Společnosti Česká doménová centrála a jejím aktivitám se na stránkách tohoto blogu věnoval před časem kolega Martin Peterka. Protože je jeho text ale stále aktuální, možné ještě aktuálnější než byl prve, vracím se k „problému“ spojenému s podivným obchodováním s doménami ještě jednou.
Jestli jste neklikli na odkaz a text si už nepřečetli, tak je o tom, že je tu jedna společnost jménem Česká doménová centrála, která podniká způsobem, který by si řada z nás asi ani nedokázala představit. Její telefonisté volají do firem a jejich zástupcům namlouvají, že si musí co nejdříve jejich prostřednictvím objednat domény se stejným nebo podobným názvem společnosti s jinou koncovkou než s tou, kterou už mají, jinak to brzy udělá někdo jiný. Ten někdo jiný si na tyto domény právě teď brousí zuby a pokud se zástupce firmy s používanou doménovou koncovkou nerozhodne co nejdříve, stane se s největší pravděpodobností, že ho někdo předběhne, domény zaplatí a majitel domény s už zaregistrovanou koncovkou bude mít najednou problém.
Tady bych skončil a konečně se dostal k tomu, proč o tom píšu teď já. Článek kolegy Peterky jste si mohli poprvé přečíst 5. května, tedy více než devět měsíců zpátky. Jak to už bývá, zanedlouho po jeho vydání se objevily první komentáře a potom další a další; většinou se zkušenostmi s touto společností. Co je ale zajímavé na celé té věci, že počet příspěvků pod textem kolegy Peterky i po těch devíti měsících roste a roste. Co to znamená? Podle všeho je společnost Česká doménová centrála stále aktivní a na lep jí sedají další a další majitelé domén, kteří uvěří tomu, co jim zaměstnanci „obchodníků z doménami“ vnutí.
Věřím, že i díky fóru, popsaným zkušenostem a reportáži České televize, začne dalších komentářů přeci jen ubývat. Že bude stále měně a méně těch, kteří „naletí“ telefonistům a řečem o registraci domén, jejichž cena se oproti té skutečné liší mnohdy až desetinásobně.
Aktualizace, 22. 4. 2013:
O české doménové centrále potřetí, chtělo by se říci. Včera byla v Událostech České televize odvysílána reportáž (čas 17:00) věnovaná „výhodným“ nabídkám domén, opět. Tentokrát telefony nezvoní na stolech majitelů firem, ale na úřadech měst a obcí. Rádi bychom tímto upozornili na aktivity, které nemají se slušným a dobře myšleným chováním nic společného.
Aktualizace, 1. dubna 2015:
Česká televize odvysílala v rámci pořadu Černé ovce reportáž věnující se nabídce registrací domén za přemrštěné ceny. Doporučujeme její zhlédnutí.
DotIDN zase o kus blíže
Ve čtvrtek 21. ledna 2010 oznámil ICANN, že čtyři nové IDN domény nejvyšší úrovně se přiblížily spuštění. Prošly totiž tzv. String Evaluation nebo-li souborem technických a lingvistických kontrol. V praxi to znamená, že těmto novým doménám už téměř nic nestojí v cestě a velmi brzy dojde k jejich spuštění. Jde o domény tří zemí, které používají arabské písmo – Egypt, Saudská Arábie a Spojené Arabské Emiráty. Čtvrtou zemí je Rusko, s azbukovou doménou .рф, což je ekvivalent našeho .rf, zkratka od názvu Ruská Federace. Jistě si možná říkáte, proč Rusové nezvolili doménu odvíjející se od zkráceného tvaru, jako mají současnou .ru (Russia), nebo lépe od Rossija – Россия.
Ale v tom se právě ukazuje jedno z úskalí IDN. Problém je v tom, že v azbuce .ро (čteno ro) vypadá úplně stejně jako nápis v latince (mimochodem, konkrétně tato doména v latince nikomu přidělená není). Proto Rusové zvolili ono krásně vypadající a nezaměnitelné písmenko ф.
