.blog

V souvislosti s plánovanou odstávkou registračního systému (proběhla v noci z 22. na 23. března) došlo mimo jiné k jedné změně na našem domovském webu www.nic.cz. V sekci Registrátoři teď najdete rozšířený seznam, který nově obsahuje ikony symbolizující podporou aktuálních internetových technologií u jednotlivých registrátorů domén .CZ. Konkrétně se jedná o ikony spojené s podporou DNSSEC, mojeID a IPv6. Všechny tyto moderní technologie považujeme za důležité jak z pohledu zákazníků, tak z pohledu CZ.NIC, a proto jsme se rozhodli dát veřejně najevo, jak si kdo v které oblasti stojí. Abychom mohli jednotlivé registrátory s danými technologiemi spojit, museli jsme vytvořit pravidla, podle nichž bychom je mohli „klasifikovat“.

Registrátor s ikonou DNSSEC musí splňovat tyto podmínky:

• hlavní stránka tohoto registrátora musí být zabezpečena DNSSEC
• registrátor musí na svých stránkách DNSSEC nabízet
• registrátor má minimálně 50 domén, u kterých je určeným registrátorem, zabezpečených technologií DNSSEC

Na ikonu mojeID má nárok ten registrátor, který:

• umožňuje použití služby mojeID svým zákazníkům, a to pro: registrace nových zákazníků, přihlašování zákazníků do systému registrátora, autorizaci změn pro validované kontakty (tato funkcionalita je pro zařazení ikony do konce roku 2011 nepovinná)

Ikona IPv6 patří registrátorovi:

• jehož hlavní stránka, na kterou vede odkaz ze seznamu registrátorů, je dostupná přes síť IPv6 only včetně DNS resolvingu
• jenž umožňuje zákazníkům přiřadit IPv6 adresu do GLUE záznamu a má alespoň dva takové záznamy v registru

Kteří registrátoři podmínky splnili, můžete zjistit na našich stránkách. Je potřeba ale říci, že prázdná místa v tabulce ještě nutně nemusí znamenat, že registrátor podmínky nesplnil nebo že danou technologii nepodporuje. Možnost zviditelnit používání moderních technologií prostřednictvím seznamu na www.nic.cz je dobrovolná. Registrátoři zároveň nemají striktní termín, do kdy se mohou nebo musí k danému projektu připojit. Kromě ikon mají také registrátoři stále možnost mít v této tabulce konkrétní návod, jak u kterého subjektu registrovat doménu .CZ.

Martin Peterka

IPv4 adresy nám ještě ani pořádně nedošly a už tu máme první zdokumentovaný případ prodeje adres, nebo přesněji zatím pokusu o prodej. O co přesně jde? Ústřední postavou příběhu je společnost s poměrně dlouhou i slavnou historií s dnešním názvem Nortel. Tato společnost získala v době rané éry Internetu v lednu roku 1991 blok IP adres 47.0.0.0/8 o velikosti téměř 17 miliónů adres.(v databázi IANA má označení Bell-Northern Research). O osmnáct let později tato společnost zkrachovala. Od té doby postupně rozprodává svůj majetek, což je činnost v bankrotovém režimu poměrně obvyklá.

Co je ale neobvyklé je skutečnost, která v nedávné době rozvířila mnoho diskusí lidí zabývajících se internetovou infrastrukturou. Dow Jones Daily Bankruptcy Review přinesl informaci, že Nortel prodal část svého adresního prostoru společnosti Microsoft. (Pozn. aut.: Bohužel nemám placený přístup do této aplikace a tak se v tomto případě spoléhám pouze na sekundární zdroje.) Z údajného dokumentu Delawarského úpadkového soudu vyplývá, že Microsoft koupil 666 624 IP adres za cenu 7 500 000 USD. Z toho 470 016 adres je k okamžitému použití a 196 608 je zatím využíváno a bude k dispozici později. Dlužno podotknout, že jde pouze o návrh smlouvy. Soud by měl ještě vše stvrdit.

