MojeID mluví více jazyky, naučilo se SAML a OpenID Connect

Služba mojeID byla od svého vzniku v roce 2010 úzce spjata s autentizačním protokolem OpenID 2.0. Tento protokol byl pro nás v té době nejlepší volbou, protože kombinoval jednoduchost implementace a dostupnost knihoven pro různé programovací jazyky. OpenID 2.0 ale není jediný autentizační protokol. O některých dalších, jako například o protokolu SAML nebo OpenID Connect, jsem psal i na našem blogu. Zejména protokolu OpenID Connect, jehož standardizace byla dokončena na začátku loňského roku, věští analytikové slibnou budoucnost. No a dobrou zprávou je, že mojeID již není „jednojazyčné“, ale dokáže se domluvit s poskytovateli služeb i těmito dalšími protokoly.

Implementace DNSSEC v doméně CZ zvýšila úroveň zabezpečení

Technologie DNSSEC, vytvořená k zabezpečení protokolu DNS, byla do správy české domény zavedena v roce 2008. V té době byla Česká republika teprve pátou zemí na světě, v níž se k tomuto kroku správci odhodlali. V dnešní době je DNSSEC téměř standardem, a jak ukazuje statistika organizace ICANN, mezi doménami nejvyšší úrovně je poměr zabezpečených již na 84 %.

Chci také tu vaší kartičku!

Služba mojeID slouží k přihlašování na různých jiným službách na Internetu. Mezi uživateli naší služby najdeme jak ty aktivní, kteří přihlášení použijí několikrát denně, tak i ty pasivnější, kteří se přihlásí ke své oblíbené službě třeba jednou za několik měsíců. Je to způsobeno také  tím, že mnoho internetových služeb implementuje trvalé přihlášení a pokud se do nich přihlásíte jednou, můžete zůstat přihlášeni až do doby, než se vám rozbije počítač a budete ho muset přeinstalovat. Ponechme stranou bezpečnostní aspekty takového trvalého přihlášení, vždy je to osobní rozhodnutí uživatele a ten si musí být souvisejících rizik vědom. Z našeho pohledu to znamená, že to vlastní přihlášení do své oblíbené služby prostřednictvím mojeID uživatel provede velice zřídka. Často se tak na naši zákaznickou podporu obracejí uživatelé, kteří najednou zjistí, že by službu rádi použili, ale už si nepamatují své uživatelské jméno. Sdělování takových informací je samozřejmě ošidné a vyžaduje nějaké další způsoby ověření, abychom si byli jistí, že mluvíme se správným člověkem.

Nová možnost nastavení komunikace s držiteli v Doménovém prohlížeči

Minulý týden jsme vydali novou verzi Doménového prohlížeče. O této aplikaci pro držitele doménových jmen jsme psali již dříve v blogpostech o první a druhé verzi. Souhrnně řečeno v ní mohou držitelé domén najít přehledné informace o doménách, ke kterým mají nějaký vztah, ať už jako držitelé nebo administrativní či techničtí správci. Kromě toho mohou uživatelé provádět jejím prostřednictvím i některé změny a to například zablokování domén proti změnám nebo slučování duplicitních kontaktů.

Slučování kontaktů v Doménovém prohlížeči

V září loňského roku jsme vám představili novou webovou aplikaci nazvanou Doménový prohlížeč. Tato aplikace slouží držitelům a administrativním nebo technickým správcům domén pro zobrazení přehledu svých domén a dalších navázaných objektů v doménovém registru. Uživatel se po přihlášení do aplikace dozví například, kdy mu domény expirují nebo na jakého registrátora se obrátit pro řešení problémů s jeho doménami. Podrobněji jsem o možnostech prohlížeče psal v předchozím příspěvku. Pokud patříte k lidem, kteří mají rádi pořádek a vlastníte nějakou CZ doménu, jistě oceníte novou vlastnost této aplikace, kterou je slučování kontaktů.

