Na začátku října vydala Komerční banka tiskovou zprávu, ve které informuje, že získala prostřednictvím sporu vedeného u arbitrážního centra v Praze, doménové jméno komercnibanka.biz.
Tato doména byla zaregistrována na fyzickou osobu v říjnu 2008 a arbitrážní centrum, které spor rozhodovalo, a kterým není nikdo jiný, než Rozhodčí soud při Hospodářské komoře ČR a Agrární komoře ČR, konstatovalo, že došlo ke splnění všech požadavků stanovených UDRP – Komerční banka prokázala, že doména je identická či zaměnitelná s její registrovanou ochrannou známkou, žalovaný nemá žádná práva ani oprávněné zájmy ve vztahu k doménovému jménu, které bylo předmětem žaloby a konečně také, že doména byla zaregistrována ve zlé víře. Rozhodčí soud tak dal žalobci za pravdu ve všech bodech.
Zlá víra žalovaného byla mimochodem prokázána tím, že odmítl obě dvě nabídky na koupi domény, které mu banka učinila (celkem by mě zajímalo, jestli to bylo 150 a 180 tisíc Kč, jak je uvedeno ve skutkovém vylíčení stavu – odst. V rozhodnutí nebo zda KB nabídla 15 a 18 tis. Kč, jak se píše dále v hlavních důvodech rozhodnutí), s odůvodněním, že hodnota domény je na trhu vyšší (takže spíše správně je druhá možnost).
Pro zájemce je celé rozhodnutí k dispozici na stránkách Rozhodčího soudu.
Rozhodčí soud je také sudištěm pro rozhodování sporů o české domény. Od června tohoto roku takové spory probíhají s využitím on-line platformy, která již funguje pro spory vedené podle UDRP, což je případ popsaný výše, a ADR pro .EU. Díky tomu se na stránkách domeny.soud.cz začnou postupně objevovat rozhodnutí i o českých doménách – sporů již bylo podle nového Řádu zahájeno několik, s prvním rozhodčím nálezem se můžete seznámit už nyní.
Zuzana Durajová
Zářijová spotřeba adres
Kdo se obával, že se tempo spotřeby nových IPv4 adres v průběhu září dramaticky zrychlí, si teď možná, byť jen trochu, oddychne. Ačkoliv nebylo letošní září z hlediska alokací vyloženě slabé, jednotliví poskytovatelé služeb si vyžádali o trochu méně adres než v prázdninových měsících. Zatímco v červenci a srpnu bylo alokováno 20 a 21 miliónů, září ubralo ze zbývajících adres „pouhých“ 18 miliónů. Rozdíl tři milióny není velký, tempo je to pořád poměrně hrozivé. Navíc si uvědomme, že proces alokace obvykle nějaký čas trvá, RIRy od LIRu požadují dodání různých informací, aby mohly posoudit, zda-li je alokace v pořádku. Takže je možné, že mírnější září bylo právě způsobeno dozvukem prázdnin. Stejně tak v září neproběhla žádná větší alokace nad dva milióny adres.
O největší blok bylo překvapivě zažádáno v Severní Americe a šlo o 1572864 adres pro Frontier Communications Solutions. To je trochu nezvyklé číslo, velikost alokace je v drtivé většině mocnina dvou. Zde tedy byly přiděleny vlastně dva bloky, jeden velikosti 2^20 = 1048576 a druhý velikosti 2^19 = 524288. Zbývající velké alokace nad 1 milión adres jsou s jednou výjimkou tradičně z Asie. Tou výjimkou je blok velikosti 1048576 pro německý T-Mobile.
V září nejvíce alokovala Čína a to zhruba šest miliónů adres následována Spojenými státy s 2,6 milióny a Indií s 2,5 milióny. Do TOP 10 se vešly hned tři Evropské země (Německo, Velká Británie, Ukrajina) plus speciální alokace označované jako EU, které se používají pro organizace, které v rámci evropského regionu působí ve více zemích. Velikost těchto EU alokací byla zhruba půl miliónu adres. Vše je graficky znázorněno na následujícím obrázku.
