Autor: Ondřej Filip

Kéž by byl DNSSEC všude

15.10.

Jak si povídám s mnoha lidmi o technologii DNSSEC, setkal jsem se s názorem, že trochu přeháníme, že možnost napadnout DNS server je pouze teoretická a že se vlastně nic neděje. Proto bych rád uvedl jednu poměrně dobře popsanou kauzu, na kterou před časem upozornil Websense. DNS servery jednoho ISP v Číně byly napadeny právě cache poisoningem. A nebyl to ISP nijak malý, mluvíme o China Netcom (CNC) s 20 milióny broadband uživatelů a se 110 miliony dialupisty! Nešlo o zcela klasický útok proti konkrétní stránce. Totiž v případě, že zákazník CNC napíše špatnou adresu, je přesměrován na reklamní stránku CNC. Ta slouží k vylepšení příjmů CNC a je jistě celkem hojně navštěvována. Nicméně v důsledku útoku byli zákazníci přesměrováni na stránky útočníka, které se snažily zneužít chyby v prohlížeči a pluginech a zavirovat počítače zákazníků.

Je evidentní, že CNC díky počtu uživatelů útočníky láká, ale je jen otázkou času, kdy přijdou útoky i proti menším sítím (tedy jestli už nepřišly). Získat na Internetu program, který na DNS útočí je otázka pár minut…

Ondřej Filip

Komentáře (3)
Celý článek

To nejzajímavější z ICANN

3.7.

Tvář internetu se radikálně promění, vznikne nepřeberné množství nových generických domén nejvyšší úrovně. Takovým způsobem mohl působit závěr posledního zasedání organizace ICANN, které se konalo minulý týden v Paříži. Velmi pravděpodobně ale uplyne ještě hodně vody, než se nové domény začnou objevovat. Představenstvo ICANN se zatím totiž pouze jednomyslně shodlo na tom, že umožní vznik nových domén nejvyšší úrovně a to jak v anglické znakové sadě, tak i v ostatních jazycích. Jedním dechem ale poukázalo i na nutnost s liberalizací internetového prostoru zavést a dodržovat striktní a jasně dané podmínky a pravidla pro tyto nové domény.  A o těch se teprve začíná diskutovat. Podle předpokladů samotného ICANN by návrh pravidel neměl být hotový dříve než na začátku roku 2009 a teprve pak bude možné začít přijímat první žádosti o speciální domény. Kolik času zabere jejich vyhodnocení není snadné odhadnout; předpokládám ale, že se bude muset projít souborem nejen technických, ale i finančních a administrativních podmínek, což nějakou chvíli zabere. Reálný vznik prvních nových domén tak odhaduji zhruba na přelom let 2009 a 2010, přičemž tempo jejich přibývání nebude nijak závratné.

Výsledky tohoto usnesení jsou jistě povzbudivou zprávou pro všechny žadatele o generické domény nejvyšší úrovně. Mezi nejhlasitější patří zástupci některých velkých měst jako třeba Berlínu, Paříže či New Yorku, kteří lobbují za domény .berlin, .paris a .nyc. Stejně tak toto usnesení nahrává uživatelům jiných písem než anglické abecedy, protože je otevřen prostor po nové generické domény v jazycích a písmech jako čínština, arabština, ruština a podobně. Toto usnesení se zatím netýká speciální skupiny domén nejvyšší úrovně, které vyjadřují názvy států (tzv. ccTLD — country code Top Level Domain) jako třeba .cz, .uk, .eu a podobně. Vznik těchto domén se řídí speciálním seznamem ISO-3166. Na tvorbě mechanismu pro vznik ccTLD neanglických znakových sadách se právě v rámci organizace ICANN intenzivně pracuje.

Ondřej Filip

Komentáře (5)
Celý článek

IDN v českých doménách?

26.5.

Na konferenci Internet a technologie 08, která se konala 20. května v Praze, představilo sdružení projekt háčkyčárky.cz. Tím znovu otevřelo diskusi na téma IDN v českých doménových jménech a opět vyvolalo otázku, zda zavést do domén s koncovkou .CZ české národní znaky a nejen ty.

Budeme rádi, pokud se k tomuto projektu, tématu, kterému je věnována samostatná internetová stránka http://háčkyčárky.cz, budete chtít vyjádřit; pokud nám napíšete, co si o projektu a tématu samotném myslíte.

Předem vám děkujeme za vaše názory a připomínky.

Ondřej Filip

Komentáře (142)
Celý článek

S .su na věčné časy a nikdy jinak

23.4.

Kdo říká, že Sovětstký svaz je minulostí, nemá tak uplně pravdu. Alespoň ve virtuálním světě internetu žil, žije a zdá se, že bude ještě nějakou chvíli žít. Doména .su odpovídající dle normy ISO 3166-1 Sovětskému svazu žije celkem rušným životem. Dle statistik jejího správce je registrováno skoro 50 000 domén. Zajímavý je i nárůst jejich počtu, který navíc v poslední době zrychluje. Jenom za minulý kalendářní rok počet domén narostl skoro čtyrnásobně.

Evidentně je nostalgie po starých časech v Rusku stále silná. Zrušení top-level domény není určitě snadná a jednoduchá záležitost, můžete se o tom více dočíst v příslušném dokumentu organizace ICANN. Tento dokument obsahuje také příklady, ve kterých se to bez problémů povedlo. Mimochodem jeden z nich je třeba bývalé Československo a doména .cs. Asi nejvýmluvnější ale je podívat se na „věcné argumenty“, které padají na adresu domény .su v příslušném mailing listu ICANN.

