To, že jsem paranoidní, ještě neznamená, že po mě nejdou…

To jsou slova jednoho z mých kamarádů. Jak ale souvisí s registračním systémem domén?
Při vyhodnocování prvních tří měsíců provozu nového systému se nám nahromadily připomínky, které upozorňovaly na neexistenci určité vysoké ochrany doménového jména. Konkrétně šlo o následující námitky:

1. neexistuje možnost zablokovat provádění změn nad doménami a kontakty
2. držitelé domén dostávají e-maily s heslem k transferu od centrálního registru, aniž by o jejich zaslání žádali; tyto zprávy je obtěžují a zároveň u nich vytvářejí obavy o bezpečnost hesel, která jsou určena pro potřeby transferu

Abychom vyhověli zejména žádostem držitelů domén, rozhodli jsme se doplnit systém o dvě nové funkcionality.
První z nich je možnost zablokování transferu, druhou potom zablokování jakýchkoliv změn nad doménou, kontaktem nebo sadou jmenných serverů.
Držitel požádá pomocí formuláře na našem webu o příslušnou blokaci a po jejím potvrzení (buďto úředně ověřeným podpisem nebo e-mailem, podepsaným kvalifikovaným certifikátem) mu bude přímo na úrovni centrálního registru příslušná operace zablokována. Odblokovat půjde samozřejmě stejným způsobem.
Výsledkem bude to, že změna prostě nepůjde provést. Kromě toho bude zastavena možnost vyžádat si heslo k transferu a tím pádem nebude držitel obtěžován e-maily s heslem, které po nikom nechtěl.
V těchto dnech náš návrh konzultujeme s akreditovanými registrátory a pokud neobdržíme závažné připomínky z jejich strany, budeme v následujících týdnech uvedené změny realizovat.
Doufám, že uvedené změny přispějí k většímu pocitu bezpečí jednotlivých vlastníků domén, kteří této služby využijí.

Martin Peterka

Autor:

Komentáře (9)

  1. Jakub Hejda říká:

    Toto Vám chválím.
    Jako zákazníka mě ale děsí spíše fakt, že před uhrazením registrované domény mě předběhne někdo z firmy registrátora. Jak je toto zabezpečeno? Můj známý tuto zkušenost bohužel má.

  2. mapet říká:

    Tomu – priznam se – nerozumim. Muzete mi to prosim poslat blize popsane na muj mail (martin.peterka@nic.cz)?
    Diky
    MP

  3. Daniel Cizinsky říká:

    Motto je puvodne citat z Woody Allana :)

  4. p říká:

    Tak bych přidal další:

    Transfer domény povinně jen s úředně ověřeným podpisem mne obtěžuje. Je to nesmysl a raději jsem předělal subject držitele ->je mi putna, jestli budu mít subjectů 6 nebo 10. Stejným způsobem mi může někdo doménu uloupit i bez podpisu, podpis je tedy buzerace navíc. Taková funkce by měla být volitelná.

  5. Martin Peterka říká:

    Zpusob autorizace je v kompetenci jednotlivych registratoru. CZ.NIC uredne overeny podpis ve svych podminkach nevyzaduje.
    Je na kazdem registratorovi, jaky zpusob overeni zadosti pro ten ktery ukon (zmenu) bude pozadovat a v praxi se postupy registratoru skutecne lisi.

  6. bukaJ říká:

    Dobrý den,
    můj registrátor (FORPSI – tuto poznámku klidně odstraňte) vyžaduje notářské potvrzení, nicméně na můj dotaz se ohání Vašimi pravidly, konkrétně bodem 5.1 („Určený registrátor je oprávněn podat pokyn ke změně Držitele Doménového jména na písemnou žádost Držitele a budoucího Držitele.“).

    Z různých důvodů mi tento registrátor vyhovuje ze všech nejvíce, takže není pro mě řešení přejít k jinému. Je možno někde najít oficiální vyjádření CZ.NIC, kde výslovně uvádí, že zmíněný bod není chápán ve smyslu „písemně s ověřeným podpisem“?

  7. Martin Peterka říká:

    Dobrý den,
    platí přesně to, co jsem již napsal :
    Zpusob autorizace je v kompetenci jednotlivych registratoru. CZ.NIC uredne overeny podpis ve svych podminkach nevyzaduje.

    Týká se to tedy i ustanovení 5.1.
    Na druhou stranu platí i zbytek toho, co jsem napsal, tedy že volba metody je na registrátorovi.
    Můj osobní názor je ten, že úředně ověřený podpis na žádosti zvyšuje vaši bezpečnost jako držitele domény, takže já bych to nezavrhoval, speciálně pokud se jedná o převod domény na jiného držitele.

  8. bukaJ říká:

    Myslím, že mluvit o zvýšení zabezpečení je trochu přehnané. Případný útočník nemusí vůbec ovlivňovat položku Držitele u domény, ale stačí mu otevřít příslušný kontakt (heslem, který se posílá na stejný e-mail jako heslo k transferu) a zcela změnit jeho podstatu (tzn. změnit jméno, ičo, a všechny identifikační znaky).

    Jediné v čem mi to brání je „rozdělení“ domén, které mají jako Držitele stejný kontakt – kupodivu častý požadavek např. při rozdělení společnosti na samostatné celky.

    Navíc hesla (nejen k transferu) jsou zasílána zcela nezabezpečeným e-mailem jako text, takže možností jak jej získat, je vícero (napadnout schránky, DNS, nebo heslo odposlechnout „na cestě“, atd.).

    Kdyby bylo možné omezit zasílání hesel nejen pro doménu, ale i kontakt a NSS, bylo by to přínosem.

  9. Martin Peterka říká:

    Součástí navrhovaných doplnění je samozřejmě i blokace kontaktů a NSSetů – nejenom domén …

Zanechte komentář