.blog

V minulém roce jsme už touto dobou měli plné ruce práce s přípravou konference Internet a Technologie 11. Letos tomu je trochu jinak. Místo tradičního červnového setkání totiž plánujeme jednodenní akci výhradně zaměřenou na IPv6 a zcela logicky ji uspořádáme na světový start IPv6, tedy na 6. června 2012. Nebudeme v tom pořadatelství sami, chystáme ji společně s EURidem a NIXem.

Akce bude mít víceméně stejný formát, na který jste od nás zvyklí. Opět ji máme v plánu doplnit o nějaké workshopy, opět ji budeme streamovat (i když možná jen po šestce ), opět bychom rádi představili někoho ze světové komunity. Jisté je už i místo konání, kterým bude Ballingův sál Národní technické knihovny na šestce (čti v Praze Dejvicích). V plánu máme samozřejmě i nějaké novinky spojené s hlavním i doprovodným programem. Jejich odhalení má ale ještě svůj čas. Na co ale určitě není brzy, to je uložení této akce do vašich kalendářů!

Co je v tuto chvíli aktuální je program akce. Vytipovali jsme přednášející, na které se pomalu začínáme obracet. Říkali jsme si ale, že by bylo dobré znát názor internetové komunity na to, koho na akci pozvat a co nového se dozvědět; jaká přednáška a čí by vás zajímala, co byste na konferenci o šestce rádi viděli a slyšeli, případně třeba i vyzkoušeli. Budeme proto moc rádi, když se s námi v komentářích pod textem podělíte o své nápady a myšlenky. Předem za ně děkujeme.

A na závěr ještě něco málo k našim letošním akcím. Kdo jste už dopředu počítal s tradiční konferencí Internet a Technologie, určitě s ní počítejte dál. Máme ji v plánu na druhou půlku roku. Důvodem je doslova natřískaný červen, do něhož spadá nejen mezinárodní šestkový den, ale hlavně nedlouho poté nás čeká velice významná mezinárodní akce a to 44. ICANN meeting. Přijít se podívat na vybrané akce tohoto setkání můžete samozřejmě také.

Ondřej Filip

Jak jistě víte, pravidelně měříme rozšíření protokolu IPv6 v doméně .cz. V únoru jsme zaznamenali překročení důležité hranice – každý desátý webový server (tedy přesně každý web běžící na adrese ve tvaru www.<doména>.cz) má AAAA záznam a je tedy dostupný po IPv6. Při detailnějším pohledu by někomu mohlo přijít divné, že po nedávném ohlášení 900 000 domén v zóně .CZ stačí 89 561 domén na oněch 10 procent. Pro vysvětlení, my počítáme poměr u domén generovaných do zóny. Ten rozdíl tedy tvoří domény v ochranné lhůtě nebo ty, které nemají správný NSSET a pod.

K 10 procentům se blíží také počet mailových serverů s IPv6, což je další velice pozitivní zpráva. A vůbec nejlepší je situace v oblasti jmenných serverů; zde patrně velký kus práce odvedli naši registrátoři. Totiž přes 48 procent domén má alespoň jeden takový server dostupný po “šestce” (pevně věřím, že už na konci března dojde k pokoření hranici 50 procent). Dopomoci k tomu můžete i vy. Stačí jen nasadit IPv6 ve vaší síti nebo na vašich serverech.

Kdo sleduje náš blog, ten ví, že téma IPv6 je v našem hledáčku dlouhodobě. Osvěty v této oblasti zatím rozhodně není moc. Krom našich školení, knihy a podobně připravujeme další akce. Ale o tom až příště….

Každopádně, IPv6 stoupá a to je vzhledem k docházení IPv4 adres moc dobře. Velmi by mohl pomoci plánovaný druhý světový den IPv6, který bude 6. června 2012. V tento den zapnou (tentokrát už nastálo) IPv6 největší světoví hráči jako Google, Facebook, Akamai, Microsoft Bing, Yahoo a mnozí další. Pevně věřím, že ani česká komunita nezůstane pozadu a aktivně se přidá. Rádi uslyšíme, třeba v komentáři pod článkem, jestli se také chystáte k tomuto dni připojit.

Ondřej Filip

Jedním z témat proběhnuvšího zasedání organizace ICANN byly problémy související se službou WHOIS. Jedná se o službu, kterou nabízejí prakticky všechny doménové registry a která slouží ke zjišťování informací o zaregistrovaných doménách a jejich držitelích. Z pohledu veřejnosti je to prakticky jediná možnost jak tyto informace, často nutné pro řešení sporů nebo bezpečnostních incidentů, získat. V zásadě se téma WHOISu na zasedání probíralo ve dvou rovinách. První rovinnou byla validita dat v registru a druhou problémy vlastního přístupového protokolu definovaného podle RFC 3912.