Chyba v OAuth a OpenID? Ale kdepak…

O víkendu rozvlnila mediální rybník zpráva o zranitelnosti protokolů OAuth 2.0 a OpenID. Alespoň takto většina médií interpretovala nález studenta Singapurské univerzity Wang Jinga. Bohužel se tato interpretace objevila i v  článku na domácím serveru Lupa.cz a tak by stálo za to uvést ji na pravou míru. Faktu, že v protokolech samotných problém není, se obšírněji věnuje například John Bradley, jeden z architektů těchto protokolů. Ve svém blogu Bradley trochu ironicky komentuje touhu médií získat stejnou pozornost, jako v případě nedávno objevené skutečné bezpečnostní hrozby Heartbleed, o které jsme psali i na našem blogu.

FRED dobývá Balkán

Poté, co na začátku loňského roku spustila produkční provoz našeho doménového registračního systému FRED pro svoji vlastní národní doménu po několika letech příprav Albánie, se totéž zhruba před měsícem opakovalo u další balkánské země a to u sousední Makedonie. A vzhledem k tomu, že během loňského roku projevili vážný zájem o tento námi vyvinutý software také Srbové, dá se směle říct, že oblast Balkánu se stává pro FREDa druhým domovem. Nebylo by pěkné, kdyby se jednotícím prvkem těchto několika v minulosti tolikrát soupeřících národů stal český systém ;)?

Hostování projektu SourceForge…

Aneb konečně jsme nastavili zrcadlo!

Asi před rokem jsme se dozvěděli od společnosti Ignum, provozující lokální zrcadlo populárního úložiště pro open source projekty SourceForge, že v hostování tohoto zrcadla již nadále nebudou pokračovat. Navrhli jsme jim, že bychom v tomto projektu, který bezpochyby slouží lokální internetové komunitě, pokračovali u nás v rámci CZ.NIC. Po krátké debatě jsme se nakonec dohodli, že vybudujeme zrcadlo od znovu na vlastním hardware a převzali jsme od nich hlavně know-how týkající se rozjezdu celého procesu v rámci provozovatele SourceForge. Vlastní realizace nějaký čas zabrala, protože kromě nákup HW bylo nutné vyřešit celou záležitost papírově.

Obamacare má technické problémy kvůli chybě v jednotném přihlašování

Možná jste již v médiích zaznamenali, že Barack Obama připustil rozsáhlé technické problémy své zdravotnické reformy. Jeden z architektů protokolu OpenID Connect John Bradley k tomu na svém blogu napsal krátké shrnutí, ve kterém tvrdí, že jednou z příčin těchto problémů je zvolený způsob implementace jednotného přihlašování na hlavním webu healthcare.gov.

Velké instituce, zejména ve státní správě (samozřejmě myšleno mimo ČR), nejdou úplně rychle z dobou a pro jednotné přihlašování (anglicky „single sign-on“) v rámci svých digitálních agend používají léta prověřený protokol SAML.  Platí to jak pro připravovaný systém propojení evropských digitálních identit STORK, kterého se účastníme, tak i pro systémy federální vlády Spojených států. SAML je předchůdce OpenID a psal jsem o něm i na našem blogu.

Příčinou problémů je nestandardní použití jednoho atributu protokolu SAML. To způsobuje, že poskytovatelé služeb zdravotního pojištění, kteří se chtějí napojit na centrální systém, musí aktualizovat svoje systémy, aby se nestandardnímu chování přizpůsobili.

U nás v České republice, kde v digitalizaci státní správy teprve dobíháme vyspělejší státy, a kde jsem si také užili své při startu různých centrálních registrů,  může tato situace vyvolat lehký posměch. Ani ve Spojených státech se spouštění velkých projektů neobejde bez komplikací. Na druhou stranu je třeba ocenit, že tyto vyspělejší státy sáhnou radši po prověřeném standardu, než aby vymýšlely vlastní proprietární řešení. V České republice vedle mojeID, které je již používáno i městy a obcemi, nabízí jednotné přihlašování i systém datových schránek. Ten se však vydal cestou vlastního technického řešení a zatím jej využívá jen jeden subjekt.

Jaromír Talíř