DNSSEC v další doménové stáji

Je to už nějaký ten pátek, co jsme na domácí DNSSECové scéně zaznamenali nějaký razantnější pohyb. Dobu relativního klidu přerušila včera tisková zpráva společnosti ONEsolution, jejíž pravdivost potvrdily informace z našich statistik. Registrátor ONEsolution podepsal k dnešnímu dni více než 6 tisíc „svých“ domén (s NSSETem u této společnosti). DNSSEC samozřejmě dostanou všechny další domény, které si zde nově zákazníci zaregistrují. Jak se tento krok dotýká situace v České republice? V tuto chvíli je DNSSECem chráněno více než 133 tisíc domén .CZ, což představuje více než 16 procent z celkového počtu. Následující seznam ukazuje, jak se krok ONEsolution projevil mezi registrátory podporující tuto bezpečnostní technologii (první pětka):

1. Active24 (více než 96 tisíc)
2. Web4U (více než 20 tisíc)
3. ONEsolution (více než 6 tisíc)
4. TELE3 (více než 4 tisíce)
5. GRANSY (více než 1 900)

Podle neověřených zpráv můžeme v relativně blízké době očekávat zavedení DNSSEC v další doménové stáji. Která to bude (nebo u koho byste si to přáli) můžete zatím tipovat v komentářích.

Vilém Sládek

Internet má nového šéfa

Poslední zasedání organizace ICANN přineslo neuvěřitelné množství novinek. Tu největší jsem již komentoval na Lupě. Další výstup je velice důležitý pro naši českou komunitu, protože další evropské zasedání ICANNu bude za rok v Praze. To je skvělá zpráva a velké uznání od mezinárodní komunity. Nicméně, rád bych se trochu zamyslel u trochu jiného výsledku jednání. Představenstvo ICANNu bylo mírně obměněno. Jeho předseda, Peter Dengate Thrush, se rozloučil s komunitou poté, co mu vypršel mandát.

Do představenstva byl nominován na konci roku 2005 organizací ccNSO, což je sdružení národních domén (ccTLD). Předsedou byl zvolen na konci roku 2007 a přebíral tuto funkci po téměř legendárním Vintovi, což jistě nebylo jednoduché. A právě tato změna, jako by znamenala určitý přelom v dějinách ICANNu. Za Peterova předsednictví se staly tři významné události, které bych rád zmínil.

  • Zprovoznění prvních dotIDN domén v procesu zvaném ccTLD Fast Track
  • Ve své funkci skončil dlouholetý ředitel Paul Twomey a byl vybrán ředitel nový Rod Beckstrom
  • A pochopitelně již zmíněné schválení startu nových generických domén. To je věc, se kterou bude Peter asi hlavně spojován. Peter prokázal neuvěřitelnou vůli, když tento složitý a kontroverzní krok dotáhnul do konce.
  • Jinými slovy, Peter zvládl udělat za své období neuvěřitelné množství práce a proto byl po právu zapsán do registru speciálních osobností v IANA (v době psaní příspěvku nebyl ještě registr aktualizován, ale Peter dostal celkem logicky číslo 11.) Jsem velice rád, že se mu této velké cti dostalo. Peter je skutečně výjimečný člověk a to jak po pracovní, tak i po osobní stránce. Dokázal přežít neuvěřitelnou osobní tragédii, kdy v jednom hrůzném okamžiku přišel o celou svou rodinu, a možná i právě proto se rozhodl věnovat veškerou svou zbývající energii Internetové komunitě. Ačkoliv byl zvolen za národní domény, největší událost jeho funkčního období souvisí s generickými doménami. Mimo oficiální jednání byl příjemný, vtipný člověk, vždy připravený naslouchat.

    Na jeho místo nastupuje skutečný mohykán a stávající místopředseda Steve Crocker. Steve je jedním z otců zakladatelů, je autorem RFC dokumentu číslo 1. A stejně jako mnozí další z této skupiny, je velmi přátelský a bezprostřední. Poznal jsem ho tak, že u příležitosti prvního pražského IETF meetingu prostě pozval zástupce CZ.NIC na pivo. Od té doby jsem s ním spolupracoval na některých fórech, která se týkala DNSSECu, o jehož vznik a propagaci se Steve hodně zasloužil. Samozřejmě fakt, že je Česká republika DNSSECovým lídrem ho velice těší; zajímá se o naši situaci od samého začátku.