Arabsky píšící země měly o poznání jednodušší situaci, u nich záměna s latinkou nehrozila. Zde mě trochu překvapilo, že nezvolily krátkou zkratku, ale pouze zkrácené názvy svých zemí. Nejsem si jistý, zda-li bych místo dvou písmen chtěl do URL psát něco takového jako si zvolili Saudové – السعودية.
Každopádně první čtyři žádosti ze 16 jsou na dobré cestě, brzy tedy uvidíme, jak se tyto domény v příslušných státech ujmou.
Ondřej Filip
Další evropská doména podepsána
Evropská mapa pokrytí DNSSEC se začíná pomalu zaplňovat. První letošní podepsání národní domény hlásí pro nás trochu vzdálenější země, Portugalsko. Poměrně logicky rovnou využili novější standard NSEC3, který zabraňuje vypsání zóny tzv. zonewalkingu. Více informací můžete najít na adrese http://www.dnssec.pt. V této souvislosti si musím trochu rýpnout do Portugalských sousedů. V době českého předsednictví EU došlo k podpisu domény eu2009.cz. Další předsednickou zemí bylo Švédsko a to sice zvolilo jako hlavní doménu se2009.eu bez DNSSEC, ale zároveň nabídli i eu2009.se. Tato švédská doména byla nejen chráněna pomocí DNSSEC, ale web na ní umístěný byl do konce přístupný do IPv6. No a se začátkem roku přešlo Evropské předsednictví na Španělsko a Španělé se vrátili zpět k tradici národních domén a tedy využili eu2010.es. Bohužel, ale nenavázali na tradici podepisování domén pomocí DNSSEC, protože registr .es ještě DNSSEC na rozdíl od svého menšího souseda nezavedl. Trochu škoda. Ale předsednictví trvá půl roku, za ten čas se dá ještě mnohé změnit…
Ondřej Filip
Jak se staráme o své údaje…
Každý z nás, kdo má alespoň jednu doménu, už zřejmě ocenil důležitost správně uvedeného e-mailu v databázi CZ.NIC, resp. v záznamech jednotlivých registrátorů. Okamžiků, kdy je správný e-mail důležitý, je celá řada – ať už se jedná o zasílání hesel k transferu, informací o změnách v záznamu nebo třeba o prodlužování domény.
Na e-maily uvedené v databázi odchází jak výzvy k úhradě poplatku s variabilními symboly, částkou atd. od jednotlivých registrátorů, tak informace přímo z CZ.NIC (o tom, že doména expiruje, je vyřazena z DNS, kdy bude zrušena).
E-mail je po mnoho let (konkrétně od roku 1999) povinnou položkou. Přesto se v databázi vyskytují záznamy, které pocházejí z doby před rokem 1999, které e-mail vyplněný neměly a dodnes nemají.
CZ.NIC se za ty roky pokoušel držitele domén, kteří neměli uvedenu žádnou e-mailovou adresu, několikrát kontaktovat. Nutno konstatovat, že většinou bez valného úspěchu. V registru nadále zůstávalo něco přes tisícovku osob, které neměly e-mail uvedený.
Ve druhé polovině roku 2009 jsme se tedy rozhodli pokusit se s tímto problémem „zatočit“ a intenzivně se mu věnovat. Naši zaměstnanci postupně kontaktovali všechny osoby, které jsou v registru aktuálně navázány alespoň na jednu doménu a požádali je, aby si doplnily údaje v naší databázi. Pro nalezení kontaktů použili všechny možné způsoby, zejména pak samotné webové stránky jednotlivých domén a skutečně se jim podařilo se všemi dotčenými spojit.
Kontakt byl realizován telefonicky – v rámci telefonického hovoru byl volaný upozorněn na situaci, byl mu popsán problém i cesta, jakou lze data opravit, a byl požádán o poskytnutí e-mailové adresy, na kterou mu potom byl popis problému (a postup řešení) zaslán ještě písemně se žádostí o potvrzení přijetí zprávy.
