Němci mohou při registraci doménových jmen použít všechny znaky své abecedy. DENIC totiž povolil registraci doménových jmen se znakem „ß“ („es-zett“, „ostré s“). Užití tohoto znaku dovoluje nový IDNAbis standard od 4. srpna t. r. Spuštění registrací bylo rozděleno opět do dvou fází – od 26. října mohly o registraci domén požádat subjekty, které již vlastnily domény obsahující „ss“ (zdvojeným „s“ se již od 90. let v některých případech „ß“ nahrazuje). Sunrise period skončila 16. listopadu a bylo během ní úspěšně zaregistrováno 5 172 „ß“-domén. Nyní už o registraci domény s písmenem „ß“ může požádat kdokoliv a během prvních dvou hodin bylo přijato přes 187 tisíc žádostí o registraci. Ne všichni však již mají nový IDN standard implementován, takže se může stát, že po zadání názvu „ß“ domény do prohlížeče bude uživatel přesměrován na variantu s „ss“, přestože se bude jednat o dvě různá doménová jména.
Zuzana Durajová
Česká doménová centrála – jak se dá také vydělávat na doménách III.
O aktivitách společnosti Česká doménová centrála jsme na tomto blogu informovali poprvé v květnu loňského roku, další článek vyšel letos v únoru.
Na základě těchto článků se nám ozvalo poměrně nemalé množství subjektů, které Česká doménová centrála kontaktovala a které její nabídky na registraci doménových jmen využily. Ve spolupráci s některými z nich jsme vypracovali a na konci dubna podali trestní oznámení.
Česká doménová centrála však od svých aktivit neupustila. Registrace domén nabízí dle nám dostupných informací podle stejného scénáře i nadále a přistoupila k vymáhání úhrad objednaných domén od subjektů, které si je již dříve objednaly a neuhradily (a objednávku rozporovaly).
V každém případě se na nás obracejí další poškozené subjekty se žádostí o informace, buď o stavu podaného trestního oznámení nebo o tom, jak se k tomuto trestnímu oznámení připojit. Pro druhé uvedené, tedy pro ty, kteří by se chtěli k trestnímu oznámení z dubna letošního roku, podaného na společnost Česká doménová centrála, s. r. o, přidat, je určen následující kontakt: Policie České republiky, OŘP Praha I, SKPV OHK, 1. odd. hospodářské kriminality, F. Křížka 24, Praha 7, telefon 974 857 457 nebo 974 857 524.
Aktualizace, 1. dubna 2015: Česká televize odvysílala v rámci pořadu Černé ovce reportáž věnující se nabídce registrací domén za přemrštěné ceny. Doporučujeme její zhlédnutí.
Změna! Za čtyři měsíce bude IANA bez adres!
V pátek jsem stihl pouze rychle glosovat, že si Afričané poměrně nečekaně vyžádali další /8 blok. Podle dosavadního protokolu a praxe totiž měl AfriNIC alokovat až ve chvíli, kdy jeho zásoba klesne pod 0,5 bloku, tedy něco kolem 8 miliónů adres. Nicméně AfriNIC tuto alokaci provedl už při 0,71. Zdálo by se, že taková drobnost nemůže mít velký dopad, nicméně známé počítadlo konce IP prostoru se výrazně hnulo a to v obou hlavních číslech. Jak je to vlastně možné?
Dle původních předpokladů si měl v současnosti nejaktivnější registr APNIC vyžádat v březnu 2 bloky a pak opět za zhruba tři měsíce ještě jeden poslední. Nicméně díky tomu, že si tento jeden blok neplánovaně vzali Afričané, bude pravděpodobně březnová alokace už poslední. Pak už zbude jen posledních 5 bloků, které budou po jednom přiděleny všem registrům. Proto se tedy počítadlo posunulo směrem dopředu. Druhým zajímavým důsledkem je, že se jeden blok navíc přerozdělí z regionu Asie-Pacifik do Afriky. A proto vydrží APNICu zásoba adres kratší dobu, což je vyjádřeno posunem druhé hodnoty počitadla.
Jak se tedy zbylých 11 bloků rozdělí? Zatím to vypadá tak, že 3 dostane region Asie-Pacific, 3 Evropský region (to je včetně celého Ruska a středního východu), 3 Severní Amerika a po jednom Afrika a Jižní Amerika. Stále platí, teď dokonce mnohem silněji, že nejdříve dojdou adresy APNICu a naopak ještě dlouho (a nyní ještě déle) by měl být dostatek u AfriNICu.
Pro nás Evropany se vlastně nic nezměnilo, stejnou porci adres jsme měli dostat i před onou změnou. Na konci příštího roku by mělo být v registru RIPE NCC o něco více než 2 volné /8 bloky. Takové množství obvykle stačí na zhruba půl roku. V Evropě by adresy měly dojít zhruba o prázdninách roku 2012, tedy pokud se nějak výrazně nezmění tempo spotřeby. Roční tempo evropské spotřeby ilustruje následující graf z dílny Geoffa Hustona.
