは広すぎる。失敗した試行、異常なポートフォリオ範囲、新しいデバイス、急な連絡先変更は、強化されたレビューをトリガーできるが、リスクスコアリングは説明のない拒否になるべきではない。

すべての役割は最小権限を受け取る。獲得プロバイダは準備できるがコミットできない。喪失プロバイダは証拠に基づいて異議を唱えることができるが、競合他社を承認できない。調整機能はプロバイダフィールドをコミットできるが、ホルダーを黙示的に変更できない。依存関係オペレーターは、選択された移行のみを実行でき、それ以上は実行できない。レビュー担当者は、履歴を不可視に編集するのではなく、記録された行為を通じて救済を命令できる。

緊急パスも同様の規律を必要とする。侵害の申し立ては、短い保留を配置し、保護された連絡先に警告できる。保留の延長には理由とレビューが必要である。無許可切り替え後の緊急復元は、保存された証拠を持つ新しい順序付けられたイベントである。スピードは、権限が狭く、時間制限があり、観測可能である場合に説明責任と互換性がある。

失敗ケースは7つのステップが現実かどうかをテストする

旧プロバイダが沈黙している。検証と通知配信が成功し、異議期間が経過し、並行準備が完了する。切り替えは進行する。沈黙は記録され、プロバイダのパフォーマンススコアに影響を与える可能性があるが、拒否権は作成しない。

ホルダーが通知中に取締役を変更する。支配権主張は重要な権限変更を報告する。影響を受ける承認は検証に戻る。準備された技術データは残るが、カットオーバーは古い権限を使用できない。別途承認された公共団体の下での影響を受けないリソースは、リクエストが分割されていた場合に継続できる。

料金紛争が発生する。旧プロバイダは未払いのサポート請求書を特定する。特定の法的保留が適用されない限り、基本登録切り替えは継続する。債務は通常の契約救済を通じて執行可能のままである。ホストされたオプションサービスは、開示された条件に従って終了する場合があり、継続義務は合意されたように適用される。

1つの RPKI 観測が失敗する。登録コミットは成功するが、独立した依拠当事者のビューが期待されるウィンドウ内に意図された承認を示さない。RPKI 緊急時対応行動が開始される。証明が到着するまでイベントは不完全とマークされる。旧プロバイダは、以前のサービスがより速く現れたという理由だけで矛盾するオブジェクトを発行できない。

切り替えが無許可であった。保護された連絡先がカットオーバー後に強力な証拠を提示する。影響の大きい新しい変更は保留される。レビュー担当者は、リクエスト認証、通知、状態イベントを調査する。無許可の場合、新しいコミットを通じて復元が行われ、すべての現在のプロバイダが通知を受け取る。履歴は、失敗を理解し補償できるようにそのまま残る。

獲得プロバイダが移行中に失敗する。カットオーバー前は、旧プロバイダが現在のままで、準備は安全に期限切れになる。カットオーバー後は、継続性条項が同じ順序付けられたモデルを通じて資格のある後継者または一時的な管理者を任命する。失敗したプロバイダは、エクスポートと証明が共通の要件であったため、ホルダーを閉じ込めることができない。

時間制限は遅延を報奨せずにリスクを反映すべき

すべてのステップにはクロックが必要である。リクエスト受信は即時であるべきである。ルーチン検証は短い公開目標を持つべきであり、強化レビューはどの追加証拠が必要かを説明する。通知期間はリスククラスによって異なるが、固定された外側の制限を持つべきである。並行準備はスケジュールされたウィンドウを使用すべきである。カットオーバーと領収書発行は数分で測定されるべきであり、分散証明はより長くかかる場合がある。

Stop-the-clock ルールは狭くなければならない。ホルダー証拠の待機は、関連する検証クロックを一時停止できる。プロバイダのスタッフ不足はできない。有効な裁判所保留は影響を受けるリソースを一時停止する。漠然とした「セキュリティ懸念」はポートフォリオ全体を無期限に一時停止できない。すべての一時停止には、所有者、理由、開始、レビュー時間、有効期限がある。