Pomyslný závod zemí Visegrádské čtyřky jsme v září vedli my Češi se 135168 adresami, to mimochodem stačilo na celkové patnácté místo. Druzí byli Poláci s 34816, třetí Maďaři s 6144 adresami. Slováci se tohoto kola vůbec nezúčastnili neboť nealokovali ani jedinou adresu.
Když už mluvíme o konci IPv4 adres, je jistě namístě ukázat, jaká je situace v IPv6. Jak jsou alespoň z hlediska alokací jednotlivé země V4 připraveny na přechod na nový protokol (v následujících číslech jsou uvedeny jen PA alokace velikosti /32 a větší). Nejvíce IPv6 alokací mají shodně Češi a Poláci, a to 72. Mimochodem obě země alokovaly po dvou blocích v průběhu září. Pokud mám tedy udělat nějaký „rozstřel“, abych mohl určit vítěze, zvolím Poláky, protože dvě jejich alokace jsou větší než standardní /32 a to /28 a /21. Samozřejmě v přepočtu na počet obyvatel je situace opačná. Třetí jsou Maďaři, kteří alokovali 23krát a poslední Slováci s 16 alokacemi. Když se podíváme na počty LIRů v jednotlivých zemích, tak počet alokací je stále ještě nedostatečný. Ale vše se dá pochopitelně ještě dohnat.
Co tedy dodat závěrem? Pohled na známé počítadlo konce IPv4 adres zůstává stále stejně smutný. Člověk nemusí být žádný velký matematik, aby pochopil, že pokud se ze stávajícího koláče volných adres (k dnešnímu dni) zhruba 180 miliónů ukousne každý měsíc zhruba 20 miliónů, tak bude příští rok IANA bez adres a velmi brzy ji budou následovat jednotlivé ostatní RIRy. Jako první pocítí nedostatek adres rychle rostoucí region Asie-Pacifik, což pochopitelně neznamená, že ostatní regiony to vydrží nějak zásadně déle.
Ondřej Filip
Jak vznikají jména?
Tentokrát nebudeme pátrat po doménových jménech, jak by se dalo očekávat, ale podíváme se na jména firem. S doménami to ale přeci jen něco společného mít bude – jeden z největších registrátorů domén na světě GoDaddy se prodává a má být nabídnut v aukci. V této souvislosti je zajímavé, jak vlastně vzniklo samo jméno GoDaddy. Zjistíte to z článku o tom, jak vznikla jména některých technologických firem. Dozvíte se tu nejen o tomto případu, ale i o dalších, jako jsou Apple, Google či Yahoo. A pokud by vás zajímaly ještě další názvy, pokračujte sem.
PT
KIDNS – Keys In DNS
Technologie DNSSEC je aktuálně nasazována po celém světě. K většímu úspěchu jí ovšem chybí tzv. killer-app. Tj. takové použití DNSSECu, kvůli kterému si jej budou chtít pořídit všichni. Takovou killer-app by se mohly stát standardy ukládání kryptografických dat do DNS, na kterých se pracuje na půdě organizace IETF.
Nejprve bych ovšem krátce zabrousil do historie. Nápad ukládat veřejné části klíčů (nebo jejich otisky) do DNS není nikterak nový. První standard popisující záznam CERT, umožňující ukládat certifikáty do DNS, vytvořili v roce 1999 Olafur Gudmundsson a Donald Eastlake (RFC2538). Tento internetový standard byl v roce 2006 aktualizován Simonem Josefssonem a jeho aktuální podobu naleznete v RFC4398.
Pro SSH vznikl v roce 2006 podobný standard (RFC4255), který je podporován v OpenSSH, ale bohužel je nutné jeho podporu implicitně zapnout. Vytváření šifrovaných tunelů pomocí IPsecu můžete taktéž podpořit informací uloženou v záznamu IPSECKEY (RFC4025) z roku 2005.
