Už více než polovina kořenových serverů s DNSSEC

Jak už před časem referoval kolega Surý, v současnosti probíhá proces, jehož vyústěním bude plný platný podpis kořenové zóny. Tato událost zastřeší všechny současné aktivity týkající se podepisování domén nejvyšší úrovně a hlavně zjednoduší život správcům rekurzivních DNS serverů; pak už totiž bude stačit pouze sledovat změny klíčů jedné (té nejvyšší) zóny.

Minulý týden ve středu došlo k překonání dalšího virtuálního milníku. K podpisu totiž nedochází naráz, ale jednotlivé kořenové zóny se „podepisují“ neověřitelnými „falešnými“ klíči postupně. A právě 24. března byly tyto klíče publikovány dalšími třemi servery. Celkový počet „podepsaných“ serverů se v tuto chvíli zastavil na čísle sedm, což je už více než 50 % z celkových 13. Další várka zavádění těchto podpisů se očekává 14. dubna, kdy bude podepsáno dalších pět serverů. Poslední server bude přidán 5. května.

Správný a validní podpis by měl začít platit od prvního prázdninového dne – 1. července. Zatím tedy proces běží zcela podle plánu a nemá žádné zpoždění, což je velice dobrá zpráva pro bezpečnost systému DNS.

Ondřej Filip

Další dotIDN domény na světě

Celkem nedávno jsem referoval o schválení čtyř prvních zádostí o nelatinkové domény nejvyšší úrovně. Tím se proces přirozeně nezastavil, zájem projevily i další země. Ve dnech 22. a 23. března ICANN schválil další várku žádosti. Jde o Tunisko, Thajsko, Taiwan, Sri Lanka, Katar, dále stát-nestát Palestina, Hong Kong a Čína. Narozdíl od první a velice bezproblémové skupiny, dvě z těchto žádostí obsahuji určitou zvláštnost. Ta souvisí s tím, že Čína i Taiwan zažádaly vlastně o domény dvě; jednu napsanou v tradičním čínském písmu a druhou ve zjednodušeném. Proto tyto žádosti čeká další kolo schvalování. Tito správci budou muset prokázat, že provoz těchto domén bude synchronizován, že jejich provozem nevzniknou žádné duality a tedy, že nedojde k matení uživatelů. Tento proces ještě není zcela vyjasněn, takže uvidíme, jak to celé nakonec dopadne. Návrh jak v těchto případech postupovat byl zveřejněn zde.

Ondřej Filip

Pomožte nám s překladem knihy Dive into Python 3

Edice CZ.NIC se brzy rozroste o další knihu. Po publikaci Pavla Satrapy (IPv6) a knize Scotta Chacona (Pro Git) přibude do ediční řady překlad knihy Dive into Python 3. Na něm se už v tuto chvíli pracuje a protože víme, že překlady odborných publikací nejsou vždycky díky nejasné české terminologii dokonalé, rádi bychom se obrátili na všechny, kteří se v této problematice pohybují a orientují, aby nám pomohli s překlady některých anglických termínů.

Naše návrhy najdete v glosáři. Komentovat je  můžete pod tímto příspěvkem do 6. dubna. Vaše připomínky potom předáme překladateli, který s nimi bude dále pracovat.

Vilém Sládek

DNS před zhroucením? Ani náhodou!

Výkonný ředitel ICANN Rod Beckstrom prohlásil včera na setkání GAC (poradního výboru vlád při ICANN), že: „Na systém DNS je veden útok a celý systém je nyní křehčí a zranitelnější než kdykoliv předtím a může se kdykoliv doslova zhroutit.“ Pokud by se něco takového stalo, mělo by to samozřejmě obrovské a dalekosáhlé důsledky, protože na fungování Internetu dnes závisí téměř vše. Dle jeho slov dospěl k tomuto tvrzení po konzultaci s více než 20ti řediteli největších doménových registrů a registrátorů, kteří jsou extrémně znepokojeni stejně jako on. Více v plném audio záznamu komentáře.

Zajímavý je už fakt, že co se týká národních domén (tzv. ccTLD), tak někteří ředitelé největších registrů, kteří byli na místě přítomni, o žádných takových konzultacích nevěděli. Tak jako tak prakticky všichni zástupci registrů národních domén toto tvrzení považovali za „nemístné“ a přehnané. Samozřejmě i DNS se stejně jako spousta dalších internetových služeb potýká s bezpečnostními problémy. Nicméně rozhodně žádný z nich neohrožuje funkčnost a stabilitu celého systému. Navíc zrovna v této oblasti internetová komunita pracuje velmi dobře – je si vědoma zásadní důležitosti systému DNS (proto pro něj buduje velmi robustní infrastrukturu), nalezené problémy řeší, vzdělává koncové uživatele atd. K tomuto se samozřejmě snažíme přispět i my (CZ.NIC) například tím, že se podílíme na provozu F a L kořenových serverů v České republice, že jsme jako jedni z prvních zavedli DNSSEC (máme nejvíce zabezpečených domén na světě) nebo že provozujeme bezpečnostní oddělení, které řeší např. zneužívání domén k šíření malware či phishingu.