パフォーマンス報告は、プロバイダ起因、ホルダー起因、調整起因、外部遅延を分離すべきである。中央値だけでは長いテールを隠す可能性があるため、協会はパーセンタイルと長期化したケースを公開すべきである。測定には、撤回されたリクエスト、期限切れの承認、異議率、維持された異議、失敗したカットオーバー、依存関係インシデント、成功したレビューを含めるべきである。

自動救済は規律をサポートできる。エクスポートまたは通知義務を逃したプロバイダは、サービス credit を支払い、資格レビューに直面する可能性がある。ホルダーは、少ない定義された金額を回収するために高価な手続きを必要とするべきではない。高い影響力の害、意図的な妨害、無許可の権限変更は、ルーチンの credit を超えた別個の救済を必要とする。

証拠保存はプロバイダ関係より長く存続すべき

ホルダーは、商業関係が終了した後に切り替えに異議を唱える可能性がある。獲得プロバイダと喪失プロバイダは互いを非難する可能性がある。依存関係の失敗は、分散システムが更新された後にのみ可視になる場合がある。したがって、証拠は意味のあるレビューのために十分長く存続しなければならない。

共通記録は、状態バージョン、署名付き決定、配信証拠、比較結果、領収書、紛争イベントを保持する。プロバイダは、整合性チェックとアクセスログを使用して、定義された期間、保護された認証と運用証拠を保持する。ホルダーは、自分の領収書と関連する宣言のポータブルコピーを受け取る。

保持はすべてを保管することを正当化するものではない。アイデンティティ画像、リカバリ秘密、生の診断データは、特定の目的が終了したら最小化され、削除されるべきである。署名付き検証結果と理由のある決定は、多くの場合、機密のソース資料より長持ちする。公開イベント履歴は、プライベート認証詳細を公開せずに制度的行為を開示すべきである。

プロバイダが消滅した場合、その必要な証拠は、資格期間中に確立されたエスクロー、複製された保管、後継構成を通じて利用可能であるべきである。継続性は、破産した会社が自発的に応答することに依存できない。証拠メカニズム自体は、定期的なリカバリ演習を通じてテストされるべきである。

ポータビリティ指標は、退出、正確性、継続性を測定すべき

協会は多くの完了した切り替えを報告できるが、それらを遅く、リスクが高く、強力なホルダーのみが利用できるようにする可能性がある。バランススコアカードは、成功した完了、ステップごとの時間、承認失敗、有効および無効な異議、状態不一致、依存関係インシデント、逆転結果、コスト、ホルダー満足度を測定すべきである。

出口集中は特に明らかである。ホストされた RPKI、プライベート証拠、リカバリチャネルが移動できないために、何人のホルダーがプロバイダに留まっているか?何件の試行された切り替えが検証中に放棄されるか?小規模で非英語圏のホルダーは失敗する可能性が高いか?公共団体はより長い説明のない保留に直面するか?これらの測定は、形式的な権利が使用可能かどうかを示す。

正確性の測定には、無許可切り替え、重複現在状態試行、古いバージョン拒否、欠落リソース、変更されたホルダーフィールド、証明不一致が含まれる。継続性の測定には、RDAP ディスカバリ、逆引き DNS エラー、RPKI 観測、復元時間が含まれる。紛争の測定には、分離範囲、決定時間、レビューで変更された結果の割合が含まれる。

プロバイダ比較は、ホルダーセキュリティ詳細を公開せずにパフォーマンスを規律するのに十分に公開されるべきである。独立したサンプリングは、証拠から完了した移行をリプレイすべきである。災害演習は、合成または同意されたポートフォリオを失敗したプロバイダから移動すべきである。現職の失敗の下でテストされたことのないポータビリティ体制は、理想的な条件についての約束であり、回復力ではない。

採用は規模を要求する前にシーケンスを証明すべき

協会は最初に、不変条件、役割、状態語彙、異議理由、証拠義務、依存関係オプション、クロック、救済を公開すべきである。その後、プロバイダは共通の移行記録を実装し、テスト環境でバージョンバインドコミットを実証する。独立したレビュー担当者は、無許可切り替えとプロバイダ失敗のケースをリハーサルする。

