To, že konec IPv4 adres se blíž, jsme na našem .blogu již glosovali mnohokrát. Rozvoj nového protokolu IPv6 je jedním z naších velkých témat, proto jsme například požádali kolegy Suchého a Ohnesorga, aby z různých úhlů pohledů o tomto problému referovali na naší konferenci IT09. O to více nás potěší, pokud někdo další k tomuto tématu přispívá. A nedávnou se k této aktivitě připojil i takový gigant jako Google. Kvůli obavě o dostupnost svých služeb pro uživatele, kteří mají špatně nakonfigurované IPv6 sítě, sice své služby přímo po IPv6 nenabízí, ale umožňuje například po IPv6 přistoupit ke svému vyhledávači na adrese ipv6.google.com. Nicméně to není příliš praktické v případě, že cestujete se svým notebookem či PDA a střídáte různé sítě z nichž některé rozumí pouze IPv4. Proto Google zavedl, že ISP, který má korektně nakonfigurovanou síť, to může Googlu sdělit a Google pak pro jeho zákazníky přístup po IPv6 povolí. CZ.NIC jako provozovatel s plně duální infrastrukturou si věří a proto jsme o toto nastavení Google požádali. Mimochodem, právě účastníci IT09 této služby využili, aniž by si toho někdo z nich všiml. Návod, jak s Googlem v této věci komunikovat je zde. Doufejme, že se přidají i další významní poskytovatelé služeb. Pokud o nějakém takovém počinu víte, dejte nám vědět třeba v komentáři pod článkem.
Ondřej Filip
DNSSEC news
V úterý došlo k podpisu další domény nejvyšší úrovně pomocí technologie DNSSEC. A tentokrát nejde o žádného trpaslíka. Podepsána byla domena .org, která obsahuje téměř sedm miliónů registrovaných poddomén. Tímto se tedy počet uživatelů, kteří můžou chránit své domény, značně rozrostl. Správce .org použil modernější variantu NSEC3, více podrobností lze najít pod tímto odkazem.
Druhá, možná ještě zajímavější novinka, přichází z oblasti, nacházející se ještě o úroveň výše. ICANN, společně se NTIA, NIST (Národní institut pro standardy a technologii) a společností Verisign (mimo jiné registr domény .com, .net) vydali společné prohlášení, ve kterém oznamují, že budou spolupracovat na podpisu kořenové zóny. Nějaké prohlášení na téma DNSSEC v kořenové zóně bylo poměrně očekávatelné. Trochu zvláštní je, že do projektu je zapojena soukromá společnosti Verisign. Druhým, přijemnějším, překvapením je, že cílem projektu je podpis kořenové zóny do konce roku 2009! To je rychlost v této oblasti skutečně nevídaná. Nicméně prohlášení neobsahuje žádné další detaily a mluví o prozatímním přístupu, což zní poněkud mnohoznačně. Vypadá to, že nejpalčivější problém technologie DNSSEC bude odstraněn už brzy.
Třetí aktualita ze světa DNSSEC se týká našich sousedů. Správce druhé největší národní domény na světě, společnost DeNIC oznámila start testování DNSSEC pro doménu .de – DNSSEC testbed. V kontrastu s předchozími zprávami je harmonogram toho testování, který by měl skončit až na začátku roku 2011. Ale tento harmonogram byl tvořen před tím, než přisly ty zajímavé zprávy od společností PIR a ICANN. Je tedy možné, že Němci v testování DNSSEC ještě zařadí vyšší rychlostní stupeň.
Ondřej Filip
DNSSEC ve linuxové distribuci Fedora 11
Přibližně za měsíc vyjde nová verze populární Linuxové distribuce Fedora. Jsem dlouholetým uživatelem distribucí Redhat a Fedora a tak mě v seznamu nových věcí velice potěšila podpora validace DNSSEC. Implementace podporuje jak DLV tak ITAR pro resolvery BIND i Unbound. Je skvělé, že tvůrci takto významné distribuce podporu DNSSEC zavedli, ostatní se jistě nenechají zahanbit. Vzhledem k tomu, že Linux už není pouze záležitostí serverů, ale že jej stále více lidí používá i jako pracovní stanici, přesouvá se tím validace DNSSEC od poskytovatelů připojení přímo ke koncovým uživatelům. V souvislosti s tímto bude zajímavé prozkoumat, jak se k DNSSEC dotazům budou stavět všemožné domácí WiFI a ADSL routery s NATem. Abychom mohli případné problémy předvídat, rozhodli jsme se, že budeme testovat domácí routery různých výrobců a budeme reportovat případné problémy.