Výsledky akce byly průběžně sledovány a ty osoby, které e-maily nedoplnily, jsme kontaktovali opětovně. Některé z nich až čtyřikrát…
Zajímají vás výsledky celé akce, která probíhala průběžně od června až do listopadu 2009? Z celkového počtu 1 085 kontaktů bez e-mailu se nám jich podařilo vyřešit k dnešnímu dni 452. 287 kontaktů si doplnilo údaje. Ostatní nahradili své záznamy u domén jinými (s platnými adresami), případně došlo ke zrušení jejich domén. Vyjádřeno procenty je to celkem něco málo přes 40 procent.
Je to hodně nebo málo? V porovnání s podobnými akcemi v minulosti je to úspěch. Celá akce navíc bude mít ještě nějakou setrvačnost, takže se dá očekávat, že ta čísla ještě mírně vzrostou.
Pokud se ale nad tímto výsledkem zamyslím z opačného úhlu pohledu, zas tak skvělý mi nepřijde. Takřka denně se totiž setkáváme se stížnostmi, resp. dotazy lidí, kteří o svou doménu přišli, aniž by chtěli. Potom posloucháme nářky typu „o ničem jsem nevěděl, nikdo mi nic neřekl, nikdo mne neinformoval a samozřejmě doménu chci a je přece jasné, že kdyby mi někdo dal vědět, tak jsem ji už dávno zaplatil“. Když pak situaci prověřujeme, zjišťujeme, že e-maily uvedené u těchto osob v databázi už dávno neplatí („ten člověk už u nás přece dávno nepracuje“, „tohoto poskytovatele už dávno nemáme a tedy ani e-maily u něj“), poštovní adresa je jiná („samozřejmě, stěhovali jsme se před třemi lety“) a tak dále.
Těch 633 držitelů, které jsme nyní kontaktovali a kteří si údaje nedoplnili, dostalo šanci navíc. Mohli své problémy vyřešit včas, bez hrozby ztráty peněz, zákazníků, domény. Té šance nevyužili, ačkoliv domény vlastní 10 a více let a vsadím se, že zas tak úplně bezcenné pro ně nebudou. A zejména pro ně tedy může být výsledkem celé naší akce zbytečně promarněná šance.
Martin Peterka
Velký den domény .eu
Dnes ráno spustilo sdružení EURid velkou akci. Otevřelo totiž svůj registr systému IDN. Teď už je tedy možné registrovat v doméně .eu domény obsahující národní znaky všech abeced používaných v Evropské unii.
Nutno podotknout, že v tomto případě nejde pouze o obligátní „háčky a čárky“, o kterých je zpravidla mezi veřejností řeč, když mluvíme o IDN v doméně .cz. Je potřeba si uvědomit, že součástí EU jsou i země, které nepoužívají latinku. A těch se IDN týká také – je možné (mimo jiné) registrovat i všechny znaky řecké a bulharské abecedy.
Celá akce probíhá bez jakýchkoliv sunrise období nebo jiného zvýhodnění. IDN domény jsou prostě uvolněny k registraci naráz a platí tedy – stejně jako pro ostatní domény – pravidlo „kdo dřív přijde, ten dřív mele“.
Na akci se připravoval nejen EURid a budoucí držitelé vysněných domén, ale samozřejmě i registrátoři. Někteří z nich spustili systém předregistrací, kde je možné předběžně požádat o registraci IDN domény a mít tak šanci dostat se k ní mezi prvními.
Samotné rozhodnutí o tom, že nebude aplikována žádná sunrise, se může zdát odvážné. Napadlo mne, proč EURid nepostupuje stejně, jako před dvěma lety správci domény .es (Španělsko), kteří vyhlásili při startu IDN přednostní právo pro držitele ASCII tvarů domén. Když se nad tím ale zamyslíte, je odpověď jasná. Stanovit kriteria mapování IDN znak – ASCII znak (u nás tedy třeba typicky š-s) je poměrně jednoduché pro jeden konkrétní stát. Mezi státy se ale tato pravidla liší, viz třeba přehlasované „ű“, které se v Německu a Rakousku do ASCII přepisuje jako „ue“, zatímco my bychom ho nahradili prostě písmenkem „u“ apod.
