Další nelatinkové domény v kořenové zóně

Jak jsme vás již informovali, byl doménový prostor rozšířen nejprve o arabské písmo a následně i o azbuku. Domény Egypta (.مصر), Saudské Arábie (.السعودية), Spojených arabských emirátů (.امارات) a Ruska (.рф) jsou již plně funkční v kořenové zóně. Minulý pátek došlo ke schválení dalších dvou písem, konkrétně byly schváleny domény nejvyšší úrovně (TLD) v tradiční a zjednodušené čínštině.

Situace je nejjednodušší v Hongkongu, kde je zápis stejný v tradiční i zjednodušené čínštině – .香港. Tato doménu byla přidělena organizaci Hong Kong Internet Registration Corporation Limited, která dnes spravuje doménu .hk.

Taiwan Network Information Center, správce domény .tw, dostal dvě domény pro Taiwan – .台灣 v tradiční čínštině a .台湾 ve zjednodušené čínštině.

A konečně CNNICu, správci domény .cn, byly přiděleny dvě domény pro Čínu – .中國 v tradiční a .中国 ve zjednodušené čínštině.

Bude zajímavé sledovat, jak se tyto země poperou se situací, kdy lze zapsat stejné slovo dvěma různými písmy. V rámci pracovní skupiny dnsext IETF je ve hře několik návrhů (BNAME, CNAME+DNAME a DNS Shadow), jak celou situaci řešit na technické úrovni, a zatím není rozhodnuto, který z návrhů bude schválen. Zatím to vypadá, že minimálně CNNIC bude generovat zóny se stejným obsahem pro obě varianty písma, resp. dle současných pravidel registrace domény používajících čínské písmo mají vždy 2 – 3 varianty – tradiční, zjednodušenou a volitelně může obsahovat tvar používající obě písma současně.

Ondřej Surý
P.S.: Provedl jsem aktualizaci taiwanských domén na správné tvary. Díky Janu Zahornadskému za podnětnou připomínku.

V druhé půlce července nezapomeňte…

Pro českou národní doménu došlo včera k další významné události související s uzavřením řetězce důvěry pomocí technologie DNSSEC. IANA dokončila proces vložení DS záznamu do kořenové zóny. DS záznam je jakýsi otisk DNSSECového klíče příslušné domény a vždy jej předává správce podřazené domény správci nadřazené domény. Technicky jde o analogický proces, jako když nám do zóny .cz vloží pomocí svého registrátora obdobné informace držitel. Nicméně v případě kořenové zóny panují úplně jiná pravidla, proces zdaleka není automatizovaný, naopak je spíše ruční. Obvykle trvá několik dní a zahrnuje mnoho akcí více institucí. Pokud si na ty zmiňované DS záznamy chcete „sáhnout“, napište třeba následující příkaz.

dig +short DS cz. @a.root-servers.net

Co to tedy znamená? Jakmile dojde k podpisu kořenové zóny nemusí člověk provozující validující rekurzivní nameservery (obvykle ISP nebo správce firemní sítě) ukládat do konfigurace speciální klíče pro každou podepsanou doménu nejvyšší úrovně (TLD), ale vystačí si pouze s jedním klíčem kořenové zóny. A co to bude znamenat pro CZ.NIC? Především volnost v tzv. rotování klíčů. Všechny klíče použité v DNSSECu je nutné čas od času obměnit. Rychlost záleží na jejich typu (KSK či ZSK). ZSK lze měnit automaticky a to také CZ.NIC pravidelně dělá, ale právě KSK jsme ještě od spuštění DNSSECu neměnili. Tuto operaci tedy bude možné provést až po podpisu kořenové zóny. Krom běžné výměny klíčů plánujeme i zavedení modernějších podepisovacího systému NSEC3, který neumožňuje vylistování domén ze zóny, tzv. zonewalking. Nedávno jsme zveřejnili harmonogram tohoto postupu a už jsme v podstatě v polovině, zatím jsme NSEC3 zavedli pro ENUM doménu (0.2.4.e164.arpa). Mohli jsme si to dovolit, protože to není TLD; tato doména je podřízena e164.arpa a tedy její klíče by pro validaci nikdo používat neměl.