Musím říci, že tato zpráva je pro mě zatím trochu záhadná. Především mi není úplně jasné, o jaké adresy jde a proč je jich tak podivné množství. IP adresy nejde převádět po jedné, lze to pouze po blocích. 666k sice vypadá jako poměrně magické číslo, ale velikosti IP bloků bývají vždy nějaké mocniny dvojky, nebo chcete-li kulatá čísla ve dvojkové soustavě. Číslo 666 624 se ve dvojkové soustavě zapisuje jako 10100010110000000000. Počet jedniček v tomto čísle udává nejmenší možný počet IP bloků, které by se mohly převádět. Ale možná bude vysvětlení prozaičtější, dokument jistě nepřipravoval žádný správce routerů.

Tedy pro teď předpokládejme, že čísla jsou v pořádku. Pak by hodnota jedné IP adresy byla o něco více než 11 USD. Vzhledem k tomu, že Nortelu ještě zůstala větší část z původního velikého bloku čítající cca 16 miliónů adres, mohou další prodeje vydělat věřitelům ještě slušných 162 miliónů USD. Proč nebyly prodány všechny IPv4 adresy? Že by byly všechny využity? Nebo odprodány s jinými částmi společnosti?

Vlastní dokument dokonce cenu IP adresy komentuje. Zmiňuje fakt, že cenu nelze určit na základě předchozích transakcí, protože takových mnoho není. Je tedy odůvodněna cenou, kterou za přidělení IP adresy účtují ISP, a také náklady na přechod na protokol IPv6 a podmínkami trhu po vyprázdnění IPv4 registrů.

Z tohoto vyplývá, že celý alokovatelný adresní prostor by pak byl oceněn na cca 42 miliardy USD, což je už celkem solidní číslo. Bohužel, ladem nám pak v tomto světle leží cca 3 miliardy USD za nevyužité adresy třídy E. Je otázkou, zdali by někdo za takovou sumu nepřišel na způsob, jak je využít.

Je ještě předčasné dělat závěry, jestli byl sekundární trh s IPv4 adresami spuštěn či nikoliv. Zatím není úplně zřejmé, co se vlastně Microsoft snaží koupit. Transakce ještě nebyla dokončena a velice důležité bude, jak se k problému postaví správce severoamerického adresního prostoru ARIN, který je zmíněn jako příjemce oznámení o této transakci. Bude velmi zajímavé dále sledovat, jak se kauza vyvine.

A jaká je situace u vás? Nemáte pocit, že právě výrazně vzrostla hodnota vašich sítí?

Ondřej Filip

Už to vypadá skutečně jako hotové. Představenstvo ICANNu na svém pátečním veřejném jednání v rámci ICANN konference schválilo smlouvu se společností ICM Registry a pověřilo zaměstnance podpisem smlouvy. Dá se tedy předpokládat, že kontroverzní doména .xxx se brzy objeví v kořenové zóně. Od podání žádosti to zatím trvá již zhruba sedm let. Už od samého začátku vzbuzovala silné emoce a bylo nesmírně zajímavé tuto bitvu sledovat.

Dovolte mi jen stručně představit historii této kauzy. Po podání žádosti v březnu 2004, byla tato žádost poprvé schválena v červnu 2005. Již od samého počátku měl k žádosti silné připomínky poměrně vlivný vládní výbor – GAC (Government Advisory Comittee). První návrh smlouvy k veřejným komentářům byl zveřejněn v dubnu 2006 a v květnu nebyl schválen představenstvem. Po té byly publikovány další dva návrhy smluv v lednu a únoru roku 2007. A kompletní žádost pak byla zamítnuta v březnu 2007. Celá záležitost působila poměrně zvláštně a očekávala se žaloba ICM Registry na ICANN, tato společnost ale místo toho využila interní mechanismus ICANNu a požádala o tzv. nezávislé zhodnocení (Independent Review) v červnu 2008. Výsledky tohoto zhodnocení byly známy v únoru roku 2010 a daly za pravdu spíše argumentům ICM. A proto v červnu 2010 představenstvo pověřilo zaměstnance ICANN provést “due dilligence” a v srpnu 2010 publikovalo materiály a návrh smlouvy ke komentování, což se ještě téhož měsíce stalo. Přišlo zhruba 700 komentářů a ICANN se rozhodl smlouvu již neměnit. Smlouvu nakonec schválil tímto pátečním usnesením. Hlasování trvalo dlouho, hodně členů chtělo vysvětlit svá stanoviska a jestli jsem dobře počítal (bohužel úplný přepis ještě nebyl publikován), tak proti hlasovali jen tři a zhruba obdobný počet se zdržel. Teď už tedy vzniku domény nic nebrání a další kroky budou spíše technického rázu.