Osobně si myslím, že představitel tak významné instituce by neměl vydávat takto silná prohlášení bez širší konzultace s institucemi, které se o provoz a stabilitu starají např. správce národních domén, operátory root serverů apod. Ostatně třeba organizace správců národních domén (ccNSO) připravuje vlastní vyjádření k těmto jeho výrokům.

Ondřej Filip

Další evropská doména podepsána… I když?

K podpoře technologie DNSSEC se tentokráte přihlásil registr, který je ve světě národních domén skutečným gigantem. Je to společnost Nominet, správce domény .uk. Tato událost byla poměrně očekávaná, neboť Nominet technologii DNSSEC dlouhodobě podporuje. Poslední ukázkou této podpory byl vývoj software OpenDNSSEC.

Podobně jako u kořenové zóny, i Nominet začal s implementací pozvolna. Minulý týden byla doména podepsána nevalidovatelnými klíči, toto pondělí potom došlo k podpisu už těmi správnými. Nominet totiž celý minulý týden intenzivně testoval, zda-li zvětšení DNS odpovědí kvůli přídavným bezpečnostním informacím nezpůsobí nějaký problém.

Můžeme si tedy vybarvit další bílé místo na mapě? Zatím ne tak docela. Podepsána byla pouze zóna .uk. Ve Spojeném království ale používají strukturovaný model, takže všechny domény koncových uživatelů jsou v poddoménách, tedy hlavně v .co.uk. A právě u poddomén dosud podpis chybí.

Nominet podpis zóny označuje spíše za test a zatím nedoporučuje spustit proti této zóně validaci. Dokonce oznámili, že plánují klíče ještě vyměnit a plný provoz hodlají deklarovat až s podpisem kořenové zóny. Tedy gratuluji k prvnímu rozvážnému kroku a doufám, že více uvidíme v červnu.

Ondřej Filip

Aleš Mokrý pánem světa

Jak Aleš sliboval při popisování Jak registrovat doménu, opustil „nuzný cirkus a stává se pánem světa“… tedy alespoň částečně. Kampaň Dobrá doména, jejímž je hlavním hrdinou, totiž získala v soutěži Louskáček o nejlepší a nejkreativnější českou reklamu stříbného Louskáčka za rok 2009 v kategorii on-line kampaň.

Jinak Aleš nás samozřejmě neopouští, i když se teď věnuje čtení, protože březen je měsíc čtenářů.

PT

DNSSEC chrání nejvíce domén na světě

Společnost ACTIVE 24 včera oznámila, že všechny domény .CZ, které jsou u ní zaregistrovány a jsou zároveň provozovány na jejich nameserverech, chrání od tohoto týdne technologie DNSSEC. V tiskové zprávě najdete podrobnosti k tomuto kroku, nepřečtete si ale už o některých důsledcích spojených s touto aktivitou.

Díky tomu, co dělá registrátor ACTIVE 24 a ještě před ním udělal WEB4U pro své zákazníky, bude mít český registr nejvíce domén na světě chráněných technologií DNSSEC (více než 94 000 domén). Daleko za námi tak budou i státy, které se k DNSSECu přihlásily dříve než my. Myslím v tuto chvíli především na Švédsko, jejichž správci domén zavedli DNSSEC jako úplně první a jsou společně s námi v rozšiřování DNSSEC nejaktivnější.

Druhá informace se týká další ze zajímavých a důležitých domén podepsaných DNSSEC. ACTIVE 24 provozuje na svých DNS serverech vice než 78 000 domén. Mezi nimi se najda řada těch, které si pozornost a ochranu určitě zaslouží. Za všechny zmíním jednu a tou je denik.cz. Určitě mi dáte za pravdu, že tato doména významná je. Vydavatelství Vltava-Labe-Press má pod palcem síť regionálních titulů po celé České republice. Zabezpečeny DNSSEC tak jsou například internetové domény Strakonického, Jabloneckého, Sokolovského, Valašského a dalších více než 60 deníku a týdeníků.

Vilém Sládek