Tohle zesynchronizovat a uhlídat napříč 23 jazyky Evropy se zdá být už poněkud tvrdším oříškem… A to jsem do toho nezamíchal bulharskou cyrilici a řeckou alfabetu :-).
Můžeme tedy sledovat, jak celá akce, která technicky jednoduchá rozhodně není, dopadne.
Osobně přeji hodně štěstí EURIdu (nejen) v průběhu prvních hodin po spuštění a všem novým držitelům IDN domén spokojenost s jejich užíváním.
Mimochodem – seznam všech podporovaných znaků (pokud vás to zajímá) naleznete na stránkách sdružení EURid.
Martin Peterka
Datové schránky a DNSSEC
Publicita a odborník na problematiku počítačových sítí Jiří Peterka napsal pro informační server Lupa.cz řadu článků o datových schránkách. Zatím poslední z nich vyšel právě dnes a je o bezpečnosti a prevenci spojené s touto službou.
Článek vám mohu doporučit a to i proto, že se v něm dočtete o tom, jak je možné ochránit vaši datovou schránku s pomocí systému DNSSEC. Dodám už jen, že do rodiny podepsaných domén přibyla doména mojedatovaschranka.cz 12. listopadu tohoto roku.
Vilém Sládek
Malý krok pro ICANN
Organizace ICANN na svém posledním zasedání v korejském Soulu schválila omezené rozšíření IDN národních domén nejvyšší úrovně (ccTLD) takzvaný Fast Track. Nový ředitel ICANNu Rod Beckstrom v této souvislosti parafrázoval výrok Neila Armstronga, když řekl: „Je to malý krok pro ICANN, ale velký skok pro polovinu lidstva, která používá jiné abecedy než latinku.“ A dlužno podotknout, že Rod nebyl sám, kdo byl při závěrečném odsouhlasení změny dojat. Někteří lidé v sále měli v ten okamžik v očích slzy.
Jako velký fanoušek celého Fast Track procesu jsem s napětím čekal, jak se k celé věci postaví média a především ta česká. Bohužel musím říct, že ne všechna zvládla svou práci optimálně. Proto bych se s mírný odstupem času vrátil k pár mýtům, které se v souvislosti s touto kauzou objevují.
Není to potřeba
Hodně často zaznívá, že toto přeci nebylo potřeba, že těch 26 znaků latinky se přeci každý snadno naučí, že to není takový problém. Jenom podotýkám, že těch znaků je maličko více; zkuste se zamyslet, proč znaky jako ‚r‘ a ‚R‘ či ‚a‘ a ‚A‘ označují totéž písmeno. Ale podívejme se na věc z opačné strany. Co kdyby Internet nevymysleli Američané, ale třeba obyvatelé hostitelské země posledního zasedání ICANN – Korejci. Korejská abeceda má podobnou logiku jako latinka nebo třeba azbuka, má srovnatelný počet znaků. V tomto případě bychom URL tedy pravděpodobně psali v korejských znacích, museli bychom se je tedy naučit. Jaký by byl v tu chvíli náš pohled na IDN? Předpokládám, že tlak Evropanů a Američanů na zavedení IDN by byl obrovský a jeho prosazení by znamenalo otevření Internetu pro mnoho obyvatel.
Rozdělení Internetu
Velice častým komentářem je, že došlo k rozdělení Internetu. Je prý problém, že takováto URL nenapíšeme do svých browserů a mailerů. Ano, to je rozhodně pravda. Ale je to pro nás nějaký problém? Především IDN už existovalo na druhé úrovní. Pravě třeba v Korei jsou běžné adresy jako třeba tato – 한글.kr. Tohle už asi z naší běžné klávesnice nezadáte. A mělo by Vám to vadit? Já si myslím, že ne, protože pokud tyto znaky neumíte napsat, pak velice pravděpodobně ani nebudete rozumět obsahu těchto stránek provozovaných na této doméně. Prostě jsou to stránky pro Korejce. Došlo tedy k rozdělení Internetu? To už tehdy, když se rozšířil za hranice USA. Nespornou výhodou pro Korejce je, že pro zadání korejské domény už nebudou muset přepnout na jim cizí anglickou klávesnici pro zadání toho tečka KR.
