Po podpisu kořenové zóny se dle předpokladu se zprávami kolem DNSSECu doslova roztrhl pytel. Zástupci doménových registrů se předhánějí s prohlášeními o implementaci, neuběhne snad týden, aby nebyla nějaká novinka. Dovolte mi alespon stručně shrnout události, které mi přisly v poslední době nejzajímavější.
Českého uživatele by jistě mohla zajímat zpráva, že jsme jako první na světě dokončili proces změny způsobu podepisování z NSEC na NSEC3. Museli jsme tedy pochopitelně vyměnit klíče v kořenové zóně. V případě řešení, která měla pomoci překlenout vakuum do doby podpisu kořene, tedy DLV a ITAR jsme pouze staré klíče odstranili a nové už nepřidali. Všichni poskytovatelé připojení, kteří chtějí validovat DNSSECem naši národní doménu, by tedy měli používat pouze ověření přes kořenovou zónu. Všechny ostatní mechanismy už nadále nedoporučujeme.
Další tři evropské země podepsaly své domény. Jde o Finsko, Belgii a Nizozemí. Správci všech těchto domén použili shodně algoritmus NSEC3 a opt-out. Evropská mapa se nám postupně začíná obarovovat, bílá místa ubývají.
Další zajímavou novinkou je podpis prvních dvou dotIDN domén (tedy krom testovacích); jde konkrétně o domény Sri Lanky, které je možné zapsat buď takto xn--fzc2c9e2c a xn--xkc2al3hye2a nebo chcete-li ලංකා a இலங்கை.
No a na závěr bych si dovolil upozornit na prohlášení společnosti Afilias, které jistě velice potěší všechny příznivce technologie DNSSEC. Tato společnosti totiž oznámila, že letos v září podepíše svou hlavní doménu .info a následně i všech 12 ostatních spravovaných domén, mezi které patří například doména Indie .in nebo zajímavá doména Černé hory .me. To je jistě velmi znatelné rozšíření klubu podepsaných domén.
Jak je vidět, u doménových registrů je v souvislosti s DNSSECem víceméně „dobojováno“. Nyní zbývá hodně práce na registrátory, poskytovatele služeb a připojení a výrobce software. Bude zajímavé sledovat, jak bude tento proces dále postupovat.
Ondřej Filip
Už jen 5 %!
Adresní prostor „starého Internetu“ se nám pořád nezadržitelně smrskává. Dnes ráno byly další dva velké adresní bloky (velikosti 16777216 adres) přiděleny do regionu Asie-Pacifik. Jde konkrétně o bloky 101.0.0.0/8 a 49.0.0.0/8. V nejvyšším registru adres IANA už zbývá pouze 14 bloků ze 256 a známé počítadlo díku tomu už ukazuje pouze 5 %. To bohužel jen potvrzuje, že dosavadní předpovědi jsou velice přesné, následující graf Geoffa Hustona přesně zachycuje, kdy a s jakou frekvencí probíhá přidělování bloků do zmíněného regionu Asie-Pacifik.
Tento region je v současnosti zdaleka nejaktivnější. Na druhém konci pelotonu stojí pochopitelně region, který se nachází jižně od nás. Obdobný graf pro Afriku má totiž úplně jiný tvar a je z něj zřejmé, že Africe bude velký blok od IANA přidělen už pouze jednou. Ale na druhou stranu by jí adresy měly vydržet nejdéle ze všech regionů. 
I když třeba nás tento region překvapí. V červenci se hned dvě země černého kontinentu dostaly na seznam deseti zemí s nejvíce nově alokovanými adresami. Šlo konkrétně o Egypt a Jihoafrickou republiku. Ale jinak stále platí, že nejvíce alokuje Čína, tentokrát následovaná Koreou. Tyto dvě země si vzaly stejně adresního prostoru jako celý zbytek světa dohromady, to je něco přes 10 miliónů adres. 
V porovnání s těmito čísly je česká spotřeba adres úsměvná. Češi alokovali v srpnu pouze 8192 adres. Inu je zřejmé, že my středoevropané oddálit konec „starého Internetu“ nemůžeme, naše role je v tomto procesu nepodstatná. My se můžeme pouze připravovat na situaci kdy ten konec přijde a to tedy znamená zavádět nový protokol IPv6.