ICANN v rámci svých pravomocí definuje pravidla pro fungování generických domén nejvyšší úrovně (gTLD) jako jsou .com, .org nebo .net a to včetně pravidel pro získávaní a zveřejňování údajů o držitelích v nich registrovaných poddomén. Kvalita těchto údajů je v registrech jednotlivých domén různá a obdobně se liší přístup k zacházení s těmito daty. ICANN proto na konci roku 2010 ustanovil skupinu nazvanou WHOIS review team, která měla situaci zanalyzovat. Výsledkem jejich práce je zpráva, která mimo jiné ICANN vyzývá, aby situaci řešil a zpřesnil validitu údajů o 50 % během 12 měsíců. Registry národních domén si pravidla co, kdy a jak zveřejňovat stanovují sami, což ale neznamená, že je nízká validita dat také netrápí. K vidění bylo několik prezentací, které nabízely různé cesty jak zajistit, aby data o držitelích domén byla validní. O cestě, kterou zvolilo Estonsko a která vychází z předávání bankovní informace o vlastníkovi účtu, z něhož se zaplatila doména, jsme již psali v souvislosti s naším registračním systémem FRED, který v Estonsku používají. Vlastní cestu prezentovalo také Turecko. U nás se snažíme jít cestou, že ověřeným kontaktům nabízíme něco navíc a to možnost vlastní správy údajů a sdíleného přihlašování v rámci služby mojeID.

Veřejnost má k těmto údajům přístup kromě obvyklých webových vyhledávacích stránek také pomocí stadardního protokolu podle RFC 3912. O tom, že tento protokol překročil hranice svých možností, se diskutuje již dlouho. Během podzimu loňského roku ale tato situace akcelerovala zejména díky aktivitě adresních registrů. Uvnitř ICANN na problematiku poukázala také zpráva č.51 výboru SSAC (Security and Stability Advisory Committee). Pěkný souhrn poskytla i prezentace z aktuálního setkání. V čem je největší problém? Prakticky všichni se shodují na následujících třech bodech:

• stávající WHOIS protokol umožňuje přesun balíku dat ze serveru na klienta. Neexistuje žádný standardizovaný model pro přenášená data a každá implementace si to tedy dělá po svém.
• neexistuje žádná standardizovaná podpora pro různé jazyky. Protokol neumožňuje vyspecifikovat kódování předaných údajů
• neexistuje žádná možnost autentizace klientů s tím, že by se různým skupinám nabízela různá data

Vyřešení tohoto problému si na svá bedra naložilo IETF. Na první informativní schůzce (BOF) při posledním zasedání se ale strhla bouřlivá diskuze. Problém je, že doménový svět se již o změnu jednou pokusil. Pracovní skupina CRISP zhruba mezi roky 2003 a 2007 vygenerovala jako náhradu WHOISu protokol IRIS, který se ale vůbec neprosadil. Zástupci adresních registrů poměrně silně ventilovali svoje obavy, že kvůli doménám opět skončí tento pokus neúspěšně. Jestli se tyto dvě skupiny dohodnou na ustanovení společné pracovní skupiny se ukáže příští týden na IETF 83. Podle diskuze v mailové konferenci to spíš směřuje ke kompromisu. Jak by finální výsledek mohl vypadat napovídají existující prototypy adresních registrů (ARIN, RIPE,…). Bude se jednat zřejmě od REST službu postavenou na HTTP protokolu s definovaným adresním schématem (např. whoisserver/contact/id) a v odpovědi se bude vracet XML nebo JSON struktura s výsledkem. Ale jsme teprve na startu, takže nebudu předbíhat…

Jaromír Talíř

Ve svém nedávném blogpostu o identitách jsem zmiňoval finišující proces standardizace protokolu OAuth 2.0 směřující do podoby RFC a novou iniciativu v podobě protokolu OpenID Connect. Tyto technologie a digitální identity vůbec budou zdá se jedním z důležitých témat blížícího se setkání IETF 83. Jako první se iniciativy chopil ISOC, který na příští úterý ohlásil panelovou diskuzi na téma Authentication and Authorization: Next steps for OpenID and OAuth. Vzápětí se na čtvrteční program konference dostala sada prezentací následovaná otevřenou diskuzí na téma Beyond HTTP Authentication: OAuth, OpenID, and BrowserID. Na oboje jsem velice zvědavý, stejně tak na výsledek, které obě akce přinesou.

Na IETF se tyto technologie objevují ještě v jednom ne úplně nevýznamném kontextu. V pracovní skupině KITTEN (Common Authentication Technology Next Generation) se například řeší, jak využít OpenID, OAuth nebo SAML pro autentizaci v běžných internetových protokolech používajících standardy GSS a SASL. Nemusí tak být úplně nesmyslná představa, že jednou bude možné se pomocí OpenID přihlašovat i do LDAPu, IMAPu a dalších. Třeba to nebude trvat dlouho, nechme se překvapit.