Osobně na vlastní kauzu nemám žádný vyhraněný názor. Rozhodně jsou tu ale lidé, kterým tato doména vyloženě vadí a dokonce kvůli tomu ve čtvrtek před konferenčním hotelem demonstrovali, což je zachyceno na tomto videu:

Je mi poměrně jedno, jestli tato doména vznikne. Dle mne Internetu neublíží, ani ho nijak nevylepší. Co je ale mnohem zajímavější je fakt, že představenstvo ICANNu ve svém rozhodnutí explicitně uvedlo, že se neřídí radou GACu. V GACu zasedají zástupci velkého množství vlád celého světa (včetně ČR) a doposud byly rady GACu téměř bezvýhradně respektovány. Nepřijde mi to příliš moudré, spíše bych doporučoval představenstvu ICANNu více naslouchat závěrům jednotlivých organizací a hlavních výborů, obzvláště v době, kdy na základě smlouvy (Affirmation of Commitment) s americkým ministerstvem obchodu běží vnitřní zhodnocení činnosti ICANNu, ve kterém má právě předsedkyně GACu důležité slovo a toto zhodnocení může mít zásadní dopad na budoucí podobu ICANNu.

Mimochodem GAC má výhrady i ke vzniku nových generických domén, jejichž vznik se v pátek také zásadně přiblížil. Ale o tom již v nějakém dalším příspěvku.

Ondřej Filip

Datovým schránkám se Laboratoře CZ.NIC věnují už od jejich počátků. Webové rozhraní systému datových schránek vyžaduje instalaci binárního pluginu do prohlížeče, ale prostředí má naštěstí také SOAP rozhraní, které umožňuje tvorbu aplikací třetích stran. V našich “LABS” postupně vzniklo hned několik knihoven a aplikací, které umožňují práci s datovými schránkami i na minoritních platformách jako je Mac OS X nebo Linux. Členem této rodiny je také iDatovka, která slouží pro přístup k datovým schránkám z iPhone.

Historie projektu

První experimentální verze iDatovky vznikla už v létě 2010. První podání do App Store proběhlo 8. srpna, ale bohužel nebylo úspěšné. Apple požadoval testovací datovou schránku a vadil mu název aplikace DS@iPhone. Aplikace totiž nesmí mít ve svém názvu slovo iPhone. Celý proces posouzení trval 11 dnů. Během srpna se aplikace dál vyvíjela, takže jsme se s dalším pokusem rozhodli počkat až na dokončení některých nových vlastností.

DS@iPhone byla přejmenována na dsgui. Název dsgui vznikl historickým vývojem. V Laboratořích v rámci podpory datových schránek pro desktop vznikla knihovna pro přístup k datovým schránkám, která byla pojmenována dslib. V další části projektu bylo vytvořeno uživatelské rozhraní, které bylo pojmenováno dsgui; dsgui mělo být jméno celé rodiny aplikací pro přístup ke schránkám na různých platformách.

Druhá verze už byla vybavená testovací datovou schránkou na jméno Steve Jobs a navíc už byla dvojjazyčná, protože byla obava, zda budou zaměstnanci Apple schopni otestovat ryze českou aplikaci. Aplikaci jsme podali 3. září a po 14 dnech se dočkali schválení. Verze dsgui 1.0 byla na světě.

Verze 1.0 byla stále experimentální. Záměrně jsme její existenci nikde nezveřejnili, protože uživatelské rozhraní ještě potřebovalo doladit. První veřejná verze dsgui 1.1 byla podána 29. října a schválena 6. listopadu. Oficiálně byla téhož dne představena v Brně na konferenci LinuxAlt. Zájem o dsgui nás příjemně překvapil, během prvního týdne jsme měli přes 1000 uživatelů.

Řada uživatelů si stěžovala na kryptické pojmenování dsgui, proto byla další verze přejmenována na iDatovku. iDatovka 1.2 vyšla 20. prosince a přinesla mnoho dalších drobných vylepšení uživatelského rozhraní jako datum poslední aktualizace zpráv a možnost pojmenování účtů.