Rozšíření souvisí s koncem JPA
JPA (Joint Project Agreement) byla smlouva mezi ICANN a americkou vládou. Ta skončila letos na konci září a byla nahrazena poněkud slabším dokumentem nazvaný Affirmation of Commitments. Dlužno podotknout, že třeba z pohledu fungování delegace kořenové zóny se nemění vůbec nic, vláda USA pořád autorizuje všechny změny v této zóně. Každopádně to je ale významná změna vztahů mezi ICANN a vládou USA. Ale rozhodně to nemá žádnou souvislost s Fast Trackem. Tento proces započal už dávno před ukončením JPA a původně se dokonce předpokládalo, že bude odstartován výrazně dříve. Konec konců, díky tomuto zpoždění se mu někdy trochu posměšně říkalo „not-so-slow-track“.
Další omyly
Jistě jste si všimli i dalších podobných zvěstí, které novináři přinesli. Doufám, že pro čtenáře našeho blogu nemusím nijak komentovat, že tato změna nemá nic společného z IDN v .cz a podobně. Pokud jste ještě objevili nějaký mýtus, dejte nám prosím vědět v diskusi.
Ondřej Filip
Švédské „vypnutí“ internetu
Před třemi týdny se našim kolegům ze švédského doménového registru přihodilo to, co bych bez nadsázky nazval noční můrou doménových správců – vystavení poškozeného zónového souboru. Tento soubor je klíčovým prvkem pro fungování systému doménových jmen DNS. Jsou v něm uložené všechny domény druhé úrovně pod doménou „.se“ spolu s odkazy kam směrovat dotazy na tyto domény. Zmiňovaná chyba tak způsobila, že odhadem minimálně na hodinu přestaly být dosažitelné všechny adresy s koncovkou „.se“. Pojďme si postupně projít co se vlastně stalo a zejména jakým způsobem je provoz našeho vlastního registru zabezpečen proti tomu aby se něco podobného přihodilo i nám.
Správci švédské domény .se si v našem oboru drží dlouhodobě poměrně vysoké renomé. Jako první zavedli DNSSEC a na odborných konferencích často vystupují s novinkami, které implementovali do svých systémů. V pondělí 12. října měli naplánovanou rutinní odstávku systému spojenou s nasazením nové verze. Přestože, podle zveřejněných informací, i jejich vývojový cyklus obsahuje sadu testů, které musí nová verze splňovat, ze zatím nezjištěných příčin prošel přes tuto fázi kód, který obsahoval chybu. Ta spočívala v chybějící tečce na konci doménových jmen ve vytvořeném zónovém souboru – místo „.se.“ zde bylo uvedeno pouze „.se“. Nameserver načítající tento zónový soubor tím pádem pokládal všechna doménová jména jako relativní a připojil ke každému ještě jednou „.se.“. Takto poškozený zónový soubor se začal propagovat ve 21:39. Ve 21:50 monitorovací systémy začali hlásit, že v publikované zóně je chyba. Administrátoři na to zareagovali tak, že vzali poslední správně vytvořený zónový soubor a po zvýšení sériového čísla ho ve 22:35 publikovali. Vzhledem k tomu, že celá zóna .se je podepsaná pomocí DNSSEC a že sériové číslo je součástí SOA záznamu, došlo jeho změnou k invalidaci podpisu tohoto záznamu a pro DNSSEC validující resolvery tedy byla tato zóna stále nedostupná. Tento krok ale zabezpečil dostupnost domény pro většinu uživatelů. Finální, nově podepsaná zóna byla publikována v 0:35. Ponechme nyní stranou Švédy a podívejme se jakým způsobem se podobnému nedopatření snažíme vyvarovat my. V zásadě se jedná o dva doplňující se procesy a to testování nových verzí před nasazením a monitoring produkčního prostředí.
