Společně za zlepšení stability, rychlosti a další rozšiřitelnosti DNS ekosystému

V minulosti se výrobci DNS softwaru pokoušeli řešit problémy s interoperabilitou DNS protokolu a jeho rozšíření zvaného EDNS (standard RFC 6891) tak, že do svého software dočasně přidávali schopnost přijmout různé nestandardní chování. Bohužel se ukázalo, že tento přístup, tedy přidáváním dočasných „náplastí na problémy“ není dlouhodobě udržitelný, a to především proto, že implementace, které plně nerespektují standardy, zdánlivě fungují a není tedy důvod pouštět se do jejich plnohodnotných oprav. Výsledkem těchto polovičatých řešení je jejich hromadění a ukládání v DNS softwaru, což vede k situaci, kdy je jich už tolik, že samy o sobě začaly způsobovat problémy. Tím nejviditelnějším problémem je pomalejší odpovídání na DNS dotazy a nemožnost nasadit novou funkcionalitu DNS protokolu zvanou DNS Cookies, která by pomohla omezit DDoS útoky založené na zneužití DNS protokolu.

Za rok 2017 ubylo téměř 4 mil. z nových gTLD

Loňský rok nebyl pro nové generické domény (new gTLD) vůbec příznivý. Zájemcům se sice začala nabízet k registraci celá řada domén, v celkovém souhrnu však nové domény zaznamenaly poprvé ve své historii propad. Zatímco na začátku roku bylo registrováno 27 710 468 domén, na konci roku to bylo již jen 23 823 948. Češi měli registrováno celkem 23 245 new gTLD, tj. méně než 0,1 %.

Měsíc kybernetické bezpečnosti v Českých Budějovicích

Ve spolupráci s Jihočeskou univerzitou v Českých Budějovicích jsme v rámci měsíce kybernetické bezpečnosti připravili pro studenty celodenní blok přednášek. Přestože se akce konala po prázdninách, přišlo si nás poslechnout poměrně dost posluchačů, kteří byli nejen pozorní, ale radost jsme měli i z toho, že se hodně ptali, což určitě pomohlo k dobré atmosféře po celou dobu akce.

Druhá fáze automatizované správy DNSSEC klíčů

Na červnové konferenci IT 17 jsme informovali o spuštění nového způsobu správy DNSSEC klíčů v registru domény CZ. Jak je výstižně popsáno v blogpostu Ondřeje Filipa, naším cílem je co nejvíce minimalizovat administrativu spojenou se zavedením DNSSEC pro držitele CZ domén. S využitím nového způsobu správy DNSSEC klíčů stačí, aby správce DNS při použití správného nástroje pouze zapnul DNSSEC, nastavil jeho parametry a o nic víc se nemusí starat. Při startu projektu jsme rozdělili domény do tří skupin – na domény bez DNSSEC, na domény, které jsme novým způsobem převedli do automatizované správy, a na domény, které již DNSSEC nastaven měly.  Na konferenci jsme oznámili spuštění podpory automatizované správy DNSSEC klíčů pro první dvě skupiny domén s tím, že třetí skupinu zapojíme do projektu později. Dnes tedy plníme tento slib a spouštíme druhou fázi se zapojením také zmíněné třetí skupiny domén.

Testování verzí CMS aneb Co se povedlo a na co si dát příště pozor

Testování verzí CMS (Content Management System), ke kterému jsme přistoupili začátkem léta, vzbudilo poměrně značný ohlas v odborné komunitě. Zaznamenali jsme jak hlasy, které naši iniciativu vítaly, tak také ty, kterým z nějakého důvodu vadila. V tomto blogpostu bych chtěl na některé výtky reagovat bližším vysvětlením naší motivace i kroků v pozadí. Byla to naše první zkušenost s podobnou plošnou akcí a je třeba přiznat, že jsme se také dopustili některých přehmatů. I o těch se chci zmínit a omluvit se komunitě za případné negativní dopady, které to mohlo způsobit. Z ohlasů také víme, že některé z vás by zajímalo, jaké byly výsledky této akce. I na ty se tedy podíváme a zkusím také nastínit další věc, která by měla navazovat. Pojďme ale pěkně popořádku.

Nové přírůstky do rodiny uživatelů registračního systému FRED

Náš open source registrační systém FRED se v loňském roce uchytil v Togu, Argentině a Malawi. Zejména Argentina jakožto osmá největší země světa nás hodně potěšila. Argentina je tedy nyní největší doménový registr, který systém FRED kromě nás používá. Jelikož máme informace ze zemí, které náš systém již delší čas testují, bylo pro nás celkem překvapení, když se na začátku letošního roku ozvali z Macaa, že bez problémů zvládli instalaci, migraci a již brzy plánují produkční provoz. Registr domény .MO je tedy první asijská destinace našeho produktu. Krátce poté jsme se dozvěděli o dalším registru v Africe, který zvládl přechod na FRED. Je jím malá země Lesotho používající doménu .LS. Podívejme se na tyto nové přírůstky do komunity uživatelů systému FRED podrobněji.

Nové statistiky a růst popularity eliptických křivek v DNSSEC

Už to bude skoro půl roku, co jsme na naší konferenci IT 16.2 prezentovali záměr změnit algoritmus DNSSEC klíče zóny CZ. Kolega Zdeněk Brůna tehdy  ve své prezentaci detailně popsal výhody algoritmů založených na eliptických křivkách a to zejména algoritmu ECDSA. Nicméně vzhledem k situaci, kdy není možné tento krok provést kvůli nepodpoře tohoto algoritmu v kořenové zóně, přesunuli se naše aktivity zejména k osvětě a ke sledování dopadů osvěty na stav podpory této nové technologie. Na semináři s registrátory, který jsme měli na konci února, jsme zaznamenali pozitivní odezvu na některé vlastnosti ECDSA, jako jsou menší velikost zónového souboru nebo menší velikost DNS odpovědi. Někteří registrátoři již na místě deklarovali zájem na ECDSA přejít také. Zároveň registrátoři navrhli, abychom na našem webu zveřejnit statistiky ukazující, jak jsou různé DNSSEC algoritmy v CZ zóně používané. Tento nápad se nám líbil a tak nyní tyto statistiky zveřejňujeme.