    Steva čeká hodně práce. Pravidla vzniku nových generických domén stále nejsou zcela hotova. Jistě bude muset absolvovat ještě mnoho jednání s vládním výborem – GAC. A v průběhu toho jej čeká neméně komplikovaná věc, kterou bude revize kontraktu stávajícího ředitele Roda Beckstroma. Rod je člověk poměrně výrazný a už si vysloužil i mnoho kritiky. Za jeho éry ICANN opustilo mnoho zaměstnanců a některé jeho kroky vzbudily rozpaky. Uvidíme, jak se k tomuto Steve postaví.

    Ihned po volbě jsem šel pochopitelně Stevovi pogratulovat, poděkoval jsem mu za volbu Prahy jako města pro příští evropské jednání a popřál jsem mu hodně štěstí v jeho náročné roli.

    Po Peteroví, jež je původem právník, se kormidla opět ujímá člověk z technické komunity. Bude zajímavé sledovat, jak se tato změna odrazí v projevu ICANNu.

    Ondřej Filip

    I-D ECDSA pro SSHFP aneb krátký zápis o vzniku jednoho budoucího RFC…

    Minulý týden vyšel na serveru Root.cz pěkný článek DNSSEC jako bezpečné úložiště SSH klíčů, který byste si měli přečíst, pokud chcete, aby vám tento blogpost dával aspoň nějaký smysl. Ve zmíněném článku zaznělo jedno takové povzdechnutí „Bohužel, specifikace záznamu SSHFP dosud nebyla rozšířena o podporu pro ECDSA klíče, jejich otisky tedy prozatím není možné do DNS uložit.“, které spustilo řetěz událostí, které (snad) vyústí v aktualizaci RFC.

    Po chvilce pátrání v RFC lze zjistit, že autoři RFC 5656, které do Secure Shell protokolu přidává ECDSA algoritmus, opravdu zapomněli zaktualizovat i RFC 4255 definující SSHFP záznam. Seznam algoritmů pro klíče a jejich otisky jsou udržovány v registru IANA v seznamu DNS SSHFP Resource Record Parameters a je možné je zaktualizovat pomocí mechanismu „IETF Consensus“, který je definovaný v BCP 26:

    IETF Consensus – New values are assigned through the IETF consensus process. Specifically, new assignments are made via RFCs approved by the IESG. Typically, the IESG will seek input on prospective assignments from appropriate persons (e.g., a relevant Working Group if one exists).

    Ve zkratce řečeno, pro aktualizaci seznamu algoritmů je zapotřebí samostatné RFC. Jelikož pracovní skupina secsh je již uzavřena, tak zbývaly dvě možnosti – najít jinou pracovní skupinu, která by byla blízko, nebo nový draft publikovat jako individuální.

    Tak či onak nový Internetový Draft (I-D) se nenapíše sám… a jelikož byl DNSSEC nedávno obohacen o rodinu algoritmů SHA-2, tak nebylo potřeba začínat na zelené louce, ale bylo možné se inspirovat již schváleným RFC. Také proto, ale nejen z tohoto důvodu, nový návrh rozšiřuje záznam SSHFP i o otisky pomocí SHA-256. Původně draft obsahoval i SHA-385 a SHA-512, ale nakonec na základě komentáře Ólafura Guðmundssona (předsedajícího pracovní skupině DNSEXT) byl výčet algoritmů zredukován jen na SHA-256 (aneb pokud to stačí pro otisk v DS záznamu, tak to musí stačit i pro SSHFP záznam). Další komentáře, které jsme dostali a následně začlenili do návrhu, byly od Stephena Kenta (ředitel oblasti Security).

    Jedna z připomínek byla, zda-li by draft nemohl také obsahovat příklady nových záznamů. Což bylo již kousek od toho napsat funkční implementaci nových algoritmů do OpenSSH, což, jak se nakonec ukázalo, nebyl nijak heroický výkon a výsledek (používejte pouze na vlastní riziko) naleznete v patchi ssh-sshfp-ecdsa.patch.

