DNSSEC je na postupu

Po podpisu kořenové zóny se dle předpokladu se zprávami kolem DNSSECu doslova roztrhl pytel. Zástupci doménových registrů se předhánějí s prohlášeními o implementaci, neuběhne snad týden, aby nebyla nějaká novinka. Dovolte mi alespon stručně shrnout události, které mi přisly v poslední době nejzajímavější.
Českého uživatele by jistě mohla zajímat zpráva, že jsme jako první na světě dokončili proces změny způsobu podepisování z NSEC na NSEC3. Museli jsme tedy pochopitelně vyměnit klíče v kořenové zóně. V případě řešení, která měla pomoci překlenout vakuum do doby podpisu kořene, tedy DLV a ITAR jsme pouze staré klíče odstranili a nové už nepřidali. Všichni poskytovatelé připojení, kteří chtějí validovat DNSSECem naši národní doménu, by tedy měli používat pouze ověření přes kořenovou zónu. Všechny ostatní mechanismy už nadále nedoporučujeme.
Další tři evropské země podepsaly své domény. Jde o Finsko, Belgii a Nizozemí. Správci všech těchto domén použili shodně algoritmus NSEC3 a opt-out. Evropská mapa se nám postupně začíná obarovovat, bílá místa ubývají.
Další zajímavou novinkou je podpis prvních dvou dotIDN domén (tedy krom testovacích); jde konkrétně o domény Sri Lanky, které je možné zapsat buď takto xn--fzc2c9e2c a xn--xkc2al3hye2a nebo chcete-li ලංකා a இலங்கை.
No a na závěr bych si dovolil upozornit na prohlášení společnosti Afilias, které jistě velice potěší všechny příznivce technologie DNSSEC. Tato společnosti totiž oznámila, že letos v září podepíše svou hlavní doménu .info a následně i všech 12 ostatních spravovaných domén, mezi které patří například doména Indie .in nebo zajímavá doména Černé hory .me. To je jistě velmi znatelné rozšíření klubu podepsaných domén.
Jak je vidět, u doménových registrů je v souvislosti s DNSSECem víceméně „dobojováno“. Nyní zbývá hodně práce na registrátory, poskytovatele služeb a připojení a výrobce software. Bude zajímavé sledovat, jak bude tento proces dále postupovat.

Ondřej Filip

První český registrátor má akreditaci ICANN

Až do začátku srpna nefiguroval v seznamu ICANN akreditovaných registrátorů žádný subjekt z České Republiky. To se ale již změnilo – novým ICANN akreditovaným registrátorem se stala společnost Gransy, která je již téměř dva roky také akreditovaným registrátorem .CZ domén. Je zajímavou otázkou, proč je společnost Gransy jediným registrátorem z ČR, který má přímou akreditaci. Samozřejmě i všichni ostatní registrátoři, které známe z trhu s doménami .CZ, nabízejí registrace domén .com, .org a dalších. Dělají to ale přes prostředníky, jiné akreditované registrátory, a vystupují tak v podstatě v roli subregistrátorů.

Částečnou odpovědí na výše zmíněnou otázku může být také fakt, že největší z registrátorů .CZ využívají služeb mateřských zahraničních firem, které akreditovány jsou a nepotřebují se akreditovat samy. Může to být ale způsobeno i tím, že získat akreditaci ICANN není zase tak jednoduché (už jen v samotné přihlášce je poměrně dost požadavků na podrobné informace o firmě) a není ani zadarmo. Jen roční poplatek dělá aktuálně 4000$. A s tím samozřejmě souvisí i otázka, kolik se vlastně u nás gTLD domén registruje a jestli se tedy registrátorům vůbec vyplatí se do akreditace pouštět… vždyť akreditace pro domény .EU také není zadarmo a přesto ji má celá řada českých subjektů.

Každopádně přeji Gransy hodně štěstí a spoustu nových domén – i když za mne asi hlavně těch s koncovkou .CZ :-)

Martin Peterka

Už jen 5 %!

Adresní prostor „starého Internetu“ se nám pořád nezadržitelně smrskává. Dnes ráno byly další dva velké adresní bloky (velikosti 16777216 adres) přiděleny do regionu Asie-Pacifik. Jde konkrétně o bloky 101.0.0.0/8 a 49.0.0.0/8. V nejvyšším registru adres IANA už zbývá pouze 14 bloků ze 256 a známé počítadlo díku tomu už ukazuje pouze 5 %. To bohužel jen potvrzuje, že dosavadní předpovědi jsou velice přesné, následující graf Geoffa Hustona přesně zachycuje, kdy a s jakou frekvencí probíhá přidělování bloků do zmíněného regionu Asie-Pacifik. Tento region je v současnosti zdaleka nejaktivnější. Na druhém konci pelotonu stojí pochopitelně region, který se nachází jižně od nás. Obdobný graf pro Afriku má totiž úplně jiný tvar a je z něj zřejmé, že Africe bude velký blok od IANA přidělen už pouze jednou. Ale na druhou stranu by jí adresy měly vydržet nejdéle ze všech regionů. I když třeba nás tento region překvapí. V červenci se hned dvě země černého kontinentu dostaly na seznam deseti zemí s nejvíce nově alokovanými adresami. Šlo konkrétně o Egypt a Jihoafrickou republiku. Ale jinak stále platí, že nejvíce alokuje Čína, tentokrát následovaná Koreou. Tyto dvě země si vzaly stejně adresního prostoru jako celý zbytek světa dohromady, to je něco přes 10 miliónů adres.
V porovnání s těmito čísly je česká spotřeba adres úsměvná. Češi alokovali v srpnu pouze 8192 adres. Inu je zřejmé, že my středoevropané oddálit konec „starého Internetu“ nemůžeme, naše role je v tomto procesu nepodstatná. My se můžeme pouze připravovat na situaci kdy ten konec přijde a to tedy znamená zavádět nový protokol IPv6.

