Snad mi laskaví čtenáři toho blogu odpustí, když si dovolím nás trochu pochválit. Po nedávném vyznamenání za projekt BIRD jsme totiž byli oceněni i za naši práci v oblasti DNSSEC. Než se ale dostanu k věci, dovolte mi trochu teorie. Nedávno proběhl finální výběr kandidátů pro funkci TCR (Trusted Community Representatives). Tito důvěryhodní zástupci komunity budou jednak dohlížet nad procesem podpisu kořenové zóny a jednak budou mít v držení kousky klíče, které bude možné použít pro obnovení provozu v případě kompletní havárie.
První funkce byla pojmenována Crypto Officer (CO); těch je sedm pro každou lokalitu, tedy celkem 14. Tito Crypto Officers (minimálně dva) se budou účastnit aktivace HSM (Hardware Security Module), ve kterém je uložena soukromá část KSK klíče. Každý Crypto Officer bude mít v držení klíč k trezoru, kde jsou uloženy přístupové údaje k HSM. Počáteční funkce CO bude pouze dočasná pro první inicializaci HSM modulu. Pokud se dotyčný ve funkci osvědčí, bude s velkou pravděpodobností zvolen pro celý další rok.
Druhá funkce byla nazvána Recovery Key Share Holders; těchto RKSH je přesně sedm. Tito lidé budou mít v držení část klíče, pomocí kterého bude možné obnovit zálohu HSM modulu v případě havárie. Každý RKSH dostane Smart Card – kartu, kterou uloží na bezpečné místo. V případě kompletní havárie HSM se budou muset sejít tito držitelé (pět ze sedmi) a společně obnovit chod HSM zařízení ze zálohy.
No a v čem je to ocenění pro nás? Jedním z těchto důvěryhodných zástupců komunity (konkrétně Recovery Key Share Holder) se stal Ondřej Surý, vedoucí laboratoří CZ.NIC. To je rozhodně skvělá zpráva a právě ono ocenění CZ.NICu i osobně Ondřeje za usilovnou práci na projektech spojených s DNSSECem.
Nyní už jen zbývá doufat, aby trochu opožděný podpis kořenové zóny dopadl dle plánu. Zástupce CZ.NICu bude rozhodně u toho.
Ondřej Filip
DNSSEC nechutná firewallu ESET Smart Security
Kolegové z provozního oddělení mě upozornili, že narazili na zajímavý problém. V případě, že je v programu ESET Smart Security zapnutý osobní firewall, nefunguje náš doplněk do prohlížeče Mozilla Firefox – DNSSEC Validátor. ESET Smart Security kontroluje obsah DNS zpráv a v případě podezřelého obsahu je taková DNS zpráva zablokována. Bohužel v tomto případě je firewall naprogramován příliš restriktivně a blokuje i naprosto korektní DNS zprávy, které obsahují DNSSEC informace.
Nicméně je velmi pozitivní, a chtěl bych to zdůraznit, že výrobce ESET Smart Security přistoupil k problému velmi zodpovědně a proaktivně; nechal si zaslat blokující komunikaci a v některé z dalších verzí bude tato chyba odstraněna. Kéž by se takto chovali všichni výrobci zařízení, která pracují s DNS.
Mezitím než bude blokování DNSSECu opraveno, můžete jako prozatímní opatření vložit IP adresy DNS serverů do konfigurační volby „Adresy vyloučené z aktivní ochrany IDS“ v editoru pravidel a zón.
Na závěr bych dodal, že při implementaci striktních kontrol libovolného protokolu je zapotřebí sledovat nejen nejběžnější chování tohoto protokolu, ale aktivně vyhledávat informace o možnostech protokolu a také sledovat aktuální vývoj (v případě protokolu DNS to znamená pracovní skupinu dnsext a dnsop organizace IETF).
Ondřej Surý
Všechno, co jste kdy chtěli vědět o doménách (ale báli jste se zeptat)
Na základě informací uvedených v registru domén lze vygenerovat spoustu zajímavých dat nejen o doménách samotných, jejich držitelích apod. Je možné poohlédnout se po tom, jaký obsah je na webových stránkách v příslušných doménách, kolik domén je připraveno na přechod na nový protokol IPv6 či jaké jsou tržní podíly serverového software. Tržní podíly webových serverů poskytujících domény .cz následují jako malá ochutnávka tzv. Domain Reportu, který jsme se rozhodli pravidelně připravovat.