Harmonogram také říká, že k přechodu na NSEC3 v .cz by mělo dojít 3. srpna. Nicméně jsou tu dva důležité faktory, které mohou toto datum posunout. Prvním faktorem je přirozeně datum podpisu kořenové zóny, zatím však vše nasvědčuje tomu, že to bude dle plánu 15.7.2010. Druhou věcí, která by nás mohla donutit k změně, by bylo zjištění, že nějaké významné DNS resolvery ještě stále používají „natvrdo“ nastavený klíč pro .cz. To se bohužel dá jen velmi obtížně zjistit, jedinou možností je se prostě zeptat správce. Proto budeme tuto věc ověřovat pouze u velkých ISP, o kterých je nám známo, že validaci DNSSEC používají. Pokud tedy nějaký takový validující resolver spravujete, poznačte si do kalendáře, že mezi 15. červencem 2010 a 3. srpnem 2010 musíte v konfiguraci udělat změnu nastavení, jinak Vám validace české domény přestane fungovat.

Udělejte to určitě, rádi bychom „jeli na čas“! :-)

Ondřej Filip

Další významná doména podepsána

Zprávy týkající se DNSSECu se v poslední době objevují jako houby po dešti. S tím, jak se blíží podpis kořenové zóny, zvyšují mnohé TLD registry svou aktivitu v této oblasti. Proto jsem si vybral zprávu, která se dotýká mnoha uživatelů v České republice. Dalším registrem, který podepsal svou doménu a spustil registrace pro koncové uživatele, se stalo sdružení EURid. Pro podpis už pochopitelně použilo novější technologii NSEC3 a to s mechanismem opt-out, který zmenšuje velikost zónového souboru.

Je příjemné, že došlo k určité synergii s naší doménou .cz. Jeden v DNSSEC oblasti z nejaktivnějších registrátorů – Web4U, se rozhodl automaticky pro své zákazníky podepsat i všechny .eu domény, které hostuje na svých nameserverech. Tím dostala .eu doména do startu DNSSECu hned několik tisíc podpisů. Doufejme, že si to vezmou za příklad i další registrátoři a DNSSEC se ještě více rozšíří.

Ještě poměrně zajímavé je, že se EURid nerozhodl nijak publikovat svůj veřejný klíč. Není dokonce ani v ITARu. Předpokládám, že důvodem je, že nechtějí, aby uživatelé jejich doménu validovali pomocí jejich klíče, ale chtějí, aby validace probíhala až pomocí podepsané kořenové zóny. To je poměrně správný přístup, nemá smysl kvůli jednomu měsíci validace něco speciálního nastavovat.

Takže gratuluji EURidu a je příjemné, že další doména je připravena před tím hlavním milníkem – podpisem kořenové zóny.

Ondřej Filip

Trocha archeologie aneb celý prehistorický internet na USB klíči

Pokud patříte k pamětníkům internetové prehistorie, pamatujete si či jste dokonce používali službu Gopher. Pro vás ostatní to byl jakýsi předchůdce webu – představte si ho zhruba tak, jako byste měli webovou stránku, na které je pouze text a hierarchická struktura dokumentů, jež můžete procházet, prohledávat a příslušné dokumenty si stáhnout. Pokud používáte prohlížeč Mozilla Firefox (s ostatními prohlížeči máte bohužel smůlu), můžete si jej dokonce přímo vyzkoušet, protože stále ještě funguje. Zkuste třeba napsat do řádku adresy gopher://gopher.floodgap.com/

Pokud byste se chtěli do této archeologie ponořit ještě více, můžete si stáhnout a prozkoumat archiv celé služby Gopher na celém světě tak, jak vypadala v roce 2007. Samozřejmě tehdy už byla dávno za svým zenitem, ale dle autora archivu počet gopher serverů dále rapidně klesal, takže dnes je doslova ohrožena „vyhynutím“. Každopádně archiv má cca 40GB (ke stažení je pomocí torrent) a kompresovaný má jen 15GB, což se dnes pohodlně vejde na onen zmiňovaný USB klíč. Stejná věc s dnešním internetem půjde udělat asi těžko, protože jeho velikost se odhaduje na stovky exabytů (podle Cisco i podle Google)… i když vlastně vzpomeňme na „640 k ought to be enough for anyone“ (přestože to zřejmě nikdy nebylo vyřčeno).

PT

Facebook na IPv6

Facebook na konferenci Google IPv6 Implementors, která proběhla 10. června 2010 v Mountain View, ohlásil experimentální podporu protokolu IPv6 na dedikované doméně.

