Ve dnech 16. – 21. července 2017 se v Praze bude konat konference IETF 99. O tom, co IETF je a jak funguje, už dřív česky psal můj kolega Ondřej Surý ve svých článcích Cesta do hlubin IETF, Odkud pochází Internetové standardy (aneb bylo jednou jedno RFC) nebo Vrána k vráně sedá aneb koťátka, dogy a nápoje v IETF. Ladislav Lhotka zase trefně popsal její neobvyklou geekovskou atmosféru. Proto stačí uvést, že IETF je organizace vydávající internetové standardy. Jejím cílem je vytvářet kvalitní technickou dokumentaci, která ovlivňuje vývoj Internetu a aplikací přes něj provozovaných.
Učiňme DNS opět velkým!
Snad mi bývalý prezident USA Ronald Reagan odpustí, když si půjčím a trochu předělám slogan z jeho prezidentské kampaně. Ostatně tuším, že to tak dnes dělá poměrně mnoho lidí.
Mají i dnes smysl otevřené validující resolvery?
Již řadu let naše sdružení provozuje službu skrývající se pod zkratkou ODVR, tedy Otevřené DNSSEC Validující Resolvery. V dobách, kdy byl DNSSEC v plenkách, jsme měli za to, že je třeba přijít s alternativou DNS resolverů poskytovatelů připojení, kteří zaváděli podporu validace pozvolna. Od té doby tedy nabízíme veřejně dostupnou službu, která umožňuje validace domén používajících zabezpečení DNSSEC i v těch sítích, jejichž defaultní DNS resolvery toto nepodporují.
Nové statistiky a růst popularity eliptických křivek v DNSSEC
Už to bude skoro půl roku, co jsme na naší konferenci IT 16.2 prezentovali záměr změnit algoritmus DNSSEC klíče zóny CZ. Kolega Zdeněk Brůna tehdy ve své prezentaci detailně popsal výhody algoritmů založených na eliptických křivkách a to zejména algoritmu ECDSA. Nicméně vzhledem k situaci, kdy není možné tento krok provést kvůli nepodpoře tohoto algoritmu v kořenové zóně, přesunuli se naše aktivity zejména k osvětě a ke sledování dopadů osvěty na stav podpory této nové technologie. Na semináři s registrátory, který jsme měli na konci února, jsme zaznamenali pozitivní odezvu na některé vlastnosti ECDSA, jako jsou menší velikost zónového souboru nebo menší velikost DNS odpovědi. Někteří registrátoři již na místě deklarovali zájem na ECDSA přejít také. Zároveň registrátoři navrhli, abychom na našem webu zveřejnit statistiky ukazující, jak jsou různé DNSSEC algoritmy v CZ zóně používané. Tento nápad se nám líbil a tak nyní tyto statistiky zveřejňujeme.
Jak se projevilo snížení TTL v zóně .cz
V druhé polovině února jsme informovali o snížení TTL v zóně .cz, a to o jednu hodinu. Poté jsme vždy každou středu, v podobném čase, provedli snížení o další hodinu, až jsme 15. března 2017 dosáhli na požadovanou hodnotu 1 hodiny (tedy TTL=3600).
Snížení TTL v zóně .cz
V DNS záznamech je uložena celá řada důležitých údajů, mimo jiné i to, jak rychle tyto údaje zastarávají – TTL (Time to live). TTL v systému DNS udává, jakou dobu je možné uchovat data v rekurzivním DNS serveru (resolveru) bez toho, aniž by se na ně zeptal autoritativního DNS serveru. Čím je TTL nižší, tím se resolvery dotazují autoritativních DNS častěji a díky tomu mají aktuálnější data. Zároveň ale nižší TTL zvyšuje zátěž systému DNS a s přihlédnutím k tomu, že se záznamy v DNS nemění často, tak se TTL obvykle nastavuje v řádu hodin.
Tak to zablokujme v DNS. Nebo ne?
Poměrně nedávno se v prostorách FIT ČVUT uskutečnila schůzka zástupců ministerstva financí s internetovou komunitou. Jako člověk, který stál u zrodu iniciativy prichazicenzor.cz, jsem pochopitelně nemohl chybět a velmi jsem se těšil, kam se uvažování zástupců ministerstva posunulo. Dlužno podotknout, že argumentace se logicky příliš nelišila od vyjádření vlády pro Ústavní soud, kterou včera na Lupě velmi pěkně rozebíral David Slížek. Přítomné hosty především z ISP komunity pochopitelně nejvíce zajímalo, jakým způsobem tedy budou muset blokovat.
Normální je mít DNSSEC
Letošní 5. prosinec se zapsal do historie bezpečnosti českého Internetu překročením významné mety. Od tohoto data totiž v registru .cz domén evidujeme více těch se zabezpečením DNSSEC, než těch co toto rozšíření protokolu DNS postrádají. U více než 51 % (653 297) .cz domén můžeme ověřovat důvěryhodnost údajů poskytovaných systémem DNS a spoléhat na to, že tyto údaje nebyly cestou k uživateli podvrženy.
Knot DNS 2.2.0
Je už to nějaká doba, co jsme naposledy na tomto blogu psali o novinkách v projektu Knot DNS. Proto bychom Vám rádi představili, co je nového v poslední verzi Knot DNS 2.2.0.
Novinky v Knot DNS 2.0
Od vydání finální verze Knot DNS 2.0 uplynulo již několik týdnů. Dokud je to stále aktuální, rád bych sepsal, co nás vedlo k vydání této nové důležité verze, a shrnul nejdůležitější změny a novinky.