Váš linuxový fanoušek
DNSSEC už i v Asii
Dnes ráno mě informoval můj DNS server, že v ITARu jsou nové klíče pro další doménu nejvyšší úrovně. Musím říct, ze jsem v tomto týdnu žádnou takovou zprávu nečekal a tak jsem byl trochu překvapený. Toto překvapení se změnilo v údiv ve chvíli, kdy jsem zjistil, že jde o podpis domény z Asie a navíc ze státu, který žádné plány na zavedení DNSSEC veřejně nevyhlásil. První podepsanou doménou v Asii je tedy doména .th – Thajsko. Doufejme, že nebude v tomto regionu osamocena dlouho.
Ondřej Filip
České firmy začínají objevovat DNSSEC
Často slýchávám názor, že pro úspěch technologie DNSSEC je potřeba, aby bylo podepsáno co největší množství domén. To mi přijde podobné, jako kdybychom chtěli, aby každý dům měl ve svém sklepení bankovní trezor odolný proti dynamitu.
Není přeci nutné podepisovat doménu, která slouží pouze pro web s fotkami z dovolené, ale naopak je důležité podepsat domény významných služeb: vyhledávačů, zpravodajských portálů, bank, e-shopů a podobně.
V nedávné době byly podepsány dvě domény, obě z té důležitější kategorie. V minulém týdnu to byla doména jednoho z největších internetových knihkupectví v republice, které funguje na internetové adrese www.kosmas.cz, a dnes jsem si všiml, ze je podepsána i doména významného internetového zpravodajského serveru lupa.cz. To jsou dobré zprávy. Doufejme, že další významné domény na sebe nenechají dlouho čekat.
Ondřej Filip
Konečně máme kořen DNSSEC
Ačkoliv už pět správců domén nejvyšší úrovně (TLD) zavedlo technologii DNSSEC, stále nám chybí jakoby krok číslo 1, tedy podpis té úplně prvotní, neboli kořenové zóny. Pokud tedy chci v současné době plně validovat záznamy ve všech podepsaných zónách, musím si stáhnout klíče všech pěti organizací a starat se o jejich aktualizaci. To je pochopitelně poměrně nepraktické, každý správce domény má jiný způsob, jak klíče zveřejňuje. V praxi to tedy funguje tak, že každý ISP, který validaci provádí, si buď sleduje aktuálnost obvykle té pro něj nejzajímavější domény a ostatní ignoruje, nebo použije úložiště klíčů mechanismu DNSSEC Lookaside Validation – DLV. DLV je poměrně elegantní řešení, nicméně ne každý má důvěru v konkrétního provozovatele DLV. Navíc DLV není zcela obecně přijaté a standardizované řešení.
Vzhledem k tomu, že podepsání kořenové zóny z mnoha důvodů ještě nedošlo, rozhodla se organizace IANA, která se jinak o změny v kořenové zóně stará, jednat a vytvořila prozatímní řešení, do doby než se spory vyjasní a dojde k podpisu. Proto vytvořila tak zvaný ITAR – Interim Trust Anchor Repository. Toto řešení je technologické odlišné od DLV a je z hlediska typu použitého DNS resolveru zcela neutrální. Dalším plusem je, že jej spravuje důvěryhodná organizace, která se o změny v kořenové zóně stará a má tedy autentizační mechanismy pro komunikaci se správci TLD. Výhodou je poměrně přesná specifikace toho, za jakých podmínek je služba provozována, a toho, co se stane po podpisu zóny. Ještě je třeba dodat, že narozdíl od DLV slouží ITAR pouze pro TLD. Způsob, jak nastavit DNS resolver pro spolupráci s DLV nebo ITAR popisuje kolega Surý ve svém článku na serveru Root.