Verze 1.3 vyšla 7. března. V předchozích verzích iDatovky nemohl uživatel během čekání na dokončení síťové operace aplikaci ovládat. Aplikace v iOS nemají možnost spustit další vlákno, které by operaci provedlo na pozadí. iDatovka 1.3 v rámci jediného vlákna umožňuje práci s aplikací i během stahování dat ze serveru, díky čemuž je použití mnohem pohodlnější a práce s aplikací plynulejší. Navíc přibyla možnost odeslat datovou zprávu e-mailem; po této funkcionalitě mnozí uživatelé volali.

Jak autoři testují

Titulek jsem si částečně vypůjčil z jednoho komentáře v App Store. Testování u aplikací pro iPhone je obzvlášť důležité, protože každá oprava se dostane k uživateli nejdříve po týdnu od podání do App Store. CZ.NIC má své testery, kteří mají aplikaci k dispozici dříve, než je podána do App Store. Navíc máme sadu testů, kterými musí aplikace projít, než je poslána do světa. Bohužel i přesto došlo k nepříjemné chybě, která znemožnila komunikaci se serverem. Správce serveru datových schránek vyměnil certifikáty, což je obvyklý a správný postup, ale iDatovka poté už nedokázala ověřit identitu serveru. Chybu jsme navíc zjistili 15 minut po zveřejnění nové verze 1.3 v App Store. Většina uživatelů tak došla k závěru, že nová verze nefunguje. Nefungovala by ale ani předchozí verze 1.2. Novou verzi 1.3.1 s aktualizovanými certifikáty jsme podali do App Store prakticky okamžitě, ale schválení stejně trvalo obvyklý týden. Pokusíme se najít takové řešení, aby se situace při příští výměně certifikátů neopakovala a zároveň aby zůstala zachována vysoká úroveň bezpečnosti.

Další vývoj

V současné době probíhá úprava iDatovky pro iPad. Dále plánujeme kontrolu nových zpráv i během doby, kdy je aplikace na pozadí a upozornění uživatele, podobně jako to dělá mail. Stále zvažujeme možnost odesílání datových zpráv.

Budu rád, když se o nápady podělíte v komentářích pod článkem.

Petr Hruška

Určitě jste si všimli, že Laboratoře CZ.NIC již nějakou dobu vyvíjí DNSSEC Validátor pro prohlížeč Mozilla Firefox. Tento doplněk prostřednictvím rekurzivního DNS serveru kontroluje validitu DNSSEC záznamů a výsledek dává najevo zobrazením patřičné barevné ikonky v adresním řádku prohlížeče. Uživatel tak snadno zjistí, jak je na tom jeho rekurzivní DNS server a zobrazená webová stránka s DNSSEC zabezpečením.

Před několika týdny jsme vydali novou verzi doplňku 1.1.0 (a posléze další minoritní verze s drobnými opravami), která obsahuje jednu pro uživatele na první pohled neviditelnou, ale podstatnou změnu. DNSSEC Validátor byl dříve implementován jako rozšíření s binární komponentou, která zajišťovala vlastní komunikaci s DNS servery. Volání binárních funkcí se dělo přes rozhraní XPCOM, které ovšem s vývojem Firefoxu prochází nemalými změnami; udržovat doplněk funkční napříč různými verzemi prohlížeče bylo dosti pracné. Proto jsme se rozhodli udělat změnu a binární komponentu nahradit zásuvným modulem komunikujícím přes rozhraní NPAPI.

Jako framework pro tvorbu modulu jsme použili FireBreath. I když se jedná o poměrně nový projekt, jeho vývojáři na něm intenzivně pracují; čekání na opravu případně nalezeného nedostatku zpravidla nepřekročí několik dnů. Kromě Mozilla Firefoxu NPAPI rozhraní podporují i další prohlížeče (z těch známějších Google Chrome, Safari a Opera), což umožňuje provozovat binární modul DNSSEC Validátoru napříč těmito prohlížeči na dané platformě bez jakýchkoliv dodatečných úprav. FireBreath umožňuje také jednoduchou implementaci vláken, čehož jsme využili a tím odstranili kolize DNSSEC Validátoru s některými jinými současně nainstalovanými doplňky, např. Firebugem.

