Generace Y? Ne! Generace DNS!

evolution-man-computer

Generace Y je termín, který používají sociologové pro populaci, která se narodila na začátku 80. let a tedy vyrůstala převážně v době, kdy už byly dostupné mnohé moderní technologie včetně Internetu. A jelikož úplně první standardy, definující protokol DNS, RFC 882 a RFC 883 vznikly v listopadu 1983, tedy akorát před třiceti lety, dala by se Generace Y s trochou nadsázky označit také termínem Generace DNS.

Ať už patříte ke Generaci X, Y nebo Z, tak v každém případě si s námi můžete tuto sobotu DNS připomenout a to na konferenci Internet a Technologie 13.2, kde mu bude patřit celý jeden blok. Kapacita v sále je už delší dobu vyčerpána, ale pokud byste měli zájem, živý přenos z akce začne přibližně v 9:20.

Ondřej Surý

Školy mají o spolupráci s CZ.NIC zájem

22 akcí pro školy základní, střední i vysoké a 820 studentů a pedagogů. I tak vypadal rok 2013 z pohledu Akademie CZ.NIC. Spolupráce se školami na podpoře internetové gramotnosti studentů i učitelů u nás představuje klíčovou součást vzdělávacích projektů a jsme rádi, že je o ni rok od roku vyšší zájem.

Letos jsme se na českých školách nejvíce věnovali z našeho pohledu již tradičním tématům jako IPv6, DNS, bezpečnosti na Internetu apod. Ale přibyla i nová, třeba přístupnost webů.

Té se naposledy věnoval kolega Petr Závodský, vedoucí týmu testerů CZ.NIC, na přednášce určené studentům ČVUT, kteří navštěvují předmětu Asistivní technologie. Měla takový úspěch, že se vyučující rozhodl obsah přednášky začlenit do sylabu předmětu. A to je pro nás vždy ta nejlepší odměna.

A pokud by snad problematika přístupnosti webu pro uživatele se zrakovým, sluchovým, pohybovým omezením nebo duševním onemocněním apod. zaujala i čtenáře našeho blogu, napište nám na akademie@nic.cz. Pokud bude dostatek zájemců, připravíme pro vás speciální kurz s touto tematikou.

Vilém Sládek

Změna je život Aneb .blog mění název

V lednu 2008 jste si na této stránce mohli přečíst první příspěvek, který nebyl o ničem jiném, než o tom, že začínáme s blogováním. Stránce jsme dali název „.blog“, a to z pochopitelných důvodů – tečka je náš hlavní symbol, symbol doménového světa. Díky zásahu ICANNu :) o tento název nyní přicházíme. V rámci vzniku nových gTLD se totiž již brzy rozšíří doménový prostor o doménu nejvyššího řádu, která ponese stejný název. Podobně se budeme muset na začátku příštího roku postavit i k našemu, ještě staršímu, newsletteru „.news“. I tato doména prvního řádu prošla schvalovacím procesem a čeká na svoji delegaci.

S novým názvem – CZ.NIC blog – samozřejmě nesouvisí změna naší „redakční politiky“. Nadále vás na těchto stránkách budeme informovat o novinkách ze světa domén, doménových technologií, Internetu, a to tak, jak je vidí zaměstnanci sdružení. Pracujeme také na novém designu, který by se měl ukázat v nejbližší době. Zachovejte nám tedy přízeň i do budoucna. Děkujeme za ni.

Vilém Sládek

Brusel mírní návrh na regulaci SSL certifikátů

Je tomu již více než rok, co jsem zde psal o snaze Evropské komise regulovat pod hlavičkou revize rámce pro elektronické podpisy a eID (tzv. eIDAS) rovněž oblast certifikátů pro webové stránky, tzv. SSL certifikátů. O tom, že projednávání návrhu tohoto nařízení bude běh na dlouhou trať, svědčí mimo jiné to, že i po roce a půl od jeho představení jsme stále daleko od jeho schválení. To se v ideálním případě očekává až před volbami do Evropského parlamentu, tj. v květnu 2014, s tím, že v platnost by tato, pro členské státy přímo účinná, legislativa vstoupila v platnost 1. ledna 2015.

V rámci projednávání návrhu na půdě Rady byla Česká republika mezi těmi, kteří hned na úvod projednávání nesouhlasili s rozšířením současné regulace rovněž o SSL certifikáty s tím, že postupně se k nám přidaly další státy. V současné době litevské předsednictví dokonce navrhuje vypuštění textu, jisté zmírnění požaduje rovněž Evropský parlament, konkrétně výbor ITRE (Výbor pro průmyslu, dopravu, výzkum a energetiku). Ten na svém říjnovém zasedání navrhl (viz tučný text) zohlednit rovněž zapojení internetové komunity (skrývající se v euro-slangu pod pojmem stakeholders) a vypracování analýzy dopadu.

Article 37

Requirements for qualified certificates for website authentication

  1. Qualified certificates for website authentication shall meet the requirements laid down in Annex IV.
  2. Qualified certificates for website authentication shall be recognised and accepted in all Member States.
  3. The Commission shall be empowered to adopt delegated acts in accordance with Article 38 concerning the further specification of the requirements laid down in Annex IV.
  4. The Commission may, by means of implementing acts, establish reference numbers of standards for qualified certificates for website authentication. The Commission shall ensure, that stakeholder input is duly considered,preferably in form of an impact assessment, when defining standards to be used for the purpose of this Regulation. Compliance with the requirements laid down in Annex IV shall be presumed where a qualified certificate for website authentication meets those standards. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 39(2). The Commission shall publish those acts in the Official Journal of the European Union.

