Další ovečky do DNSSEC ohrádky

V úterý (21. září 2009) došlo k podpisu dalších dvou národních TLD. Organizace SWITCH, správce národních domény Švýcarska a Lichtenštejnska, oznámila podpis domén .ch a .li. Obě tyto národní domény jsou podepsány pomocí technologie DNSSEC. Neexistence domény je řešena pomocí standardu NSEC3, bez možnosti opt-out. Klíče obou domén můžete zjistit příkazem dig +multi IN DNSKEY CH. a dig +multi IN DNSKEY LI.. Ke zveřejnění klíčů a jejich vložení do registru ITAR by mělo dojít během několika málo dní.

Každý měsíc teď už přicházejí zprávy o zavedení DNSSEC v další a další doméně nejvyšší úrovně. Český registr již eviduje více než 1 000 domén, které DNSSEC chrání. Nedá mi tedy než se nezeptat:  „A co vy? Už jste také podepsali?“

Ondřej Surý

Autor:

Komentáře (7)

  1. Michal Zima říká:

    Podepsal bych, kdyby DNSSEC můj NS uměl. ;c) V prvé řadě ho tedy budu muset vyměnit a až poté domény podepsat. Docela se na to těším, protože je to další krok vpřed. :c)

  2. Lubos Kopecky říká:

    Ja jsem si domenu zkousel podepsat v bindu v lenny, ale nejak sem se neprobojoval k tomu, aby mi dig vratil flag „ad“ :(

  3. Ondřej Surý říká:

    „ad“ bit vám vrátí až validující resolver.

    Doporučil bych vám DNSSEC kurz v naší akademii, kde se přesně tyhle věci probírají :)

  4. Luboš Pavlíček říká:

    Moje odpověď na otázku z konce příspěvku: Podepsal, ale zatím nepublikoval, neboť publikace záznamu o podpisu (DS záznam) závisí na tom, co mi umožní registrátor.

    Největší registrátor (Internet CZ) umožňuje aspoň dle svého webu DNSSEC pouze v případě, že se používají jejich nameservery (http://kb.forpsi.com/article.php?id=552). Pokud si někdo provozuje nameservery sám, má asi s DNSSEC smůlu.

    Druhý největší registrátor (Ignum) předpokládá podporu DNSSEC nejdříve v příštím roce (http://ignum.cz/forum/read.php?6,2027). Toto veřejně dostupné prohlášení je však v rozporu s tím, že u této firmy je registrována např. podepsaná doména lupa.cz.

    Active 24, u kterého máme registrovány některé naše domény, DNSSEC podporuje, ale s některými výhradami. Pro DS záznamy není možné použít hashovací funkci SHA-256 (viz rfc4509), pro podpis zóny lze použít pouze algoritmus RSA-SHA1 v kombinaci s NSEC. Při podpisu zóny nemohu použít NSEC3, neboť nelze ve formuláři zadat algoritmus RSASHA1-NSEC3-SHA1 (rfc 5155). Se zákaznickou podporou firmy si již chvíli dopisuji, takže doufám ve zlepšení stavu.

    Mohl by NIC.CZ provést průzkum podpory DNSSEC u jednotlivých registrátorů?

  5. Radek Zajíc říká:

    Luboš Pavlíček:
    Internet CZ (FORPSI) DNSSEC u vlastních DNS serverů umožňuje.
    Postup je následující:
    1. Vytvořte si ručně sadu klíčů (KEYSET) – https://www.forpsi.com/domain/cr-keyset.php
    2. Sadu klíčů zadejte tady https://www.forpsi.com/domain/edit-domain.php

    Oficiální nápověda Forpsi říká:
    „Využívá-li zákazník u své .cz domény (jejímž registrátorem je INTERNET CZ, a.s.) vlastní DNS, musí nejdříve jeho správce DNS vytvořit sadu klíčů pro doménu tzv. „keyset“. Může ho vytvořit zde a tento keyset následně přidat k dané doméně přes formulář na změnu údajů k doméně.(Autorizace změny u domény se provádí heslem k doméně, které je možné si nechat zaslat na e-mail držitele či admin. kontaktu přes odkaz „nevim heslo“).“
    Viz také:
    http://kb.forpsi.com/article.php?id=552

  6. Martin říká:

    Dobrý den,
    odkaz na tvorbu klíčů na Vašem odkazu nefunguje a na webu Forpsi jsem takovou možnost nenašel. Platí, že lze stále na forpsi klíče vytvářet a i měnit názvy serverů (nameservers) v nastavení DNS domény?
    Díky

    snažím se přidat vlastní dns server podle návodu forpsi (https://support.forpsi.com/kb/a2531/zmena-dns-serveru.aspx#_To0032), ale tato možnost

Zanechte komentář

Všechny údaje jsou povinné. E-mail nebude zobrazen.

Tato stránka používá Akismet k omezení spamu. Podívejte se, jak vaše data z komentářů zpracováváme..