Proč tedy zatím nedošlo k masivnějšímu rozšíření používání těchto šikovných pomůcek, jak publikovat veřejné klíče pomocí DNS? Jeden z velkých problémů spočíval v tom, že data, která jste dostali pomocí DNS, nebyla nijak zabezpečena. Tudíž útočník mohl libovolně podvrhnout kryptografický obsah v těchto záznamech.
Naštěstí jsme od té doby ušli dlouhou cestu zakončenou podepsáním kořenové zóny a nyní máme kryptograficky zabezpečený DNS strom, ve kterém můžeme publikovat zabezpečená data. Po počátečním šumu, který vznikl z nadšení z podpisu kořenové zóny, se většina práce naštěstí soustředila okolo IETF. Na posledním setkání IETF 78 v Maastrichtu se na neformálním meetingu (tzv. Bar BoF) potkalo asi 50 zástupců internetové komunity i komerčních firem, které tato problematika zajímá, a dohodli jsme se na postupu směřujícímu k vytvoření regulérní pracovní skupiny (WG) v rámci IETF. Po počátečních průtazích s vytvořením poštovní konference vznikl mailing list keyassure (archiv konference), ve kterém probíhá živá debata nad několika I-D, které vznikly na základě počátečního impulsu.
Aktuálně jsme společně s Warrenem Kumarim z Google vytvořili návrh zakládací listiny pracovní skupiny (za přispění diskutérů v poštovní konferenci) a poslali jsme žádost na vytvoření pracovní skupiny KIDNS (Keys In DNS). Původní záměr byl uspořádat formální BoF setkání na IETF 79 v Pekingu, viz seznam BoF, ale na základě diskuze v konferenci vyplynulo, že BoF již pro vytvoření pracovní skupiny není zapotřebí.
A co se tedy jedná? Pokud chcete provozovat web přes HTTPS (případně mít zabezpečený poštovní protokol – SMTP, IMAP, POP3), tak máte v zásadě jen jednu možnost, jak toto provést tak, aby se certifikát jevil jako důvěryhodný – a to pořídit jej u některé z certifikačních autorit, které jsou považovány za natolik bezpečné, že byli výrobci prohlížečů zařazeny do implicitního seznamu certifikačních autorit. Jak už to ovšem bývá, tak ne všechny certifikační autority jsou stejně bezpečné a bezpečnost je vždy tak silná, jako její nejslabší článek. Běžná praxe u DV (Domain Validated) certifikátů je dnes taková, že ověření validity žádosti je provedeno na základě toho, že jste schopni přijímat e-maily na doméně, pro kterou žádáte certifikát. Jinými slovy vám stačí ovládnout MX záznamy pro směřování pošty a odchytit ty správné e-maily, abyste byli schopni vytvořit certifikát pro konkrétní doménové jméno. Certifikační autority sice poskytují i certifikáty s vyšší úrovní zabezpečení tzv. EV (Extended Validation), ale ruku na srdce, kolik z vás by si všimlo, že se zabezpečení změnilo z EV na DV certifikát. A jak velké by to bylo procento z vašich přátel, rodičů, atp., kteří nejsou obdařeni bezpečnostní paranoiou jako vy.
Úkoly jsou před námi dva:
- Umožnit validaci libovolných certifikátů, tedy i self-signed, pomocí záznamu v DNS
- Umožnit ověření, že použitý certifikát je pravý a vlastník doménového jména jej zamýšlel použít. To je výrazné vylepšení i pro EV certifikáty.
V obou dvou případech bude nutné záznamy zabezpečit pomocí DNSSECu, aby bylo možné ověřit validitu dat, která klient dostane z DNS.
Na závěr bych uvedl seznam čtení na dlouhé noci, tedy I-D, které zatím v pracovní skupině vznikly:
- Using Secure DNS to Associate Certificates with Domain Names For TLS
- Confirming the Certificate structure in TLS with Secure DNS
- DNS Extended Service Parameters (ESRV) Record
A na úplný závěr bych vás, pokud vás tato problematika oslovuje, rád pozval do poštovní konference a snad již brzy vzniklé pracovní skupiny KIDNS.