Osobně z tohoto příliš radost nemám a to ze dvou důvodů. Za prvé adresy dojdou v regionu Asie-Pacifik dříve, což znamená, že tento region ztratil další čas na přechod na IPv6. Druhým důvodem je fakt, že v Africe dojdou adresy naopak mnohem později; na konci roku bude v Africe více než 2 bloky volných adres, což by teoreticky mělo Afričanům stačit minimálně na 4 roky. Takováto nerovnováha může jen posílit motivaci k černému obchodování s adresami, což si pochopitelně nikdo nepřeje.
Každopádně samotná změna počítadel důvodem k panice není. Panikařit nebo-li připravovat na přechod na IPv6 bychom se měli všichni, konec IPv4 adres se nezadržitelně blíží!
Ondřej Filip
Další blok míří do Afriky
Ve svém posledním příspěvku jsem ohlašoval, že severoamerický ARIN pravděpodobně brzy zažádá o další adresní blok. Jak už to ale bývá, realita je trochu složitější. Další blok, tentokrát 105.0.0.0/8, putuje do Afriky. Tedy do regionu, u kterého se to čekalo až tak za půl roku, což ilustruje i následující graf ze stránek Geoffa Hustona.
Afričané pravděpodobně navýšili mez, při které žádají o nové adresy. Velkých volných bloků je tedy v současnosti už jen 11 a dost možná se ještě v tomto měsíci toto číslo opět změní.
Ondřej Filip
Kolik ubylo v říjnu?
Letošní říjen byl z hlediska alokací poněkud nezvyklým měsícem. Oproti podprůměrnému záři byly říjnové alokace spíše nadprůměrné – spotřebovalo se zhruba 26 miliónů adres. Hlavní událostí byla v současnosti už málo vídaná veliká alokace v Severní Americe. Zdejšímu kabelovému operátorovi Comcast byl přidělen blok 50.128.0.0/9, což odpovídá 8,4 miliónu adres! Díky této alokaci se zásoba volných adres v severoamerickém registru adres snížila na hranici, při které si ARIN obvykle zažádá o nové adresní bloky. Tento fakt ilustruje i následující obrázek převzatý ze stránek Geoffa Hustona.
V praxi to obvykle funguje tak, že regionální registry nečekají na to, až jim adresy dojdou úplně. Obvykle si zažádají o nové bloky ve chvíli, kdy jejich zásoba klesne pod určitou kritickou mez. Tři největší registry – ARIN, APNIC a RIPE NCC mají tuto hranici na dvou /8 neboli 34 miliónech adres. Africký AfriNIC a jihoamerický LACNIC mají tuto mez vzhledem ke svým velikostem pochopitelně nižší.
No a jak vypadal tradiční pomyslný závod zemí? Je logické, že tentokrát drtivě zvítězily Spojené státy; na říjnových alokacích se podílely 47 %. Až s velkým odstupem je následují Brazílie a Indie s 8% podíly. Trochu nezvyklé je i to, že maličké Irsko obsadilo pátou příčku a požádalo o 1,3 miliónu adres, což odpovídá 5 %. Do TOP 10 se opět dostala i jedna africká země a to v tomto případě Keňa. Situace je vidět na tradičním koláčovém grafu.
A jak vlastně vypadá situace s IPv6? Která země je na nový protokol nejlépe připravena, nebo spíše, která země už alokovala nejvíce IPv6 adres? Následující tabulka ukazuje pořadí jednotlivých zemí v počtu IPv6 alokací větších než /40.
- USA – 957
- Německo – 339
- Japonsko – 287
- Velká Británie – 253
- Nizozemí – 181
- Austrálie – 175
- Rusko – 173
- Francie – 133
- Čína – 123
- Kanada – 105
- Korea – 97
- Švýcarsko – 95
- Itálie – 91
- Švédsko – 89
- Česko – 81
- Polsko – 81
- Norsko – 75
- Rakousko – 73
- Nový Zéland – 64
- Indonésie – 62
- Indie – 60
Jak je vidět, Česká Republika obsadila spolu s Polskem pěkné 15. místo a porazila i takové země jako třeba lidnaté Španělsko, vyspělejší Belgii nebo obrovskou Indii. Jen pro porovnání států V4, Maďaři obsadili 38. místo s 24 alokacemi a Slováci 44 s 16.
Ondřej Filip
Přešli jsme na NSEC3, co z toho vyplývá?
