Nejčtenější články blogu CZ.NIC v roce 2021 aneb Co vás zajímalo nejvíce

Už několik let se na začátku ledna ohlížíme zpět, abychom si připomněli čtenářsky nejúspěšnější příspěvky našeho blogu za uplynulý rok. V roce 2021 vyšlo šedesát článků a mezi nejvyhledávanější patřily ty, které se věnovaly projektům mojeID a Turris, dále on-line bezpečnosti dětí na Internetu, programování nebo systému DNS. Přesněji se jednalo o následujících deset blogpostů:

Knot DNS – DNSSEC (1)

Internetový protokol DNS má počátky v roce 1983. Od svého vzniku prošel mnoha úpravami a je neustále rozvíjen. Mezi jeho nejvýznamnější rozšíření patří zabezpečení DNSSEC. O co jednodušší bylo v úvodním dílu zapnutí DNSSEC, o to složitější procesy probíhají pod kapotou. Dnes si přiblížíme jak DNSSEC funguje a jak ho lze efektivně provozovat se serverem Knot DNS.

Knot DNS – konfigurace

Abychom mohli server Knot DNS spustit, je třeba mu předložit nějakou konfiguraci. Konfigurace může být ve formě textového souboru nebo binární databáze. Pokud konfiguraci explicitně nezadáme, pokusí se démon použít konfiguraci z přednastaveného umístění, které je určeno při překladu programu. Nejprve se zkouší konfigurační databáze (většinou /var/lib/knot/confdb) a pokud neexistuje, zkouší se konfigurační soubor (většinou /etc/knot/knot.conf). Konfigurací může být prázdný soubor nebo prázdná databáze. Kromě démona knotd, využívá konfiguraci i nástroj knotc na ovládání démona, nástroj keymgr na správu DNSSEC a další.

Generování a podepisování zóny .CZ prošlo servisní prohlídkou, původní součástky nahradil systém Knot DNS

Základní stavební kameny správy registru naší národní domény se ve svém okolí snažím popisovat poměrně často. Přesto (nebo právě proto) je stále „tečka cézet“ vnímáno jako něco, co prostě funguje. Obdobně jako když ráno sednete do auta a odvezete děti do školy. Počítáte s tím, že vám cesta zabere obvyklých 10 minut (nebo 15 pokud potřebujete doplnit palivo) a nebudete muset řešit žádné trable. I když víte, že je třeba pravidelně měnit olej, kontrolovat a měnit opotřebovávané součástky nebo opravovat závady vzniklé provozem, většina z vás tahle „vykolejení ze stavu funguje“ nechává na odborníky v servisu nebo aspoň na šikovného souseda a vyvaruje se mytí rukou od kolomazi nebo potřeby znát jaký typ brzdových destiček potřebuje. Moderní vozy vás dokáží o nutnosti zásahu informovat a vy potřebujete jen znát správné telefonní číslo. Přesto, že člověku na druhé straně úplně nerozumíte, protože máte základní povědomí o fungování auta, dokážete ho pochopit.

Využití FIDO klíče GoTrust IdemKey pro digitální podpis (…např. DNSSEC)

Před několika měsíci došlo ke spuštění možnosti využití mojeID pro přístup ke službám státní správy pomocí technologie FIDO. Velká část uživatelů může za tímto účelem použít FIDO klíč integrovaný do svého operačního systému, jako např. Windows Hello případně Android klíč na telefonu nebo tabletu. Jednoznačně se jedná o nejpohodlnější cestu k elektronickým službám státu – bez nutnosti pořizovat jakékoliv zařízení (čtečky, karty) nebo instalovat něco dalšího do svých zařízení (obslužný software, potvrzovací mobilní aplikace). Pro uživatele, kteří  možnost využití systémového klíče nemají, jsme chtěli nabídnout dostupnou alternativu v podobě externího klíče použitelného přes USB nebo NFC rozhraní, a to jak v počítači tak v telefonu. K tomuto účelu byl zvolen FIDO klíč GoTrust IdemKey, který si nyní každý může velice jednoduše pořídit. Tento klíč totiž není jen FIDO klíč určený pro potvrzení autentizačních transakcí, ale může také plnit roli čipové karty pro digitální podepisování dokumentů podobně jako např. elektronický občanský průkaz, nebo může fungovat jako HSM (Hardware Security Modul) pro podepisování DNS záznamů technologií DNSSEC.

Deset nejčtenějších článků roku 2020 aneb Co vás nejvíce zaujalo?

Už několik let si v našem internetovém zápisníku můžete přečíst pravidelnou dávku novinek a zajímavostí ze světa (českého) Internetu a internetových technologií. Nebylo tomu jinak ani v roce 2020, ve kterém vzešlo z klávesnic našich autorů celkem 52 článků. Mezi nejvyhledávanější pak patřily ty, které se věnovaly vypnutí starých ODVR a obecně oblasti DNS. V těsném závěsu pak zůstaly příspěvky zabývající se projektem Turris, infrastrukturou nebo bezpečností a s ní související osvětou. Také stojí za zmínku nový seriál Krátké vlny, který přinášel pravidelný přehled novinek z digitální džungle.

V .CZ DNS anycastu jsme nasadili XDP, výrazně rychleji tak odbavíme DNS provoz

Ve středu 9. 9. 2020 vydali kolegové z Laboratoří CZ.NIC novou verzi autoritativního DNS serveru Knot DNS (3.0), která přináší mimo jiné i podporu XDP. Pokusím se shrnout, jak jsme pro novou verzi připravili trochu specifické prostředí, v průběhu léta testovali a následně spustili do ostrého provozu v našeho .CZ DNS anycastu.