Již v průběhu vývoje programátoři používají širokou sadu automatizovaných testů, s jejichž pomocí kontrolují zda nové změny nezanesly chybu do dříve fungujících částí systému. Po dokončení všech kontrol provedou vývojáři označení nové verze v systému pro správu verzí SVN a spolu s postupem upgradu předají tuto verzi administrátorům. Ti s pomocí vlastního nástroje zajistí zabalíčkování nových verzí změněných komponent pro všechny platformy na kterých systém provozujeme. Kompletní konfigurace systému včetně verzí balíčků je uchovávána v centrálním repositáři a pomocí nástroje Puppet jsou veškeré změny distribuovány na patřičná místa. Abychom zajistili bezproblémový upgrade, vytvořili jsme pomocí technologie virtualizace KVM kompletní kopii produkčního prostředí jedné lokality, čítající v tuto chvíli pět propojených serverů. Administrátoři zanesou postup upgradu do Puppetu a s jeho pomocí tento postup aplikují na testovací lokalitě. Poté spolu s vývojáři otestují výsledek buď manuálně nebo opět sadou automatizovaných testů. Teprve pokud nenastane žádný problém, je možné novou verzi pomocí otestovaného postupu nasadit na skutečné produkční prostředí.
Běžící systém je monitorován obrovskou sadou periodických testů, které zkoumají všechny možné aspekty jeho chování od stavu síťových zařízení, přes různé zkoušení registrací na registrátorském rozhraní až po testy zda se odesílají správně faktury. Všechny tyto kontroly jsou implementovány jako moduly do monitorovacího nástroje Nagios. Výstupy těchto kontrol jsou klasifikovány podle důležitosti a reportovány pomocí e-mailů nebo SMS zpráv administrátorům. Celý systém je podporován vizuální a hlasovou signalizací umístěnou v prostorách našeho klienského centra. Operátoři pracující v tomto prostoru 24 hodin denně a 7 dní v týdnu neprodleně administrátorům volají pokud signalizace hlásí nějaký problém. Vraťme se ale k publikování zónového souboru. K tomu dochází automaticky jednou za půl hodiny a i tento proces obsahuje několik kontrol. Vedle kontroly integrity souboru je hlavní kontrolou test na počet změn v tomto souboru. Pokud počet změn přesáhl určitou hranici je proces zastaven a administrátoři musejí provést ruční kontrolu těchto změn. Pokud kontrola zjistí, že se opravdu jedná jen o velký počet změn v delegacích je zóna publikována a automatický mechanismu obnoven.
Bylo by krásné na tomto místě napsat – nám se nic takového stát nemůže, ale nebyla by to pravda. Všechny systémy jsou nakonec nějakým způsobem závislé na lidech. Jak se zdá, i ve Švédském případě mají podobné procesy, ale pravděpodobně někdo neotestoval to co měl a ještě navíc někdo neposoudil nějakou signalizaci monitoringu jako kritickou a vypnul jí. Tomu je možné předejít pouze výběrem zodpovědných pracovníků a jejich častým školením a tréninkem. Věřím, že v tomto ohledu jsou naši zaměstnanci muži (a ženy) na správném místě.