Po úspěšném přechodu z XPCOM na NPAPI rozhraní jsme novou verzi DNSSEC Validátoru nahráli do AMO repozitáře a čekali na schválení editorem. Jaké bylo naše překvapení, když doplněk byl zamítnut právě kvůli změně na NPAPI. I když toto rozhraní přináší mnoho výhod a ulehčuje vývoj, AMO editoři měli nějaké interní, blíže nespecifikované, nařízení striktně takovéto doplňky odmítat. Poněkud zvláštní je, že tuto informaci se vývojář na webu Mozilly nikde nedozví a potom se může divit podobně jako my. Jelikož jsme v použití NPAPI nespatřovali žádné zásadní nedostatky, nechtěli jsme se proto s nastalou situací smířit a pokoušeli se alespoň pro nás vyžádat výjimku. Po několika “dobře mířených” e-mailech zejména na vývojáře Firefoxu se nám podařilo odmítavý postoj editorů zvrátit a vyvolat změnu v akceptaci doplňků s NPAPI moduly do AMO repozitáře. Povedlo se nám tedy více, než o co jsme usilovali, a věříme, že tuto změnu ocení i všichni ostatní vývojáři, kteří se rozhodnou NPAPI ve svých doplňcích pro Firefox využít.

Poslední verzi DNSSEC Validátoru 1.1.2, která používá zmíněný NPAPI modul a která podporuje mj. i brzo očekávaný Firefox 4.0, můžete stahovat prostřednictvím domovské stránky projektu nebo přímo z AMO repozitáře. Web AMO nabízí také docela hezké statistiky, kde se zájemce může kromě celkového počtu stažení doplňku dozvědět např. i počet aktivních uživatelů.

Aby těch novinek nebylo málo, tak prozradím, že v současné době pracujeme na verzi DNSSEC Validátoru pro Internet Explorer, takže se i uživatelé tohoto zatím nejrozšířenějšího prohlížeče můžou těšit na barevnou ikonku indikující stav jejich DNSSEC zabezpečení.

Zbyněk Michl

Český statistický úřad na stránkách scitani.cz včera upozornil na falešné sčítací komisaře. Nejen komisaři ale mohou být falešní (a prázdní? ). Letos poprvé – od půlnoci z 25. na 26. března – se na stránkách scitani.cz půjde přihlásit a vyplňovat formulář on-line.

Elektronickému sčítání by jistě šlo vytknout více nedostatků, já však upozorním jen na jeden: doména scitani.cz není zabezpečena technologií DNSSEC. Oblíbenost elektronické komunikace stoupá, přímo úměrný je ale počet uživatelů, jejichž povědomí o bezpečné komunikaci přes internet není, řekněme, příliš vysoké. Dá se tedy očekávat, že možnost on-line vyplnění využije značný počet osob. A rozhodně se najde pár lidí, kterým by se údaje z formulářů celkem hodily jako cenný zdroj informací, ať už je zamýšlejí (zne)užít jakkoliv. Vyplněné formuláře budou obsahovat množství citlivých osobních údajů a je s podivem, že ČSÚ doménu, na které budou on-line formuláře umístěny, nezabezpečilo prostřednictvím DNSSEC, který zajišťuje, že po zadání adresy www.scitani.cz do internetového prohlížeče jste se skutečně dostali na web, který je ovládán statistickým úřadem. Řešení je přitom jednoduché a levné a dá se stihnout ještě do spuštění sčítání – začít můžete třeba na www.dnssec.cz. Za stávajícího stavu se ale dostává vyplnění formuláře na webu scitani.cz na roveň vložení do obálky a zaslání poštou v předtištěné obálce. Schránka, do které zásilku vhodíte, bude v tomto případě nejspíš pravá, ale dostane se, neporušená, svému adresátovi?

Zuzana Durajová

Na první pohled by se mohlo zdát, že letošní únor v IPv4 alokacích téměř vyrovnal rekordní leden. Součet položek v alokačních záznamech udává téměř 36 miliónů alokací. Nicméně toto číslo je ovlivněno jednou nepřesností a tou je alokace bloku 185.0.0.0/10 v evropském regionu. Jde totiž pouze o dočasnou alokaci, která se provádí v rámci testování dostupnosti daného bloku, tzv. debogonizace. Poněkud více jsem o tomto procesu psal v jednom ze svých starších příspěvků. Po očištění o tento blok se tedy dostáváme k číslu menšímu než 32 miliónů, což je i tak nadprůměr.