Ondřej Filip
Dvojkotví
Stejně jako všichni lidé, kteří se nějakým způsobem podílejí na správě DNS infrastruktury, jsem se i já těšil na podpis kořenové zóny. Všichni jsme si od tohoto kroku slibovali, že konečně bude jeden jediný pravý bod důvěry (trust anchor – kotva), který velice rychle nahradí dosavadní dočasné mechanismy jako je ITAR či DLV. Osobně jsem očekával, že hned, jak bude umožněno vkládat DS záznamy do kořenové zóny, tak učiní všechny podepsané domény nejvyšší úrovně. Dnes máme už téměř tři týdny po podpisu kořene a více než měsíc od okamžiku, kdy bylo možné DS záznamy vkládat. Pojďme se tedy podívat, jak situace s kořenovou zónou vypadá. Poměrně překvapivé je zjištění, že v kořenové zóně je 11 domén (bg, br, cat, cz, dk, edu, lk, na, org, tm, uk), zatímco v ITARu je 12 domén (arpa, bg, br, ch, cz, li, na, nu, pr, se, th, tm). Na druhou stranu počet domén v ITARu neustále klesá, nedávno například ITAR opustila .lk a .org. A pochopitelně počet DS záznamů v kořenové zóně roste. Nicméně právě druhým překvapením je, že v kořenové zóně nejsou dvě vetší domény – .se a .eu. Evropská .eu není ani v ITARu. Zástupkyně švédské domény se v mailinglistu vyjádřila tak, že v době dovolených nemají kapacity na vložení DS záznamu, a že tak učiní v průběhu srpna. To je zajímavé vyjádření. Z naší zkušenosti musím říct, že to rozhodně mnoho práce nevyžaduje :-)
Každopádně i tak můžeme říct, že ITAR se pomalu stává minulostí, už rozhodně nelze validovat jen s ním. Česká doména jej kvůli rotaci klíčů opustí brzy a dá se předpokládat, že obdobně se zachovají i ostatní registry. Naopak nové registry už budou vkládat své DS záznamy přímo do kořene. V mailinglistech věnovaných rozvoji DNSSEC byla už spuštěna debata o tom, kdy provoz ITARu definitivně ukončit. Zatím ještě žádné datum nepadlo.
Každopádně, pokud jste tak ještě neučinili, nastavte své resolvery, aby validovaly proti kořenové zóně. Jinak už o mnoho domén „přijdete“.
Ondřej Filip
Tak už méně než rok
Ačkoliv dnes napínavě očekáváme trochu jinou událost, tedy podpis kořenové zóny, dovolte mi se dnes zaměřit na trochu jiný, ale neméně zajímavý fakt. Známé počitadlo spotřeby IPv4 adres dle předpovědi Geoffa Hustona ukazuje, že tyto adresy dojdou v nejvyšším registru IANA za méně než rok! Dnešní odhad ukazuje na 10. červen 2011.
To je zjevný posun, ještě nedávno jsem například glosoval, že lidé z IANA, kteří se věnují přidělování IPv4 budou bez práce až ke konci prázdnin příštího roku. Takhle to spíše napovídá, že si příští prázdniny užijí celé. Vzhledem k tomu, že konec je už relativně blízko, je každý posun poměrně významný. Pojďme se podívat, čím by tak mohl být způsobený. Za prvních 14 dnů prázdnin bylo alokováno cca 13 miliónů adres, což je zhruba stejně jako za celý červen. Pokud by toto tempo v červenci vydrželo, byl by to rozhodně rekordní výkon tohoto a loňského roku.
Pravidelného čtenáře našeho blogu možná napadne, že by to mohlo být způsobené nedávnou změnou RIPE politiky a že evropské LIRy podaly na konci června hodně žádostí o alokace, aby ještě stihly alokovat za starších výhodnějších podmínek a tyto alokace byly postupně vyřizovány v červenci. To se jistě mohlo stát, ale pohled na následující koláčový graf napoví, že Evropané v červencových alokací rozhodně nehrají prim.