Pro ty, kteří dění kolem české domény a DNSSEC pravidelně sledují, není zpráva z titulku jistě žádnou novinkou. Informaci o přechodu na NSEC3 jsme uveřejnili již před více než dvěma měsíci. Proč o tom tedy dnes psát na blogu?
Nedlouho před tím, než byla tato nová technologie nasazena, se na internetu objevil postup, jak „vylistovat“ obsah domény .CZ s pomocí NSEC záznamů. Ty umožňují prokázat neexistenci domény tím, že pro každé existující doménové jméno odkazují na další existující záznam v zóně. NSEC3 řeší právě tuto vlastnost, kterou zmíněný postup využívá.
NSEC3 totiž nepracuje s doménovými jmény samotnými, ale jen s jejich hashovanou podobou a není jej tedy možné pro tzv. „zonewalking“ použít. To se bohužel ještě nedoneslo některým zvědavcům, kteří se stále pokouší doménová jména z NSEC3 záznamů extrahovat. To se projevuje tím, že v provozu autoritativních serverů pro doménu .CZ se u některých klientů (rekurzivních serverů) objevuje neobvyklé množství dotazů na neexistující domény se jmény jako „ha2022l2fk5ei80alie61h33i4r9vcko.cz.“ či „LJA47DB0JD4B6MEVIS2V2NFIRUJ33971.cz.“. U některých klientů jsou to dokonce desítky dotazů za vteřinu bez přestávky a to po několik týdnů.
Pokud jste tedy zapomněli někde na svém serveru zapnutý „zonewalking“ skript pro NSEC3, ušetříte vašemu počítači i dalším po cestě práci, pokud ho vypnete. Získaný seznam neexistujících domén vám totiž nejspíš k ničemu užitečnému stejně nebude.
Bedřich Košata
ITAR končí
V půlce července byla podepsána kořenová zóna a krátce na to jsem si posteskl, že DS záznamy některých domén zůstaly v ITARu a některé se přesunuly do kořenové zóny. Dnes už je situace úplně jiná. ITAR je už téměř prázdný a naopak kořenová zóna se nám utěšeně plní. Snad proto ve čtvrtek IANA oznámila, že ukončuje provoz ITARu. Dle tohoto oznámení budou na konci listopadu vymazány z ITARu všechny záznamy a na začátku příštího roku bude provoz celého adresáře ukončen. Zatím nebylo vydáno žádné podobné prohlášení u dalšího podobného systému, tedy DLV.
Jaké záznamy vlastně ITAR v současnosti ještě obsahuje? Jsou v něm DS záznamy následujících domén: .arpa, .bg, .br, .gov, .nu, .pr, .th, a .tm. Překvapivé je, že DS první jmenované, tedy .arpa, neni v kořenové zóně. Je to poměrně škoda. Tato doména je využívána i třeba pro reverzní DNS zóny či ENUM. Snad se tedy rychle podaří i tuto doménu zmigrovat. Každopádně kořenová zóna v současné chvíli obsahuje 294 domén a podepsaných je z toho 46.
Pokud tedy používáte ITAR, připravte se na jeho vypnutí a buďte bez obav, kořenová zóna vám bude stačit…
Ondřej Filip
Co chystáme o datových schránkách na LinuxAlt?
Je to již skoro rok, co byly datové schránky uvedeny do ostrého provozu. Od té doby se mnoho změnilo, jak v samotných datových schránkách (mnozí si jistě pamatují na captchu číhající zákeřně po úspěšném přihlášení heslem), tak na poli dostupného softwaru. V současné době je k dispozici celá řada alternativních řešení, od proprietárních po svobodné, která umožňují práci s datovou schránkou naprosto bez nutnosti používat oficiální webové rozhraní.
Jedním z dostupných nástrojů je aplikace dsgui vyvíjená v našich Laboratořích, se kterou seznámíme návštěvníky v krátké přednášce na letošním LinuxAltu. Protože je ale tato aplikace na světě již nějaký ten pátek, určitě případné zájemce o návštěvu konference potěší, že v rámci stejné přednášky představíme také dva novější produkty, které by měly přispět ke zlepšení možností elektronické komunikace se státní správou na alternativních platformách. První z nich bude klient pro datové schránky pro iPhone, který umožní snadnou a okamžitou kontrolu datové schránky z prostředí tohoto telefonu. Druhou pak multiplatformní prohlížeč a editor elektronických formulářů ve formátu ZFO, které jsou státní správou hojně využívány a které se často používají v kombinaci s datovými schránkami.
Doufáme, že naše přednáška přispěje alespoň malou částí k úspěšnosti letošního LinuxAltu. Budeme se těšit na shledanou v Brně!