Jaromír Talíř

Na právě probíhajícím setkání ICANN ve středoamerické Kostarice propagujeme další mítink, který se bude v červnu konat u nás v Praze. Součástí prezentace je obrázek notoricky známého panoramatu s Hradčany, na nějž mohou účastníci mítingu lepit pohlednice s atributy typickými pro Českou republiku. Mezi tyto „taháky“ patří třeba pivo, historické památky nebo krásné ženy. A právě ty se staly předmětem nedorozumění.

Poté, co si jeden účastník setkání stěžoval na údajný sexistický charakter těchto pohlednic, byly ze stánku na žádost ombudsmana organizace ICANN staženy. V pravidlech ICANN se píše, že všichni členové této komunity jsou si rovni a to nejen v otázkách pohlaví, ale i víry nebo rasy, s čímž naprosto souhlasíme.

Za CZ.NIC bych rád dodal, že diskriminace je v přímém rozporu s našimi hlavními firemními hodnotami. V žádném případě jsme neměli v úmyslu kohokoliv diskriminovat nebo urazit. Plně respektujeme pravidla organizace ICANN, a proto jsme ihned po předání stížnosti nálepky s motivem dívky z našeho stánku odstranili. Nicméně, dle našeho stále trvajícího přesvědčení není dívka na problematickém obrázku znázorněna ani náznakem v sexuálním kontextu. Ale jak je vidět, hranice politické korektnosti leží pro každého jinde, což se projevilo například i tím, že problém nastal až třetí den, a to poté, co tyto pohlednice řada účastníků vylepila na našem stánku. Do té doby se nikdo ani náznakem nezmínil, že by mu to nějak vadilo. Zajímavé také je, že po stažení těchto nálepek se na tabuli se vzkazy začalo objevovat i slovo HOLKY.

Vilém Sládek

Předminulý týden, při vydání první ostré verze autoritativního DNS serveru Knot DNS, jsme vám slíbili článek, který by přiblížil jeho vývoj od počátku až k finální verzi. Ten nám ale posléze narostl pod rukama do rozměrů už nevhodných pro publikaci na blogu, a tak vám zde nabídneme alespoň malou ochutnávku. Kde najdete více se pro jistotu dozvíte až na konci textu .

Opatrné začátky
Už je to téměř dva a půl roku, co začal v Laboratořích CZ.NIC pomalu vznikat nový autoritativní DNS server Knot DNS. Na podzim roku 2009 to začalo řadou experimentů a testů, zaměřených hlavně na výběr vhodné datové struktury pro ukládání zónových dat. Ta byla implementována jako první a kolem ní byl následně vystavěn první prototyp serveru s velmi jednoduchou síťovou vrstvou, který dočasně využíval knihovnu ldns pro ukládání dat specifických pro DNS.

Hlavní důraz byl kladen na modularitu návrhu tak, aby kteroukoliv část bylo možné kdykoliv nahradit lepší implementací. Velká část původního návrhu byla zachována i do finální verze. Na funkčním prototypu jsme si ověřili vhodnost zvolené datové struktury a také její potenciál pro vysokou rychlost vyhledání potřebných dat pro zodpovězení příchozího dotazu.

Jde do tuhého
Když na podzim roku 2010 přibyli do týmu další lidé, vývoj se výrazně rozhýbal. Knihovna ldns byla nahrazena vlastní DNS knihovnou, vznikla nová síťová vrstva a obsluha vláken. Během následujících měsíců byly některé části návrhu upraveny tak, aby nás co nejvíce přibližovaly našemu hlavnímu cíli – vyvinout vysoce výkonný DNS server. Při vývoji jsme však nezanedbali ani důkladné testování jak jednotlivých částí, tak celého serveru. Časem vznikl komplexní testovací framework integrující testy na různých úrovních, který je jednoduše rozšířitelný o další funkce a testovací scénáře.

Cílová rovinka (či spíš překážková dráha)
Po dvou letech vývoje, na podzim roku 2011, jsme si byli dostatečně jistí poskytovanou funkcionalitou, a proto jsme představili první veřejné vydání Knot DNS (verze označená jako 0.8). Již krátce po prezentaci na RIPE 63 ve Vídni, a také u nás na konferenci LinuxAlt v Brně, jsme začali dostávat první připomínky od uživatelů, které nám v následujících měsících pomohly vylepšit Knot DNS a opravit mnohé chyby, které jsme „nevychytali“ během předchozího vývoje. Verze 0.9 vydaná na začátku roku 2012 přinesla několik nových funkcí a oprav. Po ní jsme se intenzivně soustředili už jen na testování, hledání chyb a ladění, které nakonec vyústilo v první produkční verzi. Její Release Candidate byl zveřejněn na Valentýna a finální verze 1.0 pak byla vydána ve skutečně výjimečný den 29. února.

A jsme na konci tohoto blogpostu a tedy u toho, kde se o Knot DNS můžete dozvědět více. Jestli jsem vás navnadil, pokračujte v dalším čtení na Root.cz, pro který jsme připravili text skutečně mnohem obsáhlejší.

Ľuboš Slovák