Alokace dle regionů za prvních 14 dnů července 2010
Hlavní konzumentem IP prostoru byl region Asie-Pacific s 8,8 miliónem adres následovaný Latinskou Amerikou s 2,1 milióny adres. Evropané paběrkovali jen s 1.6 miliónem. V dnešní době už asi nikoho nepřekvapí, že z pohledu zemí putovala největší porce IP prostoru do Číny. Říše středu zatím za prvních 14 dní července potřebovala na svůj rozvoj 6,5 miliónu adres, tedy zhruba tolik, co celý zbytek světa. Mimochodem, v regionu Asie-Pacific se stále ještě alokuje na 12 měsíců dopředu.
Bude velice zajímavé sledovat, jak se bude situace vyvíjet dále. Následující dva měsíce by totiž tak jako v minulých obdobích měly být spíše podprůměrné kvůli vlivu prázdnin. Ale je možné, že prolomení psychologické hranice jednoho roku přeci jenom přiměje jednotlivé LIRy/ISP trochu alokace uspíšit.
Ondřej Filip
RIPE utahuje kohoutky
Ačkoliv běžný uživatel Internetu žádné zásadní změny nepociťuje, odborníci už vědí, že „se něco děje“. IPv4 adresy rychle ubývají a není příliš daleko doba, kdy nám počitadlo ukáže, že v registru adres IANA nebudou ani na rok. Nebo chcete-li někdy v průběhu příštích prázdnin bude IP prostor registru IANA prázdný. Pak ještě budou nějaké volné adresy u pěti regionálních registrů a těm by, dle dnešních odhadů, měly dojít někdy v dubnu 2012. Nicméně to je průměr přes všechny registry; je možné, že v některém dojdou adresy dříve. Pak ještě nějaký čas budou adresy u lokálních registrů (LIR), kteří přidělují (assignment) adresy koncovým uživatelům, což ale případně mohou být oni sami. Regionální registry a tedy i náš Evropský RIPE tato situace pochopitelně nenechává v klidu. Proto postupně zpřísňují své podmínky, za kterých přidělují IP adresy jednotlivým LIRům nebo-li poskytovatelům připojení či služeb. Jedno z těchto omezení vstoupilo v platnost právě dnes. Až do teď RIPE NCC alokovalo (allocation) IP adresy LIRů s výhledem na 12 měsíců. Stejně tak LIRy byly povinny přidělovat adresy koncovým uživatelům tak, aby jim toto přidělení vystačilo zhruba na 12 měsíců. Jinými slovy, pokud by došly IP adresy, někteří koncoví uživatelé by měli IP adresy ještě na cca 24 měsíců a někteří by měli okamžitě smůlu. Aby byla odstraněna tato nespravedlnost, byl vytvořen a následně přijat tento návrh, který obě lhůty postupně zkracuje. Od dnešního dne bude RIPE NCC alokovat adresy pouze na 9 měsíců a na stejnou dobu mají LIRy přidělovat rozsahy svým koncovým uživatelům. K dalším zkrácení těchto lhůt dojde 1. ledna příštího roku, od kdy tyto lhůty budou jen 6 měsíční a přesně za rok budou zkráceny na 3 měsíce. Jinými slovy, získat adresy dopředu bude složitější, konec se prostě nezadržitelně blíží.
Ondřej Filip
V druhé půlce července nezapomeňte…
Pro českou národní doménu došlo včera k další významné události související s uzavřením řetězce důvěry pomocí technologie DNSSEC. IANA dokončila proces vložení DS záznamu do kořenové zóny. DS záznam je jakýsi otisk DNSSECového klíče příslušné domény a vždy jej předává správce podřazené domény správci nadřazené domény. Technicky jde o analogický proces, jako když nám do zóny .cz vloží pomocí svého registrátora obdobné informace držitel. Nicméně v případě kořenové zóny panují úplně jiná pravidla, proces zdaleka není automatizovaný, naopak je spíše ruční. Obvykle trvá několik dní a zahrnuje mnoho akcí více institucí. Pokud si na ty zmiňované DS záznamy chcete „sáhnout“, napište třeba následující příkaz.