Ponechme nyní stranou, zda by evropská legislativa měla obsahovat spojení jako „nejlépe“ (preferably) a raději se zaměřme na zohlednění zájmu internetové komunity. Text totiž v tomto ohledu hovoří o jejím zapojení, na druhou stranu však Evropská komise „znovu vynalézá“ kolo, když se v příloze č. IV snaží definovat obsahové náležitosti SSL certifikátů. Na tomto místě by však měla být zohledněna práce IETF a již existující RFC (Request For Comments), které jsou v prostředí Internetu obdobou klasických standardů.

Zmiňovaným SSL certifikátům se věnuje zejm. RFC 5246 a RFC 3039, které definuje mj. obsah certifikátů, tj. tu samou věc, o kterou se Komise snaží v příloze IV. Na tuto skutečnost upozornil na svém říjnovém zasedání rovněž RIPE, který svoji pozici vyjádřil v dopise adresovaném Evropskému parlamentu.

V rámci nadcházejících jednání bude důležité, aby se členské státy za návrh Předsednictví postavily, při jednání s Evropský parlamentem i Komisí regulaci certifikátů jasně odmítly a podpořily tím principy správy Internetu i dosavadní práce na IETF.

Jiří Průša

Služba CAPTCHA Help se dočkala řady změn

Službu CAPTCHA Help provozuje CZ.NIC od srpna tohoto roku. Za tuto poměrně krátkou dobu si už ale stihla najít své věrné uživatele; těch je aktuálně více než 200 a stále přibývají. Když k tomu přidáme cca 10 vyřízených požadavků týdně, můžeme směle tvrdit, že si své místo a zájemce našla. A právě proto, že se služba ukazuje jako perspektivní, pracují vývojáři na jejím vylepšování.

Vývojáři proto nedávno zveřejnili dokument nazvaný S CAPTCHA Help doplňkem o krok dál. Ten je rozdělený do jednotlivých kapitol – Instalace, Nastavení a Použití, předposlední díl je potom věnovaný roli operátora a poslední budoucnosti. V této závěrečné části vývojář Petr Závodský kromě jiného píše: „Ke službě CAPTCHA Help velice brzy přibudou doplňky pro další prohlížeče: Internet Explorer, Mozilla Firefox, Safari. Doplňky prohlížečů chceme také vylepšit o některé další funkcionality, např. dát uživateli možnost zvolit si rozsah screenované části kolem CAPTCHA obrázku. Služba bude také postupně optimalizovaná tak, aby uživatel obdržel odpověď do několika desítek sekund. CAPTCHA Help také začínají využívat zahraniční uživatelé a i na ně se proto postupně začínáme zaměřovat.“

Celý dokument je proložen řadou obrázků a postupů, jak se službou efektivně pracovat. Měl by tedy bez problémů posloužit všem, kteří se chystají nové funkcionality využívat.

Vilém Sládek

Videorozhovor pro ISOC: Jaromír Talíř představuje Knot DNS

V ISOC existuje projekt Deploy 360 Programm, který si klade za cíl překlenout propast mezi IETF standardy a jejich zavedením do praxe. Deploy360 Programm je zaměřený například na IPv6, DNSSEC nebo routing. V jeho rámci má na internetových stránkách ISOCu své místo také náš Knot DNS.

Tuto záložku nedávno rozšířila prezentace kolegy Jaromíra Talíře z poslední konference ENOG, která se týkala mimo jiné také toho, že připravovaná verze Knot DNS (1.4.0) bude umět podepisování DNSSEC. Na záložce najdete vedle ní také rozhovor s Danem Yorkem, o který se s vámi rádi podělíme i na našem blogu:

Vilém Sládek

Laboratoře CZ.NIC odhalily závažnou zranitelnost linuxového jádra

V rámci vývoje a testování softwaru pro nový router CZ.NICu Turris jsme objevili nebezpečnou chybu v linuxovém jádře, která umožňuje vzdáleně způsobit kernel panic; pád jádra lze vyvolat posláním vhodně zformátovaných IPv6 fragmentů. Podle našeho názoru má chyba potenciál na DoS útoky.

Ve skutečnosti se jedná o dvě chyby v různých částech Linuxového jádra, které mohou nastat při zpracování IPv6 datagramu s nekorektně vyplněným fragmentation headerem. První chyba je známá od května 2011 pod označením CVE-2011-1927 a byla opravena ve verzi 2.6.38.9 linuxového jádra. Nyní došlo k pravděpodobné regresi této chyby v aktuálních jádrech počínaje verzí 3.11 a v mailinglistu vývojářů síťových driverů a TCP/IP stacku už je k dispozici patch, který tuto chybu opravuje. Oprava bude pravděpodobně začleněna do nejbližší budoucí udržovací verze jádra.

Druhá chyba, která dosud nebyla známá, se netýká samotného sestavování fragmentů k předání vyšší vrstvě síťového modelu, ale týká se Netfilteru – Linuxového firewallu, který sestavuje IP packety (IPv4 i IPv6) jen virtuálně, aby o nich mohl rozhodnout podle pravidel v INPUT resp. FORWARD chainech v tabulce filter. Problém, na který jsme v Laboratořích CZ.NIC narazili je, že překrývající se fragmenty můžou vyvolat kernel panic za podmínky, že dochází k pokusu o virtuální sestavení datagramu a to pravděpodobně z velmi podobných důvodů, jako v případě první chyby.

Chybu jsme reportovali v mailinglistu a spolupracujeme na vytvoření patche s vývojáři Linuxového TCP/IP stacku a Netfilteru.

Tomáš Hlaváček