Ondřej Surý
Srpnové alokace
Člověk by očekával, že letní měsíce budou z pohledu IP alokací klidnější a že v létě dojde v nějakému posunu data vyčerpání IPv4 adresního prostoru. Ale klid rozhodně není. Alokace pokračovaly i v srpnu poměrně svižným tempem. Pravidelného čtenáře mých příspěvků o IPv4 alokacích už rozhodně nepřekvapí, že nejaktivnější oblastí byl region Asie-Pacific, což ilustruje následující koláčový graf.
Tento region se na srpnových alokací podílel 78% a zdejší poskytovatelé potřebovali úctyhodných 16 miliónů nových IP adres. Evropa skončila druhá, na nových alokacích se podílela jen 16 % a spotřebovala zhruba 3,5 miliónu adres a z toho většinu (cca 2 milióny) alokoval jeden poskytovatel, francouzský SFR ze skupiny Vodafone. No a jak tedy vypadá pomyslný žebříček zemí? Kdo tipuje tradiční vítězství Číny, bude překvapen. Tentokrát nejvíce alokovali Korejci, následováni Vietnamci. Takže na Čínu zbylo „až“ třetí místo před již zmiňovanou Francií a Japonskem. V následujícím grafu vidíte země, které alokovaly alespoň 100 tisíc IP adres.
A jak jsme na tom u nás a blízkých zemích Visegrádské čtyřky? Na počet adres vede Slovensko, které spotřebovalo 65536 na jedné alokaci. Naopak na počet alokací vede Česká Republika, která žádala o 16384 adres v pěti blocích. Stejně adres chtěli i Poláci, ale jen ve 4 blocích a nejméně adres potřebovali Maďaří, 6144 ve dvou blocích. Jak vidíte, jsou to řádově jiná čísla než třeba v Asii. A jak se země V4 připravovaly na IPv6? V srpnu alokovaly pouze 2 země: Češi chtěli 2 IPv6 bloky, z toho jeden byl menší (/48) – Provider Independent a Poláci si zažádali o dva plné bloky (/32). Uvidíme, kdy IPv6 alokace předstihnou ty IPv4 a jestli to bude dříve než v únoru 2012, kdy by měly IPv4 adresy RIRům dojit.
Ondřej Filip
DNSSEC je na postupu
Po podpisu kořenové zóny se dle předpokladu se zprávami kolem DNSSECu doslova roztrhl pytel. Zástupci doménových registrů se předhánějí s prohlášeními o implementaci, neuběhne snad týden, aby nebyla nějaká novinka. Dovolte mi alespon stručně shrnout události, které mi přisly v poslední době nejzajímavější.
Českého uživatele by jistě mohla zajímat zpráva, že jsme jako první na světě dokončili proces změny způsobu podepisování z NSEC na NSEC3. Museli jsme tedy pochopitelně vyměnit klíče v kořenové zóně. V případě řešení, která měla pomoci překlenout vakuum do doby podpisu kořene, tedy DLV a ITAR jsme pouze staré klíče odstranili a nové už nepřidali. Všichni poskytovatelé připojení, kteří chtějí validovat DNSSECem naši národní doménu, by tedy měli používat pouze ověření přes kořenovou zónu. Všechny ostatní mechanismy už nadále nedoporučujeme.
Další tři evropské země podepsaly své domény. Jde o Finsko, Belgii a Nizozemí. Správci všech těchto domén použili shodně algoritmus NSEC3 a opt-out. Evropská mapa se nám postupně začíná obarovovat, bílá místa ubývají.
Další zajímavou novinkou je podpis prvních dvou dotIDN domén (tedy krom testovacích); jde konkrétně o domény Sri Lanky, které je možné zapsat buď takto xn--fzc2c9e2c a xn--xkc2al3hye2a nebo chcete-li ලංකා a இலங்கை.
No a na závěr bych si dovolil upozornit na prohlášení společnosti Afilias, které jistě velice potěší všechny příznivce technologie DNSSEC. Tato společnosti totiž oznámila, že letos v září podepíše svou hlavní doménu .info a následně i všech 12 ostatních spravovaných domén, mezi které patří například doména Indie .in nebo zajímavá doména Černé hory .me. To je jistě velmi znatelné rozšíření klubu podepsaných domén.