Jaromír Talíř
Další zpoždění nových gTLD
Celkem nedávno se staly dvě události, které budou mít vliv na vznik nových generických domén nejvyšší úrovně. Za prvé, ICANN vydal již třetí verzi podmínek pro žadatele o tyto domény. Z podmínek poměrně jasně plyne, že proces nebude příliš rychlý, jen obtížně bude možné spustit doménu dříve než za tři čtvrtě roku. Podmínky stále ještě nejsou definitivní, komunita neustále posílá připomínky. Tuto verzi můžete komentovat do 22. listopadu. Na spuštění celého procesu už netrpělivě čekají žadatelé o domény jako .sport, .eco, .gay, …
V podstatě v podobný okamžik jako ony podmínky byla vydána dlouho očekávaná studie o škálovatelnosti kořenové zóny. Dokument má sice 85 stránek, ale doporučuji přečíst alespoň executive summary. Závěrem dokumentu je, že není rozumné zavádět najednou nové domény a DNSSEC. A autoři doporučují, aby technologie DNSSEC měla prioritu. Jak Vás nedávno informoval kolega Surý, zavedení DNSSEC má už svůj pevný jízdní řád a tedy nové generické domény si musí počkat.
Trochu jiná je situace u IDN národních domén, které by měly být přidělené v tzv. procesu fasttrack. Ten je určen pro státy, které mají urgentní potřebu zavedení národní domény nejvyšší úrovně v IDN. Tedy například zástupci Ruská Federace požadují doménu .РФ (.RF v azbuce). Stejně tak urgentní potřebu mají některé arabské země, pak Čína, Japonsko a podobně. Pro tento proces je už připraven finální implementační plán, jehož schválení na 99 % proběhne už příští týden na zasedání ICANN. Zavedení malého množství těchto domén (očekává se cca 50) by tedy mělo jít rychle. Uvidíme, zda-li i delegace těchto domén budou vnímány jako zásadní rozšíření kořenové zóny nebo zda-li budou zavedeny současně s DNSSEC. Vzhledem k mezinárodnímu tlaku na jejich vznik spíše očekávám, že budou nastartovány rychle. Nepřekvapilo by mě, kdyby se tak stalo už tento rok.
A co vy na to? Chceme doménu .čr? Chcete nějakou novou generickou doménu? Požádáte si o ni?
Ondřej Filip
S DNSSEC se ve světě roztrhl pytel
Není to tak dávno, co jsem zde psal o zavedení DNSSEC u domén Švýcarska a Lichtenštejnska. Skoro vzápětí ohlásil kanadský doménový registr CIRA na konferenci SecTor, že zahájil testovací provoz podepsané domény .ca.
Kompletní informace lze nalézt na stránkách registru CIRA, zde zmíním jen pár detailů. Testovací provoz probíhá na samostatných DNS serverech, tak aby nebyl narušen normální provoz. Pro podpis je použit algoritmus NSEC3 RSA-SHA1. Velikost zónového souboru vzrostla z 180MB na 670MB. Ještě doplním, i když určitě nechci naši roli přeceňovat ani nás nějak chválit, že s námi, s CZ.NIC správci kanadského národního registru některé důležité detaily konzultovali.
Pokud byste chtěli vyzkoušet, jak funguje DNSSEC v zemi javorového listu, máte dvě možnosti. První je použít rekurzivní DNS server unbound a nakonfigurovat v něm stub zónu takto:
stub zone:
name: “ca.”
stub-addr: 192.228.22.190
stub-addr: 192.228.22.189
stub-prime: “no”
Tento kousek konfigurace způsobí, že pro doménu .ca se budou používat jiné nameservery. Následně z výše zmíněné stránky musíte stáhnout soubor ca.conf a přidat jej do konfigurace:
server:
trusted-keys-file: "/etc/unbound/ca.conf"
Pro DNS server Bind 9 není možné nastavit konfiguraci tímto způsobem a proto byly připraveny forwardující DNS servery, které můžete použít takto:
zone “ca.” IN {
type forward;
forwarders { 66.241.135.248; 193.110.157.136; };
}
Tato část konfigurace způsobí, že se váš DNS server Bind bude pro dotazy směřující do domény .ca ptát speciálních rekurzivních DNS serverů.
Pro následné ověření, že jste konfiguraci provedli správně, můžete vyzkoušet kanadskou obdobu naší české domény http://www.rhybar.cz/ (tato stránka se při zapnuté DNSSEC validaci nezobrazí) na adrese http://broken.xelerance.ca/.
Ondřej Surý