Celý Domain Report s mnoha dalšími statistikami za minulý rok 2009 si můžete stáhnout ve formátu PDF: DOMAIN REPORT 2009 CZ [836 kB].
PT
Publikace podepsané kořenové zóny posunuta
Joe Abley včera informoval komunitu, že se změnily plány podpisu kořenové zóny. Poslední fáze, která obsahuje publikaci kořenové zóny podepsané reálným klíčem, byla posunuta z 1. července 2010 na 15. červenec 2010. Tyto dva týdny budou využity na další studium publikování DURZ (viz úvod) podepsané kořenové zóny.
Dalším naplánovaným krokem k podpisu kořenové zóny bude první ceremonie podpisu klíčů, která proběhne 16. června 2010 v USA ve městě Culpeper. Pro ty z vás, kdo stejně jako já netušíte, kde takový Culpeper leží, tak je to kousek od Washingtonu DC.
Ondřej Surý
Doménový prostor rozšířen o azbuku
Krátce po té, co byly zprovozněny první tři dotIDN domény, následuje i čtvrtá. A tentokrát jde o zástupce slovanského jazyka psaného latinkou. Jenom připomínám, že Rusové museli zvolit doménu .рф, jež v latinkovém přepisu znameńá .rf. Důvodem je jedno z úskalí IDN. Logická zkratka slova Rossija – Россия, nebo pouhý přepis současné .ru totiž vypadají stejně jako latinkové domény a to by jistě mátlo. Proto ono krásné písmenko F.
Některé domény jsou už funkční, podívejte se třeba na web nejvyššího představitele http://президент.рф.
Андрей Филипп
Výpadek v .de
Dnes byl cca od 13.30 do 14.50 hodin zaznamenán výpadek v německé TLD doméně .DE. Problematické se ukázaly pouze některé domény – fungovaly pouze ty od písmene A po písmeno F, všechny ostatní se jevily jako neexistující (upřesnění: problém byl někde mezi doménami facebook.de, která fungovala, a ford.de, která nefungovala). DENIC problém dočasně vyřešil publikováním zóny z dnešních 11 hodin, výpadek správce registru dále analyzuje. Budeme kolegům v Německu držet palce, aby vzniklý výpadek rychle vyřešili. Jak se dozvíme více, budeme vás informovat.
Aktualizace z 13. května 2010: DENIC upřesnil čas výpadku. Jmenné servery pro doménu .DE začaly od 12.30 dopoledne přibližně do 14.45 vracet pro zatím blíže neurčený počet doménových jmen odpověď o neexistenci doménového jména (NXDOMAIN). Následně byly chybné jmenné servery buď vypojeny z provozu nebo na nich byl publikován předchozí korektní zónový soubor. Normální chod jmenných serverů byl obnoven v 16.00 hodin.
Čas pro negativní cache je v doméně .DE nastavený na 7 200 sekund, což mohlo způsobit nedostupnost postižených domén přibližně až do 16.45.
Aktualizace z 17. května 2010: DENIC v pátek 14.5.2010 vydal tiskové prohlášení ohledně výpadku doménový jmen v doméně .de. Na části infrastruktury jmenných serverů selhalo finální kopírování zónového souboru a ten se nezkopíroval celý. Bohužel zároveň selhala i kontrola, která měla hlídat, zda-li toto kopírování proběhlo v pořádku. Rád bych na tomto místě také ocenil kolegy z DENICu za velmi otevřený přístup v komunikaci toho výpadku.
Ondřej Surý
P.S.: Díky petr_p za připomínku – chybku jsem opravil.
Už méně než rok!
Přesně v den výročí konce druhé světové války došlo i v Internetu k poměrně zajímavé události. Poprvé ukázalo počítadlo konce volných IPv4 adres méně než jeden rok. V době psaní tohoto příspěvku (9. května 2010) ukazovalo přesně na svátek práce roku 2011. Pro úplnost podotýkám, že jde o volné IPv4 bloky nejvýše postaveného registru organizace IANA a po tomto datu budou ještě několik měsíců adresy u regionálních registrů (RIR) a pak i u jednotlivých lokálních registrů (LIR) neboli jednotlivých poskytovatelů Internetu. Jak k tomuto posunu došlo?