    Výsledný návrh nového I-D byl publikován pod názvem draft-os-ietf-sshfp-ecdsa-sha2 (zdrojové xml). Stephen Kent také navrhl, že bude nejlepší poslat nové I-D do obecné skupiny SAAG, což proběhlo hned po nahrání I-D do nástrojů IETF. Zatím se k novému návrhu nikdo nevyjádřil, takže doufejme, že je to kvůli tomu, že je to vcelku dost nudný návrh RFC :). Těsně před psaním tohoto příspěvku jsem ředitele oblasti Security požádal, zda-li by náš návrh nesponzoroval. Takže držme palce, aby tento jednoduchý návrh (ECDSA bude mít číslo 3, SHA-256 bude mít číslo 2), který ovšem v jazyce RFC znamená 9 stran textu :), hladce projde schvalovacími procesy IETF.

    Na závěr bych chtěl poznamenat, že z hlediska procesů IETF je jedno, jestli je autor Internetového Draftu dlouhodobě zapojen do práce IETF nebo jen přijde, napíše návrh a zase odejde. Za CZ.NIC můžu říci, že bychom byli velice rádi, kdybychom mohli k práci pro IETF přitáhnout více lidí z ČR. K sérii popularizačních článků, které vyšly na Lupě (Cesta do hlubin IETF, Odkud pochází Internetové standardy (aneb bylo jednou jedno RFC) a Vrána k vráně sedá aneb koťátka, dogy a nápoje v IETF), tak přidáváme tuto veřejnou nabídku.

    Pokud máte nápad na nový protokol, standard nebo jen menší či větší vylepšení stávajícího (viz toho rozšíření SSHFP o nové algoritmy), tak se na nás můžete kdykoliv obrátit. Velice rádi vám s psaním návrhu nového RFC pomůžeme.

    Ondřej Surý

    Světový den IPv6 je za námi

    Světový den IPv6, který se konal 8. června 2011, je za námi a je tedy čas na zhodnocení této akce, alespoň z pohledu české domény.

    Počet domén .CZ přístupných přes IPv6 před Světovým dnem byl celkem 62 931. Což přestavuje 7.90 % z celkového počtu domén. Oproti jiným státům je na tom Česká republika poměrně dobře; nejvíce se o to zasluhuje těchto deset poskytovatelů:

    Pozn. Názvy společností byly převzaty z RIPE DB.

    HofnerPavel-CZ = 14.8 %
    Hosting90-CZ = 13.4 %
    BANAN-1-IPV6-CZ-MAI = 12.6 %
    CZ-INWAY-20051214 = 10.6 %
    Blueboard-CZ = 7.7 %
    CESKY-WEBHOSTING-1-IPV6-CZ-MAI = 6.8 %
    CZ-WEDOS-20101129 = 5.9 %
    IE-GOOGLE-20091005 = 5.5 %
    CeskyWebhosting-CZ = 5.4 %
    Tele3-CZ = 4.5 %

    Příchodem Světového dne IPv6 se nám výše uvedené pořadí na přední pozici změnilo, protože bylo nově zpřístupněno 18 092 IPv6 domén, což představovalo téměř 29procentní nárůst. Za aktivní účast na mezinárodním dni IPv6 musíme pochválit především společnost ACTIVE24, která se o to zasloužila z 95 procent.

    Seznam deseti poskytovatelů s největším podílem IPv6 domén při Světovém dni pak vypadá takto:

    Pozn. Názvy společností byly převzaty z RIPE DB.

    ACTIVE24-CZ-SERVERS-6NET1 = 21.9 %
    HofnerPavel-CZ = 11.6 %
    Hosting90-CZ = 10.4 %
    BANAN-1-IPV6-CZ-MAI = 9.7 %
    CZ-INWAY-20051214 = 8.2 %
    Blueboard-CZ = 6.0 %
    CESKY-WEBHOSTING-1-IPV6-CZ-MAI = 5.3 %
    CZ-WEDOS-20101129 = 4.6 %
    IE-GOOGLE-20091005 = 4.3 %
    CeskyWebhosting-CZ = 4.2 %

    A jak se Světový den projevil na grafech z našich obvyklých IPv6 statistik můžete vidět na následujícím obrázku.

    Počet IPv6 domén .CZ při Světovém dni IPv6

    Světovým dnem jsme tedy v České republice překonali desetiprocentní hranici přístupnosti domén přes IPv6.

    Doufejme jen, že se časem přidají další společnosti a obsah českého internetu bude více a více dostupný přes IPv6. Aby ti uživatelé, kteří už mají IPv6 konektivitu a na rozhraní IPv6 adresu, ji mohli už konečně řádně používat.

