V druhé půlce července nezapomeňte…

Pro českou národní doménu došlo včera k další významné události související s uzavřením řetězce důvěry pomocí technologie DNSSEC. IANA dokončila proces vložení DS záznamu do kořenové zóny. DS záznam je jakýsi otisk DNSSECového klíče příslušné domény a vždy jej předává správce podřazené domény správci nadřazené domény. Technicky jde o analogický proces, jako když nám do zóny .cz vloží pomocí svého registrátora obdobné informace držitel. Nicméně v případě kořenové zóny panují úplně jiná pravidla, proces zdaleka není automatizovaný, naopak je spíše ruční. Obvykle trvá několik dní a zahrnuje mnoho akcí více institucí. Pokud si na ty zmiňované DS záznamy chcete „sáhnout“, napište třeba následující příkaz.

dig +short DS cz. @a.root-servers.net

Co to tedy znamená? Jakmile dojde k podpisu kořenové zóny nemusí člověk provozující validující rekurzivní nameservery (obvykle ISP nebo správce firemní sítě) ukládat do konfigurace speciální klíče pro každou podepsanou doménu nejvyšší úrovně (TLD), ale vystačí si pouze s jedním klíčem kořenové zóny. A co to bude znamenat pro CZ.NIC? Především volnost v tzv. rotování klíčů. Všechny klíče použité v DNSSECu je nutné čas od času obměnit. Rychlost záleží na jejich typu (KSK či ZSK). ZSK lze měnit automaticky a to také CZ.NIC pravidelně dělá, ale právě KSK jsme ještě od spuštění DNSSECu neměnili. Tuto operaci tedy bude možné provést až po podpisu kořenové zóny. Krom běžné výměny klíčů plánujeme i zavedení modernějších podepisovacího systému NSEC3, který neumožňuje vylistování domén ze zóny, tzv. zonewalking. Nedávno jsme zveřejnili harmonogram tohoto postupu a už jsme v podstatě v polovině, zatím jsme NSEC3 zavedli pro ENUM doménu (0.2.4.e164.arpa). Mohli jsme si to dovolit, protože to není TLD; tato doména je podřízena e164.arpa a tedy její klíče by pro validaci nikdo používat neměl.

Harmonogram také říká, že k přechodu na NSEC3 v .cz by mělo dojít 3. srpna. Nicméně jsou tu dva důležité faktory, které mohou toto datum posunout. Prvním faktorem je přirozeně datum podpisu kořenové zóny, zatím však vše nasvědčuje tomu, že to bude dle plánu 15.7.2010. Druhou věcí, která by nás mohla donutit k změně, by bylo zjištění, že nějaké významné DNS resolvery ještě stále používají „natvrdo“ nastavený klíč pro .cz. To se bohužel dá jen velmi obtížně zjistit, jedinou možností je se prostě zeptat správce. Proto budeme tuto věc ověřovat pouze u velkých ISP, o kterých je nám známo, že validaci DNSSEC používají. Pokud tedy nějaký takový validující resolver spravujete, poznačte si do kalendáře, že mezi 15. červencem 2010 a 3. srpnem 2010 musíte v konfiguraci udělat změnu nastavení, jinak Vám validace české domény přestane fungovat.

Udělejte to určitě, rádi bychom „jeli na čas“! :-)

Ondřej Filip

Autor:

Komentáře (2)

Zanechte komentář

Všechny údaje jsou povinné. E-mail nebude zobrazen.