Netrpěliví z vás mohou rovnou vyzkoušet následující odkaz: www.v6.facebook.com, který směřuje na IP adresu: 2620:0:1cfe:face:b00c::3 (alespoň ze sítě CZ.NICu). V provozu je také mobilní varianta, kterou naleznete na adrese m.v6.facebook.com.

Z prezentace vyplývá, že Facebook rozběhl dva projekty – Chicago a Cakewalk.

Projekt Chicago měl za úkol beze změn na serverech a s minimálními změnami v produkční síti rozběhnout podporu pro IPv6 protokol. Tato podpora byla implementována pomocí IPv6 load-balanceru, který příchozí provoz na IPv6 adresách rozděluje na IPv4 adresy serverů. Výsledek můžete vidět na již zmíněných URL.

Facebook ale šel dále a v rámci projektu Cakewalk implementoval také podporu pro zbrusu nový protokol LISP (Locator/ID Separation Protocol), který zatím nebyl plně standardizován a je ve stádiu draftů (I-D). Protokol LISP by měl sloužit k rozdělení dvou funkcí, ke kterým nyní slouží IP adresa: a) umístění v síti – tedy jak dostat paket z jednoho místa na druhé, b) identifikátor toho, kdo jste. Nebudu zabíhat do detailů, o tom si můžeme povědět někdy příště.

Každopádně si můžete vyzkoušet i podporu pro protokol LISP a to na adrese: www.lisp6.facebook.com (IPv6 adresa: 2610:d0:face::9). Nicméně vzhledem k tomu, že protokol LISP by měl být transparentní, tak byste neměli pozorovat žádný rozdíl :)

Jen tak mimochodem povšimněte si hříčky se slovem „face“ v IPv6 adrese :-D. Další podobné slovní hříčky v hexadecimálním zápisu jsou k nalezení ve Wikipedii. Do komentářů se pak můžete podělit o nápady, jaké slova se dají zakódovat v češtině a vnést trochu českého humoru do IPv6 adresování. Nejvtipnější IPv6 adresy odměníme malým dárkem (tímto se pasuji na samozvaného a jediného porotce). Konec mikrosoutěže vyhlašuji na letní slunovrat.

Ondřej Surý

Řešení sporů o domény u Rozhodčího soudu v novém

Již příští týden nabude účinnosti nový Řád pro řešení sporů o domény .cz vydaný Rozhodčím soudem při Hospodářské komoře České republiky a Agrární komoře České republiky, na jehož přípravě se sdružení CZ.NIC podílelo. Tento Řád, jehož plné znění je k dispozici na internetové adrese soudu, přináší hned několik poměrně zásadních změn.

Tou první je využití on-line platformy, která je používána pro spory o doménová jména .eu. Spory o české domény jsou řešeny v on-line řízení již od r. 2007, ale platforma pro spory .eu řízení oběma stranám zjednoduší a zpřehlední.

Další zásadní změnou je možnost strany určit si, že spor nebude rozhodován pouze jedním rozhodcem, ale třemi (za předpokladu, že ponese zvýšené náklady s tím spojené a druhá strana s tím bude souhlasit). Doposud to v on-line řízení mohl být pouze jeden rozhodce určený předsedou RS.

Třetí a možná nejdůležitější je pevná sazba poplatku za řízení.  Až doteď byl poplatek určován pro spory o domény stejně jako pro jiné typy majetkových sporů a to procentní sazbou z hodnoty předmětu sporu, což bylo min. 7 tis. Kč, max. 1 mil. Kč.  Asi Vás nepřekvapí, že stanovit hodnotu domény není vždy (vlastně spíše většinou) úplně jednoduché, nepředvídatelnost výše soudního poplatku působila nejistotu a byla pravděpodobně nejsilnějším argumentem, proč rozhodčí řízení jako způsob řešení sporu o doménu .cz nepoužít. Tomu už bude konec, protože společně s novým Řádem platí nový sazebník  – sazby za vedení sporu budou, podobně jako v případě sporů o domény .eu, zohledňovat počet doménových jmen, o která se strany spoří a též počet rozhodců, kteří budou v daném sporu rozhodovat. Tím se náklady na řízení stávají skutečně transparentními a žalobci budou ušetřeni nepříjemných překvapení, jež mohl dříve přinést odlišný názor rozhodce na hodnotu sporu, tedy domény proti názoru žalobce v podaném žalobním návrhu.  Sazebník je k dispozici na internetové adrese Rozhodčího soudu.