dig +short DS cz. @a.root-servers.net
Co to tedy znamená? Jakmile dojde k podpisu kořenové zóny nemusí člověk provozující validující rekurzivní nameservery (obvykle ISP nebo správce firemní sítě) ukládat do konfigurace speciální klíče pro každou podepsanou doménu nejvyšší úrovně (TLD), ale vystačí si pouze s jedním klíčem kořenové zóny. A co to bude znamenat pro CZ.NIC? Především volnost v tzv. rotování klíčů. Všechny klíče použité v DNSSECu je nutné čas od času obměnit. Rychlost záleží na jejich typu (KSK či ZSK). ZSK lze měnit automaticky a to také CZ.NIC pravidelně dělá, ale právě KSK jsme ještě od spuštění DNSSECu neměnili. Tuto operaci tedy bude možné provést až po podpisu kořenové zóny. Krom běžné výměny klíčů plánujeme i zavedení modernějších podepisovacího systému NSEC3, který neumožňuje vylistování domén ze zóny, tzv. zonewalking. Nedávno jsme zveřejnili harmonogram tohoto postupu a už jsme v podstatě v polovině, zatím jsme NSEC3 zavedli pro ENUM doménu (0.2.4.e164.arpa). Mohli jsme si to dovolit, protože to není TLD; tato doména je podřízena e164.arpa a tedy její klíče by pro validaci nikdo používat neměl.
Harmonogram také říká, že k přechodu na NSEC3 v .cz by mělo dojít 3. srpna. Nicméně jsou tu dva důležité faktory, které mohou toto datum posunout. Prvním faktorem je přirozeně datum podpisu kořenové zóny, zatím však vše nasvědčuje tomu, že to bude dle plánu 15.7.2010. Druhou věcí, která by nás mohla donutit k změně, by bylo zjištění, že nějaké významné DNS resolvery ještě stále používají „natvrdo“ nastavený klíč pro .cz. To se bohužel dá jen velmi obtížně zjistit, jedinou možností je se prostě zeptat správce. Proto budeme tuto věc ověřovat pouze u velkých ISP, o kterých je nám známo, že validaci DNSSEC používají. Pokud tedy nějaký takový validující resolver spravujete, poznačte si do kalendáře, že mezi 15. červencem 2010 a 3. srpnem 2010 musíte v konfiguraci udělat změnu nastavení, jinak Vám validace české domény přestane fungovat.
Udělejte to určitě, rádi bychom „jeli na čas“! :-)
Ondřej Filip
Další významná doména podepsána
Zprávy týkající se DNSSECu se v poslední době objevují jako houby po dešti. S tím, jak se blíží podpis kořenové zóny, zvyšují mnohé TLD registry svou aktivitu v této oblasti. Proto jsem si vybral zprávu, která se dotýká mnoha uživatelů v České republice. Dalším registrem, který podepsal svou doménu a spustil registrace pro koncové uživatele, se stalo sdružení EURid. Pro podpis už pochopitelně použilo novější technologii NSEC3 a to s mechanismem opt-out, který zmenšuje velikost zónového souboru.
Je příjemné, že došlo k určité synergii s naší doménou .cz. Jeden v DNSSEC oblasti z nejaktivnějších registrátorů – Web4U, se rozhodl automaticky pro své zákazníky podepsat i všechny .eu domény, které hostuje na svých nameserverech. Tím dostala .eu doména do startu DNSSECu hned několik tisíc podpisů. Doufejme, že si to vezmou za příklad i další registrátoři a DNSSEC se ještě více rozšíří.
Ještě poměrně zajímavé je, že se EURid nerozhodl nijak publikovat svůj veřejný klíč. Není dokonce ani v ITARu. Předpokládám, že důvodem je, že nechtějí, aby uživatelé jejich doménu validovali pomocí jejich klíče, ale chtějí, aby validace probíhala až pomocí podepsané kořenové zóny. To je poměrně správný přístup, nemá smysl kvůli jednomu měsíci validace něco speciálního nastavovat.