Jak je vidět, u doménových registrů je v souvislosti s DNSSECem víceméně „dobojováno“. Nyní zbývá hodně práce na registrátory, poskytovatele služeb a připojení a výrobce software. Bude zajímavé sledovat, jak bude tento proces dále postupovat.
Ondřej Filip
První český registrátor má akreditaci ICANN
Až do začátku srpna nefiguroval v seznamu ICANN akreditovaných registrátorů žádný subjekt z České Republiky. To se ale již změnilo – novým ICANN akreditovaným registrátorem se stala společnost Gransy, která je již téměř dva roky také akreditovaným registrátorem .CZ domén. Je zajímavou otázkou, proč je společnost Gransy jediným registrátorem z ČR, který má přímou akreditaci. Samozřejmě i všichni ostatní registrátoři, které známe z trhu s doménami .CZ, nabízejí registrace domén .com, .org a dalších. Dělají to ale přes prostředníky, jiné akreditované registrátory, a vystupují tak v podstatě v roli subregistrátorů.
Částečnou odpovědí na výše zmíněnou otázku může být také fakt, že největší z registrátorů .CZ využívají služeb mateřských zahraničních firem, které akreditovány jsou a nepotřebují se akreditovat samy. Může to být ale způsobeno i tím, že získat akreditaci ICANN není zase tak jednoduché (už jen v samotné přihlášce je poměrně dost požadavků na podrobné informace o firmě) a není ani zadarmo. Jen roční poplatek dělá aktuálně 4000$. A s tím samozřejmě souvisí i otázka, kolik se vlastně u nás gTLD domén registruje a jestli se tedy registrátorům vůbec vyplatí se do akreditace pouštět… vždyť akreditace pro domény .EU také není zadarmo a přesto ji má celá řada českých subjektů.
Každopádně přeji Gransy hodně štěstí a spoustu nových domén – i když za mne asi hlavně těch s koncovkou .CZ :-)
Martin Peterka
Už jen 5 %!
Adresní prostor „starého Internetu“ se nám pořád nezadržitelně smrskává. Dnes ráno byly další dva velké adresní bloky (velikosti 16777216 adres) přiděleny do regionu Asie-Pacifik. Jde konkrétně o bloky 101.0.0.0/8 a 49.0.0.0/8. V nejvyšším registru adres IANA už zbývá pouze 14 bloků ze 256 a známé počítadlo díku tomu už ukazuje pouze 5 %. To bohužel jen potvrzuje, že dosavadní předpovědi jsou velice přesné, následující graf Geoffa Hustona přesně zachycuje, kdy a s jakou frekvencí probíhá přidělování bloků do zmíněného regionu Asie-Pacifik.
Tento region je v současnosti zdaleka nejaktivnější. Na druhém konci pelotonu stojí pochopitelně region, který se nachází jižně od nás. Obdobný graf pro Afriku má totiž úplně jiný tvar a je z něj zřejmé, že Africe bude velký blok od IANA přidělen už pouze jednou. Ale na druhou stranu by jí adresy měly vydržet nejdéle ze všech regionů. 
I když třeba nás tento region překvapí. V červenci se hned dvě země černého kontinentu dostaly na seznam deseti zemí s nejvíce nově alokovanými adresami. Šlo konkrétně o Egypt a Jihoafrickou republiku. Ale jinak stále platí, že nejvíce alokuje Čína, tentokrát následovaná Koreou. Tyto dvě země si vzaly stejně adresního prostoru jako celý zbytek světa dohromady, to je něco přes 10 miliónů adres. 
V porovnání s těmito čísly je česká spotřeba adres úsměvná. Češi alokovali v srpnu pouze 8192 adres. Inu je zřejmé, že my středoevropané oddálit konec „starého Internetu“ nemůžeme, naše role je v tomto procesu nepodstatná. My se můžeme pouze připravovat na situaci kdy ten konec přijde a to tedy znamená zavádět nový protokol IPv6.