    Emanuel Petr

    V květnu vedla Evropa

    Vzhledem k tomu, že v průběhu dubna prakticky došly IPv4 adresy v Asii, je jasné, že tento region už své dosavadní tempo nemohl udržet. Naopak, oproti minulému měsíci mírně přidaly ostatní regiony, ale i tak je květnové alokační tempo výrazně nižší a nepřekročilo 15 miliónů adres. Nejvíce alokovali Evropané a to téměř 7 miliónů adres. Na druhé místo se překvapivě dostal africký region s téměř třemi milióny těsně následovaný Latinskou Amerikou. Situaci ilustruje následující a již tradiční koláčový graf.

    IPv4 alokace 05/2011 dle regionů

    I hlediska jednotlivých zemí vypadalo pořadí velmi podobně. Nejvíce alokovali Němci, téměř tři milióny, na druhém a třetím místě byli Egypťané a Brazilci. Tyto tři země spotřebovaly téměř tolik jako zbytek světa. Mezi deset nejvíce alokujících zemí se dostala ještě jedna africká země a to Alžírsko se zhruba půl milionem adres.

    IPv4 alokace 2011/05 dle zemí

    Evropský region je v současné době nejblíže situaci, jež potkala Asii-Pacifik. V roce 2010 a letos byla průměrná měsíční spotřeba adres zhruba 5 miliónů. Stále platí, že pokud bude i v příštích měsících velikost spotřeby zhruba okolo tohoto průměru, dojdou nám Evropanům adresy přibližně na konci letošního roku. Následující graf ilustruje alokační rychlost evropského regionu.

    IPv4 alokace RIPE NCC 2010/01 - 2011/05

    Z tohoto pohledu bude velmi důležité, jak bude postupovat rozvoj protokolu IPv6. I v květnu byla alokační aktivita tohoto protokolu poměrně slušná. Bylo alokováno 261 prefixů, což je o trochu více než v dubnu či březnu a jde o druhý nejlepší výsledek v celé historii. Česká Republika k tomu přispěla šesti alokacemi, všechny ostatní země V4 přidaly po jedné alokaci.

    Jak je na tom svět s IPv6 se ukáže zítra, kdy je světový den IPv6. Pokud Vás toto téma zajímá, pojďte se podívat na konferenci IT11.

    Ondřej Filip

    Nové generické domény na spadnutí

    Největší rozšíření prostoru domén nejvyšší úrovně se pravděpodobně blíží. Dá se očekávat, že ICANN na svém nejbližším zasedání schválí pravidla pro vznik nových generickým domén nejvyšší úrovně.

    Úvahy, že by se doménový prostor měl rozšířit, zaznívají od samotného počátku co ICANN existuje. A ICANN na taková přání obvykle slyšel a umožnil vznik mnoha z nich. Ale i tak byl proces vzniku nových domén poměrně netransparentní. Představenstvo mělo potíže některá svá rozhodnutí srozumitelně vysvětlit. Poměrně vypovídajícím příkladem je příběh domén .xxx. A proto začal ICANN pracovat na transparentních pravidlech pro vznik nových generickým domén nejvyšší úrovně (gTLD). Celý proces vzniku těchto pravidel je hodně zdlouhavý a již jsme o něm na stránkách našeho blogu několikrát referovali. [1] [2] [3]. Když už vše vypadalo, že pravidla jsou dobře projednaná všemi zainteresovanými stranami, ozval se vlivný vládní výbor GAC a celý princip nezvykle ostře kritizoval. Představenstvo ICANNu vzalo kritiku GACu velice seriózně a několikrát se s tímto výborem sešlo. Z počátku to vypadalo, že bude obtížné najít společnou řeč, ale nakonec se zdá, že k dohodě přeci jenom projde. Výsledkem těchto konzultací je další verze pravidel, kterou na konci května ICANN zveřejnil na svých stránkách.

    Je velice pravděpodobné, že tato verze už „projde“ a ICANN ještě v červnu pravidla finálně schválí a celý proces spustí. O problematice nových gTLD budeme mluvit i na konferenci IT11. Pokud Vás problematika zajímá, rozhodně přijďte.

    Co si myslíte o nových gTLD vy? Přinesou nové možnosti nebo naopak? Chcete .music, .green, .canon?

    Váš http://ondrej.filip