ライブ採用は、依存関係が限られた同意したホルダーから開始できる。初期のケースには、直接運用、ホストされた逆引き DNS、ホストされた RPKI、企業グループ、公共部門サービスを含めるべきである。各ケースは完了後にリプレイされるべきである。発見事項は、規模が拡大する前に共通手順を変更すべきである。

資格には退出準備を含めなければならない。プロバイダは、ホルダーレコードをエクスポートし、証拠を保存し、入ってくる請求を受け入れ、権限を廃止し、通知後も制限されたサービスを継続できることを証明する。価格設定は移行費用を開示しなければならない。オプションサービスは、基本登録を黙示的にロックできないように、別個のポータビリティ条件を持つべきである。

バルク容量とプロバイダ失敗の継承は、ポータビリティが成熟したとして扱われる前に行われる。協会は、権限を即興することなく大規模ポートフォリオを移動できるべきである。また、共通の調整機能が交換またはリカバリ可能であることを証明すべきである。交換不可能なコーディネーターの下での小売選択は、部分的なポータビリティにすぎない。

7つのステップはテスト可能な権利を作成する

リクエストはホルダーに実行可能な開始を与える。検証は権限と範囲を確立する。通知は現職と保護された連絡先にエラーを特定する制限された機会を与える。並行運用は二重権限なしで継続性を作成する。カットオーバーは1つの順序付けられたイベントで1つの現在のプロバイダを変更する。証明は結果を独立して可視にする。紛争分離は市場全体を凍結したり競合する真実を作成したりせずにエラーを含める。

どのステップも単独で設計を担うことはできない。カットオーバールールなしの強い検証は遅延を生む。通知なしの高速カットオーバーは盗難を招く。権限分離なしの並行準備は重複を作成する。保護された証拠なしの証明は儀式になる。分離なしのレビューはすべての紛争をシステム全体の麻痺に変える。

シーケンスはまた、類推を規律する。ドメイン移転は役割分離を示す。モバイル切り替えは顧客制御の開始と測定可能な時間を示す。当座預金切り替えは選択されたタイミング、継続性サポート、実行責任を示す。番号登録は、グローバルに一意のリソースが RDAP、逆引き DNS、RPKI、自律ルーティング決定と相互作用するため、依然として異なる。

ポータビリティは、ホルダーが現在の状態を指し、資格のあるプロバイダを選択し、既知のシーケンスに従い、リソースやホルダーが変更されずに権限が変更されたことの証明を受け取ることができるときに、制度的に現実的になる。7つの再現可能なステップは、退出を政治的な約束から、セキュリティ、公平性、継続性が測定できるサービスに変える。

ソースと分析の限界

RFC 7020は一意性と登録境界をサポートする。RFC 9083は RDAP 議論をサポートする。RFC 6480と RFC 9582は、リソース証明書、署名付きルーティングオブジェクト、リポジトリ、ルートオリジン承認の間の区別をサポートする。これらの技術的ソースは、提案されたプロバイダ切り替え制度を規定するものではない。

比較は、ICANN の公開された移転ポリシー、Ofcom のモバイル切り替えガイダンス、当座預金切り替えサービスを説明する英国の公開資料に基づいている。各比較は制限されている。ドメイン名、電話番号、銀行口座、IP アドレス空間、自律システム番号は、異なる法律、オペレーター、結果を持つ。

7ステップシーケンス、状態語彙、異議理由、依存関係オプション、クロック、領収書、分離ルール、採用順序はガバナンスの推奨事項である。正確な時間制限と救済は、地域、プロバイダ規模、ホルダータイプ、該当法律にわたるテストを必要とする。高い信頼性の結論は制度的形態に関するものである:ポータブル登録には、1つの現在の権限を保存しながらプロバイダ退出を実用的にする、バージョンにバインドされ、証拠に基づき、独立してレビュー可能なシーケンスが必要である。