Nejvíce adres spotřeboval jako obvykle region Asie-Pafic a to zhruba 22,6 miliónu. Na druhém místě skončil s velkým odstupem region Severní Amerika s 5,3 miliónu. Evropský region skončil na třetím místě s 3,5 milióny. LACNIC rozdal cca 300 tisíc adres a AfriNIC pouhých 50 tisíc. Je vidět, že rozdíly mezi regiony bohužel spíše narůstají a IPv4 dojde v různých částech světa velmi různě.

Překvapivě v žebříčku zemí tentokrát těsně nevyhrála Čína. Porazilo ji totiž Japonsko s více než 10 milióny alokovanými adresami. Z toho ale více než osm miliónů připadá na alokaci velkého operátora NTT, konkrétně jde o 153.128.0.0/9. Čína se v únoru spokojila “jen” s osmi milióny, Spojené státy požádaly o pět miliónů. Následující graf ukazuje rozložení alokací pro deset nejaktivnějších zemí a zbytek světa.

Jak už jsme si řekli, na poli IPv4 tento únor ničím výjimečným nebyl. Nicméně mnohem zajímavější byla situace na poli IPv6. Tam už o rekord šlo. V únoru bylo totiž alokováno 380 IPv6 prefixů, což je prozatím nejvíce v historii. Jak se počty alokací vyvíjely v jednotlivých měsících nejlépe ilustruje následující graf.

Jak je vidět, vyčerpání IPv4 adres v registru IANA skutečně probudilo mnohé dosud spící správce a donutilo je ke zvýšené aktivitě v zavádění IPv6. Alokace jsou jakýmsi předvojem skutečného zavádění IPv6, takže doufejme, že dojde k podobné akceleraci i u jednotlivých poskytovatelů služeb, a že budeme brzy zavaleni nabídkou připojení po IPv6 i jednotlivých IPv6 webů a ostatních služeb.

Ondřej Filip

Když jsme na podzim loňského roku spouštěli projekt mojeID, měli jsme za sebou samozřejmě i jeho představení registrátorům domén .cz; přikládali jsme tomu (a stále přikládáme) velkou důležitost. Z mého pohledu je zde totiž celá řada možností, jak využít systému a uživatelů mojeID pro běžný chod registrátorských webů. Všechny výhody, o kterých mluvíme v souvislosti s MojeID (jednotné přihlášení, není nutné vytvářet řadu účtů u jednotlivých poskytovatelů atd.), jsou totiž u registrátorů domén .cz platné úplně stejně. Vlastně ještě víc.

Vždyť navíc je možné použít účet mojeID přímo u domén ve všech rolích (držitel, administrativní i technický kontakt) a bez nutnosti nějakých dalších převodů, úprav a doplňování. Další výhodou je samozřejmě to, že CZ.NIC má – minimálně v případě validovaných uživatelů – ověřené základní údaje o jednotlivých účtech a z pohledu registrátora je tedy lze použít k bezpečné autentizaci změn – v mnoha případech bezpečnější, než jak je to prováděno dnes. I proto jsme čekali na okamžik, kdy první z registrátorů prolomí pomyslnou bariéru mojeID a implementuje ho do svého systému. To se stalo zhruba před měsícem, kdy v rámci spuštění svého nového webu otevřel možnost využívání přihlašování přes službu mojeID registrátor GRANSY. Ten v tuto chvíli umožňuje (po přihlášení prostřednictvím mojeID) přiřazení stávajícího anebo registraci nového účtu a samozřejmě plnohodnotnou práci s tímto účtem.

Pokud vím, v tuto chvíli je pomocí mojeID vytvořeno u GRANSY již téměř 100 uživatelských účtů. Doufám, že toto číslo se bude zvětšovat. Impulsem k tomu určitě bude i další připravovaná funkcionalita, kterou je autentizace změn přes mojeID. Pokud si chcete přihlášení u GRANSY sami vyzkoušet a máte mojeID účet, máte možnost na www.subreg.cz.

Martin Peterka