8. května 2010 přidělila IANA dva velké bloky 31.0.0.0/8 a 176.0.0.0/8, což je zhruba 34 miliónů IP adres, našemu Evropskému registru adres RIPE NCC. S těmito adresami se tedy v Evropě brzy setkáte. Jistě je možné namítnout, že přesun IP adres mezi IANA a RIRy je trochu virtuální záležitostí a mnohem podstatnější bude, kdy dojdou adresy právě v regionálních registrech, protože až pak nebudou moci alokovat IP čísla pro koncové držitele jejich podřízené LIRy.
Z tohoto pohledu jsou tedy zajímavé jiné události z prvního květnového týdne. Byly přiděleny dva bloky větší než jeden milión IP adres. První z nich je z regionu Asie-Pacific a směřoval ke společnosti CHTD, Chunghwa Telecom Co. na Taiwan. Šlo o mírně přes milión adres (přesně 2^20, 1.160.0.0/12). V této části planety nejsou větší alokace příliš překvapivé. O to zajímavější je úplně největší alokace prvního květnového týdne, při které šlo o cca dva milióny adres (2^21, 197.0.0.0/11). Tento blok byl přidělen Afrinicem společnosti Agence Tunisienne Internet. Vzhledem k tomu, že počet obyvatel Tuniska je zhruba srovnatelný s počtem obyvatel České republiky, jde o poměrně velkou alokaci. V Africe došlo k takto veliké alokaci zatím pouze jednou. V roce 2007 bylo přiděleno také cca dva milióny IP adres (41.0.0.0/11) společnosti Vodafone v Jihoafrické republice. A pro srovnání dle záznamů RIPE NCC došlo k největší alokaci u nás 17. října 2006. Tento den bylo alokováno cca půl miliónů (2^19 = /13) adres společnosti, která se tehdy jmenovala Český Telecom a.s.
Co říct na závěr: IPv4 dochází. Dochází rychle. Připravujte se na IPv6! A třeba vás přesvedčí následujcí agitační video.
Ondřej Filip
První tři dotIDN domény živé
Dnešní den je pro kořenovou zónu velice významný. Nejenom že došlo k dokončení falešného podepisování zóny, ale zároveň byly přidány tři IDN domény nejvyšší úrovně. Shodou okolností jsou všechny tři arabské, jde o Egypt, Saudskou Arábii a Spojené Arabské Emiráty. Zvláštní je, že do zóny zatím nebyla zařazena doména Ruské Federace. Byla totiž původně ve stejné várce jako tyto tři. Každopádně dnešním dnem končí definitivně výlučná vláda latinky v doménovém systému! Nyní už například Egypťan bude moci napsat adresu svých webových stránek bez toho, aby musel přepínat klávesnici na latinku. Zkuste třeba kliknou na následující odkaz – http://وزارة-الأتصالات.مصر/
Ondřej Filip
Tak jsme se dočkali! Podepsáno jest.
Na tomto blogu vás pravidelně informujeme o postupu podpisu kořenové zóny (Už jen jeden!, Více než polovina, první, a úvod). Dnes došlo k podepsání posledního kořenového serveru: J.root-servers.net od dnešního dne nese kořenovou zónu podepsanou pomocí DNSSECu.
Kořenová zóna je stále podepsána klíčem a podpisy, které nelze validovat (tzv. DURZ). Ale i tak je podpis posledním krůčkem potřebným pro finální podepsání kořenové zóny validním klíčem, které má proběhnout 1. 7. 2010. Postupné nasazení DURZ – podepsané kořenové zóny na jednotlivé nameservery, bylo zapotřebí pro ověření, že zvětšení DNS zpráv nezpůsobí žádné velké operační problémy. Až na lehké zvýšení TCP provozu na kořenové nameservery po podepsání dvanácti nameserverů ze třinácti to zatím nevypadá, že by nějaké problémy měly nastat. Ale to ukáží následující hodiny.
Takže velké díky týmu, který pracoval na podpisu kořenové zóny a další velký úkol na ně čeká na začátku prázdnin.
Ondřej Surý