Ondřej Filip
Dvojkotví
Stejně jako všichni lidé, kteří se nějakým způsobem podílejí na správě DNS infrastruktury, jsem se i já těšil na podpis kořenové zóny. Všichni jsme si od tohoto kroku slibovali, že konečně bude jeden jediný pravý bod důvěry (trust anchor – kotva), který velice rychle nahradí dosavadní dočasné mechanismy jako je ITAR či DLV. Osobně jsem očekával, že hned, jak bude umožněno vkládat DS záznamy do kořenové zóny, tak učiní všechny podepsané domény nejvyšší úrovně. Dnes máme už téměř tři týdny po podpisu kořene a více než měsíc od okamžiku, kdy bylo možné DS záznamy vkládat. Pojďme se tedy podívat, jak situace s kořenovou zónou vypadá. Poměrně překvapivé je zjištění, že v kořenové zóně je 11 domén (bg, br, cat, cz, dk, edu, lk, na, org, tm, uk), zatímco v ITARu je 12 domén (arpa, bg, br, ch, cz, li, na, nu, pr, se, th, tm). Na druhou stranu počet domén v ITARu neustále klesá, nedávno například ITAR opustila .lk a .org. A pochopitelně počet DS záznamů v kořenové zóně roste. Nicméně právě druhým překvapením je, že v kořenové zóně nejsou dvě vetší domény – .se a .eu. Evropská .eu není ani v ITARu. Zástupkyně švédské domény se v mailinglistu vyjádřila tak, že v době dovolených nemají kapacity na vložení DS záznamu, a že tak učiní v průběhu srpna. To je zajímavé vyjádření. Z naší zkušenosti musím říct, že to rozhodně mnoho práce nevyžaduje :-)
Každopádně i tak můžeme říct, že ITAR se pomalu stává minulostí, už rozhodně nelze validovat jen s ním. Česká doména jej kvůli rotaci klíčů opustí brzy a dá se předpokládat, že obdobně se zachovají i ostatní registry. Naopak nové registry už budou vkládat své DS záznamy přímo do kořene. V mailinglistech věnovaných rozvoji DNSSEC byla už spuštěna debata o tom, kdy provoz ITARu definitivně ukončit. Zatím ještě žádné datum nepadlo.
Každopádně, pokud jste tak ještě neučinili, nastavte své resolvery, aby validovaly proti kořenové zóně. Jinak už o mnoho domén „přijdete“.
Ondřej Filip
Bude páté sudiště pro řešení sporů dle UDRP v Indii?
ITMAC (Indian Arbitration and Mediation Centre) se chce stát akreditovaným poskytovatelem řešení sporů o doménová jména podle pravidel UDRP (The Uniform Domain Name Dispute Resolution Policy – Jednotné zásady pro řešení sporů týkajících se doménových jmen), podle kterých se postupuje ve všech gTLD a některých ccTLD. O žádosti bude ICANN rozhodovat již v příštím týdnu a bude-li schválena, stane se ITMAC pátým sudištěm vedle Světové organizace duševního vlastnictví (WIPO), Národního arbitrážního fóra NAF v USA, Asijského centra pro rozhodování sporů o doménová jména (ADNDRC) a českého Rozhodčího soudu při Hospodářské komoře České republiky a Agrární komoře České republiky.
Jak vyplývá z návrhu, ITMAC má nyní 18 panelistů, kteří by spory rozhodovali a je schopno nabídnout řešení sporů v mnoha jazycích, které jsou v Indii a okolních státech používány (tedy kromě angličtiny také hindština, tamilština, bengálština a další). Navržené poplatky jsou o něco vyšší než například u českého Rozhodčího soudu: spor o jednu doménu řešený třemi rozhodci vyjde v Čechách na 81 tis. Kč, v Indii na cca 89 tis. Kč (217 tis. rupií). Spory o česká doménová jména však nejsou řešeny podle pravidel UDRP, ale jde o rozhodčí řízení ve smyslu zákona č. 216/1994 Sb., o rozhodčím řízení a výkonu rozhodčích nálezů.
Zuzana Durajová