Bedřich Košata
Zase kus IP prostoru pryč
Nejsou to ani tři měsíce, co jsem referoval o tom, že byl spotřebován další kus adresního prostoru „starého Internetu“. Čtenáři s dobrou pamětí si možná vzpomenou, že tehdy putovaly dva velké adresní bloky (/8) do regionu Asie-Pacifik, nebo-li organizaci APNIC. Zmiňovaný region se podílí největším dílem na současném alokačním tempu a proto nebylo příliš překvapivé, že se včera tato událost opět opakovala a další část adresního prostoru putovala k APNICu. Konkrétně byly přiřazeny bloky 36.0.0.0/8 a 42.0.0.0/8 a zbývá už tedy jen 12 volných bloků velikosti /8 (neboli 16777216 adres) z 256. Nejvyšší registr adres IANA už má tedy v zásobě volné adresy, které odpovídají pouze 4,7 % celkového adresního prostoru. Následující tabulka ukazuje, které bloky jsou ještě volné (zelená barva), které jsou už alokované (červená) a které jsou vyhrazené pro jiné použití (fialová).
Jak je vidět, zelené barvy už nám mnoho nezbývá a je evidentní, že nebude dlouho trvat a tato tabulka bude kompletně červeno-fialová. Pro milovníky grafů jsem tentokrát připravil obrázek, který ilustruje, jak se vyvíjí rychlost spotřebovávání zmíněných velkých bloků.
Za povšimnutí stojí dvě věci:
- už zmiňovaná zvyšující se aktivita APNICu (modré sloupečky), která zdaleka převyšuje evropský i severoamerický region.
- přidělování adresních bloků v dosud neuzavřeném roce 2010 viditelně zrychlilo – to může souviset s tím, že se poskytovatelé služeb snaží co nejvíce předzásobit
Mimochodem, poměrně zajímavý bude konec přidělování těchto bloků. IANA v normální režimu přidělí už jen sedm z těchto dvanácti volných. Je to proto, že poslední přidělování bude speciální. V jeden okamžik totiž každý z pěti regionů dostane po jednom bloku. To je poměrně výhodné pro Afriku, protože tam jeden blok vystačí zhruba na tři roky, naopak je to nevýhodné pro region Asie-Pacifik, který spotřebuje jeden blok přibližně za jeden a půl měsíce. Obzvláště tento region by tedy měl zintenzivnit práce na rozšiřování protokolu IPv6, ani my Evropané ale samozřejmě nemůžeme zůstat v klidu.
Ondřej Filip
Další a další evropské registry se hlásí k DNSSECu
Minulý týden proběhlo jedno z pravidelných pracovních setkání, která pořádá organizace CENTR sdružující většinu evropských a několik dalších registrů národních domén.
Tentokrát bylo setkání monotematické a zaměřilo se na výměnu zkušeností s implementací DNSSECu. Kromě registrů, které již DNSSEC zavedený mají – jako například .cz ;-), se prezentovali i ti správci, kteří momentálně spuštění této bezpečnostní technologie zvažují, plánují ho nebo již jsou v procesu realizace.
O stále rostoucím zájmu o tuto technologii vypovídá následující statistika z průzkumu, který CENTR realizoval v průběhu září mezi svými členy (zúčastnilo se ho 31 registrů): do dnešního dne je DNSSEC v plném provozu v sedmi zemích, v částečném pak v dalších pěti; 15 registrů na jeho zavedení pracuje, pouze 4 zbylé zatím v tomto směru nemají žádné plány. Více následující obrázek, který vydá za 1000 slov:
Do konce roku 2010 by tak mělo mít DNSSEC v plném provozu 11 registrů, do konce roku 2011 potom již celkem 27 a před koncem roku 2012 by se jejich počet měl přiblížit třicítce.
Zajímavou částí setkání byl také pohled z druhé strany – pozvání přijali i zástupci registrátorů, kteří prezentovali svůj názor na věc. Z mého pohledu byly zajímavé dva body.
Prvním z nich je to, že DNSSEC, ač je to z velké části technologická a technická záležitost, má být uživatelům prezentován jinak, jednodušeji, spíše marketingově než technicky. Tento pohled naprosto potvrzuje řešení našich registrátorů Active24 a WEB4U (a v posledních dnech i společnosti TELE3), kteří DNSSEC nabídli většině svých zákazníků zdarma jako součást běžné služby.
Druhým zajímavým bodem je potom zjištění, že ze strany státních a zejména pak samosprávných orgánů je zájem jen velmi vlažný. V jednom z vystoupení popisoval zástupce švédského registrátora projekt, v jehož rámci aktivně oslovovali jednotlivé radnice s nabídkou zabezpečit jim zdarma jejich domény. Bohužel se setkali s absolutním nezájmem a odmítáním (zpravidla se zdůvodněním, že radnice žádné zvláštní zabezpečení nepotřebují). A to je Švédsko země s nejdéle fungujícím DNSSECem na světě.
Martin Peterka