Druhá fáze automatizované správy DNSSEC klíčů

Na červnové konferenci IT 17 jsme informovali o spuštění nového způsobu správy DNSSEC klíčů v registru domény CZ. Jak je výstižně popsáno v blogpostu Ondřeje Filipa, naším cílem je co nejvíce minimalizovat administrativu spojenou se zavedením DNSSEC pro držitele CZ domén. S využitím nového způsobu správy DNSSEC klíčů stačí, aby správce DNS při použití správného nástroje pouze zapnul DNSSEC, nastavil jeho parametry a o nic víc se nemusí starat. Při startu projektu jsme rozdělili domény do tří skupin – na domény bez DNSSEC, na domény, které jsme novým způsobem převedli do automatizované správy, a na domény, které již DNSSEC nastaven měly.  Na konferenci jsme oznámili spuštění podpory automatizované správy DNSSEC klíčů pro první dvě skupiny domén s tím, že třetí skupinu zapojíme do projektu později. Dnes tedy plníme tento slib a spouštíme druhou fázi se zapojením také zmíněné třetí skupiny domén.

Mají i dnes smysl otevřené validující resolvery?

Již řadu let naše sdružení provozuje službu skrývající se pod zkratkou ODVR, tedy Otevřené DNSSEC Validující Resolvery. V dobách, kdy byl DNSSEC v plenkách, jsme měli za to, že je třeba přijít s alternativou DNS resolverů poskytovatelů připojení, kteří zaváděli podporu validace pozvolna. Od té doby tedy nabízíme veřejně dostupnou službu, která umožňuje validace domén používajících zabezpečení DNSSEC i v těch sítích, jejichž defaultní DNS resolvery toto nepodporují.

Nové statistiky a růst popularity eliptických křivek v DNSSEC

Už to bude skoro půl roku, co jsme na naší konferenci IT 16.2 prezentovali záměr změnit algoritmus DNSSEC klíče zóny CZ. Kolega Zdeněk Brůna tehdy  ve své prezentaci detailně popsal výhody algoritmů založených na eliptických křivkách a to zejména algoritmu ECDSA. Nicméně vzhledem k situaci, kdy není možné tento krok provést kvůli nepodpoře tohoto algoritmu v kořenové zóně, přesunuli se naše aktivity zejména k osvětě a ke sledování dopadů osvěty na stav podpory této nové technologie. Na semináři s registrátory, který jsme měli na konci února, jsme zaznamenali pozitivní odezvu na některé vlastnosti ECDSA, jako jsou menší velikost zónového souboru nebo menší velikost DNS odpovědi. Někteří registrátoři již na místě deklarovali zájem na ECDSA přejít také. Zároveň registrátoři navrhli, abychom na našem webu zveřejnit statistiky ukazující, jak jsou různé DNSSEC algoritmy v CZ zóně používané. Tento nápad se nám líbil a tak nyní tyto statistiky zveřejňujeme.

Normální je mít DNSSEC

Letošní 5. prosinec se zapsal do historie bezpečnosti českého Internetu překročením významné mety. Od tohoto data totiž v registru .cz domén evidujeme více těch se zabezpečením DNSSEC, než těch co toto rozšíření protokolu DNS postrádají. U více než 51 % (653 297) .cz domén můžeme ověřovat důvěryhodnost údajů poskytovaných systémem DNS a spoléhat na to, že tyto údaje nebyly cestou k uživateli podvrženy.

Implementace DNSSEC v doméně CZ zvýšila úroveň zabezpečení

Technologie DNSSEC, vytvořená k zabezpečení protokolu DNS, byla do správy české domény zavedena v roce 2008. V té době byla Česká republika teprve pátou zemí na světě, v níž se k tomuto kroku správci odhodlali. V dnešní době je DNSSEC téměř standardem, a jak ukazuje statistika organizace ICANN, mezi doménami nejvyšší úrovně je poměr zabezpečených již na 84 %.

DNSSEC za šest minut dvanáct

Již pozítří vstoupí v účinnost poslední část Usnesení vlády č. 982 ze 13. prosince 2013, podle kterého mají všechny ústřední orgány státní správy, tj. ministerstva a další orgány jako je např. Český telekomunikační úřad, Státní úřad pro jadernou bezpečnost nebo Úřad pro ochranu hospodářské soutěže zabezpečit všechny jimi držené domény prostřednictvím DNSSEC. V této souvislosti je třeba zdůraznit, že tato povinnost se vztahuje nejen na doménu využívanou pro hlavní prezentaci, ale i např. i domény jednotlivých projektů jako např. CzechPOINT.cz či BusinessInfo.cz.

Jak bude v nejbližších letech podporovat stát oblast kybernetické bezpečnosti?

Vláda České republiky schválila v minulém týdnu hned dva dokumenty týkající se kybernetické bezpečnosti. Oba pocházejí z dílny Národního bezpečnostního úřadu, který v roce 2011 přebral úlohu gestora pro tuto oblast. První z nich, Zpráva o stavu kybernetické bezpečnosti, uvádí jako dvě hlavní události za minulý rok přijetí Zákona o kybernetické bezpečnosti a otevření Národního centra kybernetické bezpečnosti. Oba tyto kroky jsou vyvrcholením delších diskusí, příprav a strategie, kterou se snaží úřad v této oblasti plnit. I když se jedná o poměrně jednorázové záležitosti, jejich praktické plnění je spíše otázkou delšího časového rozvoje. Vládní CERT tým však v minulém roce prošel postupně výraznějšími změnami, které tým posílily a pomohly ho postupně zformovat do dnešní podoby. Mezi splněné úlohy se dostala také spolupráce s týmem CSIRT.CZ, která přešla z konzultační roviny do roviny praktického řešení kybernetických incidentů.

Připravte se na odborné kurzy Akademie CZ.NIC

Některé odborné kurzy v naší nabídce vyžadují aspoň základní znalost protokolů TCP/IP. A dosud bylo na účastnících, jakým způsobem si základy TCP/IP nastudovali. Nyní však mají možnost projít si před samotným workshopem bezplatný e-learningový kurzu v prostředí Moodle, kde si mohou osvěžit, co již možná zapomněli.