Naším dlouhodobým cílem je péče o bezpečnost a stabilitu provozu domén .CZ. Jedním ze základních stavebních kamenů pro to je správně nastavený systém DNS, což však není zcela triviální záležitost a rozhodně to nemusí být jednoduché pro běžné uživatele online služeb. Proto existují správci DNS, kteří se o nastavení DNS starají, ale i těm může být ku prospěchu, pokud jsou jimi udržované nameservery pravidelně kontrolovány. A právě proto jsme dnes obnovili nové technické kontroly sad nameserverů pro domény .CZ.
Co je to vlastně sada nameserverů? Jedná se o objekt v registru domén, ve kterém jsou uvedeny nameservery, které jsou potřebné pro překlad jmen domén na IP adresy, zajišťují delegaci jména domény. Sada nameserverů se využívá, pokud je třeba provést vazbu stejných nameserverů k různým doménám. Technický termín, který se pro sadu nameserverů také používá je NSSET.
V předchozích letech jsme již provozovali systém, který prováděl technické kontroly sad nameserverů, ale tento se stal postupně nedostatečným jak z pohledu úrovně prováděných testů, tak z pohledu jeho dlouhodobé udržitelnosti. Proto jsme se rozhodli přejít na nové řešení.
Nejlepším kandidátem byla od počátku služba Zonemaster, kterou jsme si také jako základ našeho řešení vybrali. Zonemaster je služba vyvíjená doménovými registry Francie a Švédska (AFNIC a The Swedish Internet Foundation) a umí prověřit kompletní stav a kvalitu delegování DNS. Systém je veřejně dostupný a je možné ho kdykoliv použít pro kontrolu jakéhokoli jména domény.
My jsme tuto službu využili jako základ pro nové technické kontroly, které provádí pravidelné automatické testování všech sad nameserverů v registru domén .CZ. Tato naše služba vezme každou doménu navázanou na příslušnou sadu nameserverů a spustí na ní kompletní sadu testů přes službu Zonemaster. Každý takový test končí výsledkem závažnosti, které mohou být:
- critical – závažný problém, který může zcela narušit funkčnost domény nebo její dostupnost v DNS systému;
- error – upozornění označující vážný problém, který může způsobit nefunkčnost nebo narušit dostupnost domény, ale není tak závažný, aby se celá zóna stala nefunkční;
- warning – poukazuje na možné problémy, které nemusí okamžitě narušit funkčnost, ale měly by být řešeny;
- notice – poukazuje na aspekty, které by měl správce vědět, ale nemusí se jednat o problém;
- info – informace, které mohou být užitečné pro správce zóny, ale nenaznačují žádný problém.
Naše technické kontroly následně sdruží výsledky testů všech domén a přiřadí testované sadě nameserverů nejvyšší nalezenou závažnost. Poté dochází k odeslání e-mailu s informací o výsledku testování technickým kontaktům sady nameserverů dle nastavené úrovně reportování. Rozlišujeme tyto úrovně:
- 0 – reportování zcela vypnuto;
- 1 – reportování probíhá jen pokud je výsledek „critical“;
- 2 – reportování probíhá jen pokud je výsledek „critical“ nebo „error“;
- 3 – reportování probíhá jen pokud je výsledek „critical“, „error“ nebo „warning“;
- 4 – reportování probíhá jen pokud je výsledek „critical“, „error“, „warning“ nebo „notice“.
S tím souvisí také skutečnost, že jsme dnes hromadně existujícím sadám nameserverů změnili původně nastavenou úroveň reportování technických kontrol na hodnotu odpovídající novým úrovním technických kontrol (u těch, kde to bylo třeba). O tomto jednorázovém kroku jsme informovali technické správce nameserverů, u kterých došlo ke změně, e-mailem. Pro správné fungování domény nebo technických kontrol samotných není třeba provádět žádné změny.
Pokud není při zakládání sady nameserverů uvedena žádná reportovací úroveň, je takové sadě nameserverů automaticky přiřazena úroveň reportování 2.
Pro upřesnění, jak budou technické kontroly fungovat, uvedu praktický příklad. Naše technické kontroly vezmou sadu nameserverů, na kterou jsou navázány celkem tři domény a na každé z nich spustí kontrolu přes službu Zonemaster. Zonemaster ukáže výsledky závažnosti z provedených sad testů, které budou:
- 1 doména – 3x error, 2x warning;
- 2 doména – 2x error;
- 3 doména – 5x notice.
Při nastavené úrovni technických kontrol 2 bude v e-mailu uveden součet všech chyb, které dosahují příslušné úrovni reportování, tedy:
- závažnost critical – 0;
- závažnost error – 5.
Úroveň reportování lze kdykoliv změnit přes registrátora sady nameserverů. Nové technické kontroly sady nameserverů budou automaticky spouštěny periodicky jednou za 30 dní a u každé nově vytvořené sady nameserverů.
Věříme, že uvedené vylepšení technických kontrol pomůže technickým správcům DNS s jeho dlouhodobou údržbou a že ve výsledku povede ke zvýšení stability a bezpečnosti provozu domén .CZ a tedy ke spokojenějším uživatelům internetu.