Ač se vznik ITAR nemusí jevit jako důležitý krok, ve skutečnosti jím je. Může totiž přesvědčit registry, kteří čekají s implementací DNSSEC na podpis kořene, k urychlení plánu. Teď totiž kořen vlastně máme.
Ondřej Filip
Kdy se dočkáme nových gTLD?
V loňském roce bylo jedním z hlavních témat globální správy doménového systému zavedení nových generických domén nejvyšší úrovně – gTLD. Velmi hlasití byli i zástupci městských domén, především .berlin, .nyc a .paris. Generické domény už vznikaly i dříve, vzpomeňme na vznik .museum a .aero, nicméně rozhodně nešlo o transparentní a systematický proces. ICANN se proto rozhodl tomto tlaku částečně podvolit a začal připravovat v rámci speciálního programu proces a pravidla pro zavádění nových gTLD.
Zavedení nových gTLD je ovšem velmi kontroverzní téma, protože nové domény, jak to tak už bývá, nemusí znamenat jen pozitiva. Mezi nimi jsou nejčastěji udávány otevření prostoru pro nové služby či inovace, větší konkurence na trhu doménových jmen nebo to, že by měl existovat jasný postup zavádění, méně chaotický, než je ten současný. Proti tomu jsou ovšem možná negativa, jako že doménový prostor se stane nepřehledným pro uživatele, bude ještě více sporů o domény nebo že nové domény nebudou úspěšné.
ICANN navrhl pravidla, jak by nové domény měly vznikat a vyzval veřejnost, aby tato pravidla komentovala. Jedním z nejzajímavějších příspěvků v této kauze je nedávné vyjádření vlády Spojených Států. Postoj vlády USA má pro ICANN velký význam, protože právě tato vláda (prostřednictvím DoC a pak NTIA) vznik ICANN umožnila a dodnes mají obě strany speciální smlouvu, která vznik a změny domén nejvyšší úrovně řídí. Komentář upozorňuje na fakt, že ICANN zatím nedodržel svůj vlastní závazek, kterým je vypracování studie týkající se ekonomických dopadů zavádění nových domén. Osobně si myslím, že ICANN bude na tento komentář reagovat a tyto studie vypracuje. Nicméně to jistě bude nějaký čas trvat. Uvidíme tedy, jak rok 2009 posune tuto debatu dále. Můj názor je, že vznik nových domén to zásadně pozdrží, možná až do roku 2010. Uvidíme.
Ondřej Filip
Davám podpisu kořenové zóny rok, maximálně dva
Nedávnou jsem se zhruba touto větou pokoušel být vtipný v jedné diskusi k mému rozhovoru o DNSSEC. Čas se ani tak moc neposunul a vypadá to, že jsem nebyl příliš daleko od pravdy. Díky objevení Kaminského útoku se ledy skutečně hnuly. Poslední dobou se technologii DNSSEC začala věnovat i americká administrativa. Nejdříve Kancelář pro plánování a rozpočet vydala nařízení, že musí dojít k podpisu domény .gov a všech jejích poddomén a nedávno i NTIA rozeslala žádost o komentování mechanismu podpisu kořenové zóny. U toho jsme pochopitelně nemohli chybět a i my jsme vyjádřili náš názor. Z pohledu českých uživatelů je asi nejdůležitější, aby k podpisu došlo rychle, aby nedošlo k nějaké závažné změně v mechanismu správy kořenové zóny a aby se o podepisování starala důvěryhodná a spolehlivá mezinárodní organizace. To je taky důvod, proč jsme podpořili návrh ICANN. Tak uvidíme, jak NTIA komentáře vyhodnotí.