Pochopitelně Vám přeji, abyste se o Vaši doménu soudit nemuseli. Pokud by taková situace přesto nastala, věřím, že tyto změny posílí důvěru a zvýší zájem o rozhodčí řízení jako kvalitní, důvěryhodný, rychlý a efektivní způsob řešení sporů o domény .cz.

Zuzana Durajová

Výsledky testování podpisu kořenové zóny

Americký úřad NTIA (obdoba našeho ČTÚ), podobně jako minulý rok při rozhodování zda-li podepsat či nepodepsat kořenovou zónu, vyzval veřejnost, aby komentovali finální zprávu o testování podpisu kořenové zóny.

Tato zpráva byla připravena organizací ICANN a společností VeriSign, tedy hlavními autory současného systému podpisu kořenové zóny, který byl testován. Dokument shrnuje závěry z testování a konstatuje, že při testování nebyly identifikovány žádné škodlivé jevy, které by bránily nasazení systému do produkce. Na základě toho doporučuje pokračovat v implementaci a žádá úřad NTIA o autorizaci.

Rád bych uvedl pár zajímavostí ze zprávy, především v bodech, kde nebyl nahlášen úplný úspěch:

  • Kořenové nameservery sbíraly data z tzv. priming dotazů. Toho sběru dat se nezúčastnil server B.
  • V určitých časových okamžicích probíhal sběr veškerého provozu na kořenové nameservery. Plný sběr dat ze všech nameserverů se povedl pouze u posledních dvou časových oken.
  • Proces testování SKR (Signed Key Response – ruční schvalování klíčů) pověřenou osobou z NTIA nebyl dokončen. V průběhu implementace došlo k zesílení bezpečnosti a pověřená osoba bude SKR autorizovat přihlášením přes certifikát na kartě. Tento proces byl pouze vyzkoušen technickým týmem Verisignu.
  • Nebylo otestováno porušení tzv. tamper pojistky v HSM (Hardware Security Module). Panuje dostatečná důvěra, že tyto testy byly provedeny při certifikaci FIPS 140. Porušením tamper pojistky dochází ke znehodnocení materiálu uvnitř HSM, případně celého HSM.
  • V době publikace této zprávy nebylo dokončeno testování změny DS záznamů. Panuje však shoda, že změna DS záznamů není odlišná od změny jiných záznamů v kořenové zóně a tudíž bude testování úspěšné.

Rád bych na tomto místě a tomto blogu zdůraznil, že celý tým, který měl na starosti odvedl výbornou práci a rád bych tímto poděkoval následujícím lidem:

Joe Abley (ICANN), Mehmet Akcin (ICANN), David Blacka (VeriSign), David Conrad (ICANN), Richard Lamb (ICANN/IANA), Matt Larson (VeriSign), Fredrik Ljunggren (Kirei AB), Dave Knight (ICANN), Tomofumi Okubo (Verisign), Jakob Schlyter (Kirei AB), Duane Wessels (Verisign)

V tuto chvíli zbývá ke spuštění podpisu kořenové zóny už jen pár krůčků. Jedním z nich je vygenerování KSK klíčů, které proběhne příští týden ve středu 16. června 2010 na východním pobřeží (Culpeper, VA). Druhá KSK ceremonie se bude konat 12. července 2010 na západním pobřeží (El Segundo, CA). Následně musí proběhnout oficiální předání DS klíčů mezi TLD operátory a ICANN/IANA. Tento krok bude zatím neviditelný, ale bude zapotřebí, aby ve chvíli spuštění podepsané kořenové zóny do ostrého provozu již kořenová zóna již tyto DS záznamy obsahovala.

Posledním nejdůležitějším krokem bude publikace validních klíčů a správných podpisů, tedy ostré spuštění do produkčního provozu. Tento krok by se měl stát 15. července 2010. A i když mám plnou důvěru k tomu, že vše klapne naprosto hladce, tak stejně držte palce. Jedná se o nejdůležitější změnu v historii v systému DNS od jeho vzniku.

Ondřej Surý

P.S.: Dovolím si na závěr ještě jedno upozornění. Kořenová zóna bude používat algoritmus RSA-SHA256, který je podporován pouze v novějších verzích DNS serveru Bind. Konkrétně 9.6.2-P1 nebo vyšší (nicméně doporučuji nejnovější 9.6-ESV-R1), nebo 9.7.0-P2 (nebo vyšší, v tuto chvíli je již dostupná verze 9.7.1rc1 – tedy kandidát na vydání).