Ondřej Filip

Dvojkotví

Stejně jako všichni lidé, kteří se nějakým způsobem podílejí na správě DNS infrastruktury, jsem se i já těšil na podpis kořenové zóny. Všichni jsme si od tohoto kroku slibovali, že konečně bude jeden jediný pravý bod důvěry (trust anchor – kotva), který velice rychle nahradí dosavadní dočasné mechanismy jako je ITAR či DLV. Osobně jsem očekával, že hned, jak bude umožněno vkládat DS záznamy do kořenové zóny, tak učiní všechny podepsané domény nejvyšší úrovně. Dnes máme už téměř tři týdny po podpisu kořene a více než měsíc od okamžiku, kdy bylo možné DS záznamy vkládat. Pojďme se tedy podívat, jak situace s kořenovou zónou vypadá. Poměrně překvapivé je zjištění, že v kořenové zóně je 11 domén (bg, br, cat, cz, dk, edu, lk, na, org, tm, uk), zatímco v ITARu je 12 domén (arpa, bg, br, ch, cz, li, na, nu, pr, se, th, tm). Na druhou stranu počet domén v ITARu neustále klesá, nedávno například ITAR opustila .lk a .org. A pochopitelně počet DS záznamů v kořenové zóně roste. Nicméně právě druhým překvapením je, že v kořenové zóně nejsou dvě vetší domény – .se a .eu. Evropská .eu není ani v ITARu. Zástupkyně švédské domény se v mailinglistu vyjádřila tak, že v době dovolených nemají kapacity na vložení DS záznamu, a že tak učiní v průběhu srpna. To je zajímavé vyjádření. Z naší zkušenosti musím říct, že to rozhodně mnoho práce nevyžaduje :-)

Každopádně i tak můžeme říct, že ITAR se pomalu stává minulostí, už rozhodně nelze validovat jen s ním. Česká doména jej kvůli rotaci klíčů opustí brzy a dá se předpokládat, že obdobně se zachovají i ostatní registry. Naopak nové registry už budou vkládat své DS záznamy přímo do kořene. V mailinglistech věnovaných rozvoji DNSSEC byla už spuštěna debata o tom, kdy provoz ITARu definitivně ukončit. Zatím ještě žádné datum nepadlo.

Každopádně, pokud jste tak ještě neučinili, nastavte své resolvery, aby validovaly proti kořenové zóně. Jinak už o mnoho domén „přijdete“.

Ondřej Filip

Bude páté sudiště pro řešení sporů dle UDRP v Indii?

ITMAC (Indian Arbitration and Mediation Centre) se chce stát akreditovaným poskytovatelem řešení sporů o doménová jména podle pravidel UDRP (The Uniform Domain Name Dispute Resolution Policy – Jednotné zásady pro řešení sporů týkajících se doménových jmen), podle kterých se postupuje ve všech gTLD a některých ccTLD. O žádosti bude ICANN rozhodovat již v příštím týdnu a bude-li schválena, stane se ITMAC pátým sudištěm vedle Světové organizace duševního vlastnictví (WIPO), Národního arbitrážního fóra NAF v USA, Asijského centra pro rozhodování sporů o doménová jména (ADNDRC) a českého Rozhodčího soudu při Hospodářské komoře České republiky a Agrární komoře České republiky.

Jak vyplývá z návrhu, ITMAC má nyní 18 panelistů, kteří by spory rozhodovali a je schopno nabídnout řešení sporů v mnoha jazycích, které jsou v Indii a okolních státech používány (tedy kromě angličtiny také hindština, tamilština, bengálština a další). Navržené poplatky jsou o něco vyšší než například u českého Rozhodčího soudu: spor o jednu doménu řešený třemi rozhodci vyjde v Čechách na 81 tis. Kč, v Indii na cca 89 tis. Kč (217 tis. rupií). Spory o česká doménová jména však nejsou řešeny podle pravidel UDRP, ale jde o rozhodčí řízení ve smyslu zákona č. 216/1994 Sb., o rozhodčím řízení a výkonu rozhodčích nálezů.

Zuzana Durajová