Když už jsem zmiňoval doménu .cs, ona je naopak příkladem toho, že ani start nové domény nebývá lehký. Napoprvé, v případě Československa, to šlo celkem hladce, nicméně po rozpadu Jugoslávie, byla tato doména přidělena státu Srbsko a Černá Hora. Za tři roky existence toho státu se nepovedlo doménu uvést v život a nové domény vznikly až když se tento útvar rozpadl na samostatné Srbsko (.rs) a Černou Horu (.me).

Ondřej Filip

Komentáře (1)
Celý článek

Jak bude fungovat DNSSEC v .CZ?

20.3.

Na začátku března jsme ohlásili záměr a „cestovní plán“ na zavedení technologie DNSSEC v doménách .CZ a ENUM. Dokument Implementace DNSSEC v CZ.NIC obsahuje návrh, jak bude implementace do registru domén vypadat a jakým způsobem bude provedena. Tímto jej dáváme všem otevřeně k dispozici. Budeme velice rádi, když nám napíšete své komentáře či připomínky k jeho obsahu a přispějete tak k tomu, aby se DNSSEC stal užitečným nástrojem pro všechny uživatele internetu v České republice. Své reakce vkládejte přímo sem pod článek do komentářů nebo e-mailem na adresu kontakt@nic.cz.

Ondřej Filip

Komentáře (0)
Celý článek

Co mě štve na diskusích o IDN

30.1.

Nedávno jsem na jednom blogu četl příspěvek o IDN a jako obvykle jsem se trochu rozčílil. Rád bych se v tomto článečku pokusil vyvrátit několik mýtů, které v Čechách kolem IDN panují. První nepravda je, že CZ.NIC se na IDN třese, chce na něm vydělat a proto pořád opakuje průzkumy veřejného mínění. To je pochopitelně nesmysl. Sdružení se IDN spíše brání, stačí povolit registraci domén začínající xn-- a IDN je na světě. Pro současný registrační systém (FRED) není IDN překážkou, na registrační nápor je připraven. CZ.NIC je neziskové sdružení a pokud zaregistruje nějak zásadně více domén, musí zlevnit. Myslím, že jasným důkazem bylo razantní snížení velkoobchodní ceny v říjnu loňského roku; podařilo se nám snížit náklady a proto jsme šli dolů i s cenou.
Druhý nápad, který se v takové diskusi často objeví, je, že by nameservery CZ.NIC na dotaz na doménu s háčky a čárkami odpověděl stejně, jako na stejnou doménu bez diakritiky. Tato myšlenka zní na první pohled rozumně, ale mám dva důvody, proč se mi nelíbí. První je poměrně jednoduchý. Nevidím proč by měli držitelé běžných domén mít práva na všechny varianty. Při vší úctě k úřadu vlády, není asi nutné, aby kromě vláda.cz vlastnila tato instituce také doménu vláďa.cz. Druhý důvod je výrazně silnější. Ono to totiž ani technicky není možné provést. Jsou dva způsoby:

  1. předgeneruje se zóna pro všechny povolené IDN kombinace. Zkoušel jsem si počítat velikost takové zóny pro české znaky (od IDN bych osobně očekával i znakové sady našich sousedů) z aktuálního stavu a vyšlo mi číslo 50 biliónů domén. A to se rozhodně nevejde do pamětí současných DNS serverů.
  2. upraví se software DNS serverů tak, aby odpověď počítal za běhu. CZ.NIC používá v současné době bind a nsd, tyto SW by bylo nutné upravovat. Oprosťme se teď na chvíli od nákladů na udržování paralelních větví takového SW; mimochodem, ve dřívějších dobách, před mým příchodem do CZ.NIC, by to ani nebylo možné, protože tehdy neměl CZ.NIC všechny DNS servery pod svou správou. Protože plánujeme zavedení technologie DNSSEC, musel by mít u sebe DNS server nainstalovaný podpisový klíč zóny, což je značné bezpečnostní riziko, kterým by současně za běhu podepisoval odpovědi. To je při exponovanosti DNS serverů opět technicky nemožné.

Po zvážení těchto skutečnosti už nemá cenu komentovat fakt, že by si každý správce domény musel na takové řešení připravit své webové a mailové servery. Jako mnohem důležitější vidím otázky jako jsou:

  • zavést nebo nezavést IDN?
  • nezavádět je i v případě, že budou jiné TLD už české IDN podporovat?
  • jaké znakové sady podporovat?
  • startovat se sunrise nebo přímo
  • mají mít v sunrise přednost současné neIDN domény?
  • mají mít v sunrise přednost držitelé ochranných známek, státní správa a samospráva.

Váš xn--ondej-kcb filip

 

Komentáře (35)
Celý článek

Pořád je co zlepšovat!

30.1.

Když jsme s kolegy pracovali na plánech na letošní rok, říkali jsme si, že tento pro nás bude celkem obtížný. Nebude jednoduché překonat výsledky z loňska, přeci jenom úspěšná migrace a start nového systému nám vynesly hodně pochval a ocenění. Shodli jsme se ale na tom, že je pořád co zlepšovat. Především v komunikaci s médii a internetovou veřejností. I když jsme i zde udělali v poslední době hodně práce, chceme jít ještě dále. Právě proto otvíráme nový komunikační kanál – BLOG.
Na tomto webu chceme představovat především novinky, které se příliš nehodí pro formálně učesané tiskové zprávy. Rádi bychom zde zjišťovali názory komunity na některé naše nápady, proto bude možné přidat ke každému článku komentáře. Velmi nás potěší, když jich bude hodně.
Věřím, že se vám, internetové komunitě, bude .blog líbit a že se rychle dostane do vašich bookmarků.

Váš bloger Ondřej Filip

Komentáře (18)
Celý článek