Vládní aktivity v oblasti kybernetické bezpečnosti

Vláda na svém zasedání v předposledním květnovém týdnu, na základě návrhu Ministerstva vnitra, zřídila Meziresortní koordinační radu pro oblast kybernetické bezpečnosti a schválila její statut.

Podle oficiální zprávy, která byla k návrhu statutu vydána, má být zřízení koordinační rady nástrojem pro podporu výkonu koordinační role Ministerstva vnitra v oblasti kybernetické bezpečnosti, která vyžaduje součinnost dalších ústředních orgánů státní správy a dalších subjektů. Jednání rady, jejíž první setkání se má uskutečnit relativně velmi brzy, nejpozději do konce srpna, se budou účastnit nejen Ministerstvo vnitra, ale také zástupci policie, Ministerstva obrany, zahraničních věcí, financí, průmyslu a obchodu, dopravy, ale i BIS, České národní banky a pochopitelně ČTÚ. Přizváni mohou být také externí odborníci.

Zřízení této rady je součástí širšího zájmu státu o kybernetickou bezpečnost, a bylo schváleno vládou už v březnu tohoto roku. Do poloviny prosince by pak MV mělo vládě předložit strategii pro oblast kybernetické bezpečnosti a co je důležité, nejpozději do konce tohoto roku zahájit zajišťování provozu vládního (národního) pracoviště CSIRT. Modelové pracoviště již od r. 2008, v rámci grantu MV, obsluhují pracovníci sdružení CESNET. Sdružení CZ.NIC, které provozuje CSIRT tým zodpovědný za řešení incidentů v rámci AS25192 a incidentů dotýkajících se nameserverů pro domény .cz a ENUM, se aktivně účastní pracovních setkání, které se provozu národního CSIRTu týkají.

Zuzana Durajová

A zase o dva méně

Pozorní lidé si možná všimli, že počitadlo na stránkách Geoffa Hustona ukazuje, že volný adresní prostor se zmenšil o další procentní bod. Ještě včera ukazovalo 7  % a dnes je to již jen 6 %. Důvod je poměrně jednoduchý. Zhruba před měsícem jsem referoval, že dva velké adresní bloky byly přiděleny evropskému RIPE NCC a včera naopak dva velké bloky 177.0.0.0/8 a 181.0.0.0/8 (dohromady cca 33 miliónů adres) putovaly k LACNICu do Latinské Ameriky. Takovýchto volných bloků už je jenom 16, tedy pouze zhruba tři na každý geografický region. A to jak vidno mnoho není, počitadlo nám dnes říká, že lidé, kteří v IANA přidělují IPv4 adresy nebudou mít na konci příštích prázdnin co na práci.

Ondřej Filip

O IPv6 ze všech úhlů pohledu

Přesně za týden to bude rok, kdy česká vláda vydala usnesení číslo 727. O tomto důležitém dokumentu informoval kolega Ondřej Filip na tomto blogu několik dnů po jeho schválení. Já se k němu v tuto chvíli vracím především proto, že přesně 8. června, tedy v den jeho prvního výročí, proběhne druhý den konference Internet a Technologie 10. Že vám toto spojení nedává smysl? Bez dalších informací ani nemůže.

Na 8. června jsme totiž do programu naší konference zařadili dva bloky věnované IPv6. Tomuto tématu jsme se tentokrát rozhodli věnovat nejvíce a to z několika důvodů. Jedním z nich je třeba ono zmíněné výročí, druhým, podstatně důležitějším důvodem je fakt, že konec IPv4 se podle všeho opravdu blíží; počítadla už nějaký ten pátek ukazují konstantní datum, kdy k vyčerpání bloků IP adres verze čtyři s největší pravděpodobnosti skutečně dojde.

V rámci všech konferencí Internet a Technologie (IT 08 a IT 09) jsme se IPv4 a IPv6 dotkli minimálně jedním příspěvkem. Letos je to hned příspěvků několik, přičemž jedním z nich je také panelová diskuse se zástupci všech zainteresovaných společností a institucí, jichž se přechod na IPv6 výrazně týká. Mezi panelisty bude vedle zástupce ISP, poskytovatele internetového obsahu nebo výrobce hardwaru také zástupce státu, konkrétně Ministerstva průmyslu a obchodu České republiky, kterého se na průběh zavádění IPv6 v rámci státní správy můžete zeptat.

Vilém Sládek