Ondřej Filip
Pochvala od zakladatele Internetu
Spuštění DNSSECu mělo obrovský mezinárodní ohlas. Dostali jsme gratulace z mnoha stran. Sesypalo se na nás veliké množství dotazů a byli jsme požádáni o prezentaci téměř na všech fórech, která se DNS týkají. Česká Republika je v současné době skutečně vidět. Nicméně jedna pochvala překonala všechny. A to především tím, že přišla od člověka, který pro Internet tolik udělal. Jde o e-mail, který nám poslal Steve Crocker. Jestli si přesně nevybavujete, co je to za člověka, bude nejlepší, když se podíváte, kdo byl autorem prvního ze základních dokumentů Internetu, tedy RFC 1.
Je to velká pochvala pro CZ.NIC, ale určitě i pro registrátory, ISP i držitele domén, kteří se na DNSSECu podílí. Vlastní dopis myslím nepotřebuje další komentář.
Steve Crocker napsal:
Folks, I was in Stockholm October 20-21 for the DNSSEC and IPv6 Workshop and Internet Dagarna (Internet Days) Symposium. One of the highlights was Ondřej Surý's talk and the strong entry of The Czech Republic into the DNSSEC arena. Ondřej gave a very good talk and asked me to pass along my impressions and thanks. It's evident you have a very strong team and are a leader in the field. I encourage you to help spread DNSSEC not only throughout The Czech Republic but also the rest of Central and Eastern Europe. Steve Crocker Co-Chair, DNSSEC Deployment Working Group Chair, ICANN's Security and Stability Advisory Committee
dotIDN se blíží
Dlouho očekávaná událost se blíží. Je to už poměrně dávno, kdy se některé státy, které nepoužívají latinku, začaly hlásit o svá práva. Technologie internationalized domain names (IDN) byla představena v mnoha národních doménách, ale bohužel nepřinášela to, co se od ní očekávalo. Jedním z hlavních důvodů pro zavedení IDN bylo zpřístupnit Internet uživatelům, kteří neovládají latinku. Z našeho českého pohledu to zní možná neuvěřitelně, ale svět je plný lidí, kteří neznají naší (nebo alespoň anglickou) abecedu a používají úplně jiná písma.
Aby tito lidé nemuseli používat latinku pro psaní internetových adres, zavedly národní registry mnoha zemí IDN. Nicméně kýžený efekt se dostavuje jen velmi zvolna. Problémem je, že příslušná adresa je až na dvě části téměř celá v národní abecedě. Jako na příklad se podívejme na URL Tokijské University – http://東京理科大学.jp. Označení protokolu je v latince, i když to by jistě šlo snadno obejít nastavením prohlížeče, ale hlavně národní doména je v latince. Takže zájemce o studium nejenom, že musí znát latinku, ale ještě je nucen 2x přepnout klávesnici, aby toto URL napsal. To mu tedy příliš situaci nezlehčuje.
Proto začaly mnohé „nelatinské“ státy tlačit na ICANN, aby umožnil vznik nelatinkových domén nejvyšší úrovně nebo-li, aby zavedl dotIDN. Bohužel žádný z těchto žadatelů nepřišel s nějakým jednoduchým systémem, podle kterého by tyto domény vznikaly. Celá problematika se dotýká mnoha vzájemně propojených záležitostí jakými jsou třeba stát, jazyk, písmo, národ. ICANN zareagoval tak, že odstartoval test dotIDN a spustil proces nazvaný fast-track, který by umožnil zavedení dotIDN pro státy s urgentní potřebou, bez nastavení přesných pravidel. Předpokládalo se, že pár států tuto možnost využije, vznikne několik nekonfliktních a obecně akceptovaných domén a ICANN bude mít čas stanovit globální pravidla pro dotIDN. Bohužel ani fast-track nepostupuje tak rychle, jak se očekávalo a tak se mu posměšně přezdívá not-so-slow-track.
Nicméně proces pokračuje a ICANN nedávno obeslal všechny správce národních domén s dotazem, zda-li budou mít zájem o dotIDN ve fast-track a jak by taková doména měla vypadat. My tady v Čechách asi těžko prokážeme urgentní potřebu, takže se jen můžeme nechat překvapit, jak tento dotazník dopadne.
Ondřej Filip