Takže gratuluji EURidu a je příjemné, že další doména je připravena před tím hlavním milníkem – podpisem kořenové zóny.
Ondřej Filip
A zase o dva méně
Pozorní lidé si možná všimli, že počitadlo na stránkách Geoffa Hustona ukazuje, že volný adresní prostor se zmenšil o další procentní bod. Ještě včera ukazovalo 7 % a dnes je to již jen 6 %. Důvod je poměrně jednoduchý. Zhruba před měsícem jsem referoval, že dva velké adresní bloky byly přiděleny evropskému RIPE NCC a včera naopak dva velké bloky 177.0.0.0/8 a 181.0.0.0/8 (dohromady cca 33 miliónů adres) putovaly k LACNICu do Latinské Ameriky. Takovýchto volných bloků už je jenom 16, tedy pouze zhruba tři na každý geografický region. A to jak vidno mnoho není, počitadlo nám dnes říká, že lidé, kteří v IANA přidělují IPv4 adresy nebudou mít na konci příštích prázdnin co na práci.
Ondřej Filip
Další ocenění pro CZ.NIC
Snad mi laskaví čtenáři toho blogu odpustí, když si dovolím nás trochu pochválit. Po nedávném vyznamenání za projekt BIRD jsme totiž byli oceněni i za naši práci v oblasti DNSSEC. Než se ale dostanu k věci, dovolte mi trochu teorie. Nedávno proběhl finální výběr kandidátů pro funkci TCR (Trusted Community Representatives). Tito důvěryhodní zástupci komunity budou jednak dohlížet nad procesem podpisu kořenové zóny a jednak budou mít v držení kousky klíče, které bude možné použít pro obnovení provozu v případě kompletní havárie.
První funkce byla pojmenována Crypto Officer (CO); těch je sedm pro každou lokalitu, tedy celkem 14. Tito Crypto Officers (minimálně dva) se budou účastnit aktivace HSM (Hardware Security Module), ve kterém je uložena soukromá část KSK klíče. Každý Crypto Officer bude mít v držení klíč k trezoru, kde jsou uloženy přístupové údaje k HSM. Počáteční funkce CO bude pouze dočasná pro první inicializaci HSM modulu. Pokud se dotyčný ve funkci osvědčí, bude s velkou pravděpodobností zvolen pro celý další rok.
Druhá funkce byla nazvána Recovery Key Share Holders; těchto RKSH je přesně sedm. Tito lidé budou mít v držení část klíče, pomocí kterého bude možné obnovit zálohu HSM modulu v případě havárie. Každý RKSH dostane Smart Card – kartu, kterou uloží na bezpečné místo. V případě kompletní havárie HSM se budou muset sejít tito držitelé (pět ze sedmi) a společně obnovit chod HSM zařízení ze zálohy.
No a v čem je to ocenění pro nás? Jedním z těchto důvěryhodných zástupců komunity (konkrétně Recovery Key Share Holder) se stal Ondřej Surý, vedoucí laboratoří CZ.NIC. To je rozhodně skvělá zpráva a právě ono ocenění CZ.NICu i osobně Ondřeje za usilovnou práci na projektech spojených s DNSSECem.
Nyní už jen zbývá doufat, aby trochu opožděný podpis kořenové zóny dopadl dle plánu. Zástupce CZ.NICu bude rozhodně u toho.
Ondřej Filip
Doménový prostor rozšířen o azbuku
Krátce po té, co byly zprovozněny první tři dotIDN domény, následuje i čtvrtá. A tentokrát jde o zástupce slovanského jazyka psaného latinkou. Jenom připomínám, že Rusové museli zvolit doménu .рф, jež v latinkovém přepisu znameńá .rf. Důvodem je jedno z úskalí IDN. Logická zkratka slova Rossija – Россия, nebo pouhý přepis současné .ru totiž vypadají stejně jako latinkové domény a to by jistě mátlo. Proto ono krásné písmenko F.
Některé domény jsou už funkční, podívejte se třeba na web nejvyššího představitele http://президент.рф.
Андрей Филипп