Tentokrát nebudeme pátrat po doménových jménech, jak by se dalo očekávat, ale podíváme se na jména firem. S doménami to ale přeci jen něco společného mít bude – jeden z největších registrátorů domén na světě GoDaddy se prodává a má být nabídnut v aukci. V této souvislosti je zajímavé, jak vlastně vzniklo samo jméno GoDaddy. Zjistíte to z článku o tom, jak vznikla jména některých technologických firem. Dozvíte se tu nejen o tomto případu, ale i o dalších, jako jsou Apple, Google či Yahoo. A pokud by vás zajímaly ještě další názvy, pokračujte sem.
PT
KIDNS – Keys In DNS
Technologie DNSSEC je aktuálně nasazována po celém světě. K většímu úspěchu jí ovšem chybí tzv. killer-app. Tj. takové použití DNSSECu, kvůli kterému si jej budou chtít pořídit všichni. Takovou killer-app by se mohly stát standardy ukládání kryptografických dat do DNS, na kterých se pracuje na půdě organizace IETF.
Nejprve bych ovšem krátce zabrousil do historie. Nápad ukládat veřejné části klíčů (nebo jejich otisky) do DNS není nikterak nový. První standard popisující záznam CERT, umožňující ukládat certifikáty do DNS, vytvořili v roce 1999 Olafur Gudmundsson a Donald Eastlake (RFC2538). Tento internetový standard byl v roce 2006 aktualizován Simonem Josefssonem a jeho aktuální podobu naleznete v RFC4398.
Pro SSH vznikl v roce 2006 podobný standard (RFC4255), který je podporován v OpenSSH, ale bohužel je nutné jeho podporu implicitně zapnout. Vytváření šifrovaných tunelů pomocí IPsecu můžete taktéž podpořit informací uloženou v záznamu IPSECKEY (RFC4025) z roku 2005.
Proč tedy zatím nedošlo k masivnějšímu rozšíření používání těchto šikovných pomůcek, jak publikovat veřejné klíče pomocí DNS? Jeden z velkých problémů spočíval v tom, že data, která jste dostali pomocí DNS, nebyla nijak zabezpečena. Tudíž útočník mohl libovolně podvrhnout kryptografický obsah v těchto záznamech.
Naštěstí jsme od té doby ušli dlouhou cestu zakončenou podepsáním kořenové zóny a nyní máme kryptograficky zabezpečený DNS strom, ve kterém můžeme publikovat zabezpečená data. Po počátečním šumu, který vznikl z nadšení z podpisu kořenové zóny, se většina práce naštěstí soustředila okolo IETF. Na posledním setkání IETF 78 v Maastrichtu se na neformálním meetingu (tzv. Bar BoF) potkalo asi 50 zástupců internetové komunity i komerčních firem, které tato problematika zajímá, a dohodli jsme se na postupu směřujícímu k vytvoření regulérní pracovní skupiny (WG) v rámci IETF. Po počátečních průtazích s vytvořením poštovní konference vznikl mailing list keyassure (archiv konference), ve kterém probíhá živá debata nad několika I-D, které vznikly na základě počátečního impulsu.
Aktuálně jsme společně s Warrenem Kumarim z Google vytvořili návrh zakládací listiny pracovní skupiny (za přispění diskutérů v poštovní konferenci) a poslali jsme žádost na vytvoření pracovní skupiny KIDNS (Keys In DNS). Původní záměr byl uspořádat formální BoF setkání na IETF 79 v Pekingu, viz seznam BoF, ale na základě diskuze v konferenci vyplynulo, že BoF již pro vytvoření pracovní skupiny není zapotřebí.
A co se tedy jedná? Pokud chcete provozovat web přes HTTPS (případně mít zabezpečený poštovní protokol – SMTP, IMAP, POP3), tak máte v zásadě jen jednu možnost, jak toto provést tak, aby se certifikát jevil jako důvěryhodný – a to pořídit jej u některé z certifikačních autorit, které jsou považovány za natolik bezpečné, že byli výrobci prohlížečů zařazeny do implicitního seznamu certifikačních autorit. Jak už to ovšem bývá, tak ne všechny certifikační autority jsou stejně bezpečné a bezpečnost je vždy tak silná, jako její nejslabší článek. Běžná praxe u DV (Domain Validated) certifikátů je dnes taková, že ověření validity žádosti je provedeno na základě toho, že jste schopni přijímat e-maily na doméně, pro kterou žádáte certifikát. Jinými slovy vám stačí ovládnout MX záznamy pro směřování pošty a odchytit ty správné e-maily, abyste byli schopni vytvořit certifikát pro konkrétní doménové jméno. Certifikační autority sice poskytují i certifikáty s vyšší úrovní zabezpečení tzv. EV (Extended Validation), ale ruku na srdce, kolik z vás by si všimlo, že se zabezpečení změnilo z EV na DV certifikát. A jak velké by to bylo procento z vašich přátel, rodičů, atp., kteří nejsou obdařeni bezpečnostní paranoiou jako vy.
Úkoly jsou před námi dva:
- Umožnit validaci libovolných certifikátů, tedy i self-signed, pomocí záznamu v DNS
- Umožnit ověření, že použitý certifikát je pravý a vlastník doménového jména jej zamýšlel použít. To je výrazné vylepšení i pro EV certifikáty.
V obou dvou případech bude nutné záznamy zabezpečit pomocí DNSSECu, aby bylo možné ověřit validitu dat, která klient dostane z DNS.
Na závěr bych uvedl seznam čtení na dlouhé noci, tedy I-D, které zatím v pracovní skupině vznikly:
- Using Secure DNS to Associate Certificates with Domain Names For TLS
- Confirming the Certificate structure in TLS with Secure DNS
- DNS Extended Service Parameters (ESRV) Record
A na úplný závěr bych vás, pokud vás tato problematika oslovuje, rád pozval do poštovní konference a snad již brzy vzniklé pracovní skupiny KIDNS.
Ondřej Surý
Srpnové alokace
Člověk by očekával, že letní měsíce budou z pohledu IP alokací klidnější a že v létě dojde v nějakému posunu data vyčerpání IPv4 adresního prostoru. Ale klid rozhodně není. Alokace pokračovaly i v srpnu poměrně svižným tempem. Pravidelného čtenáře mých příspěvků o IPv4 alokacích už rozhodně nepřekvapí, že nejaktivnější oblastí byl region Asie-Pacific, což ilustruje následující koláčový graf.

Tento region se na srpnových alokací podílel 78% a zdejší poskytovatelé potřebovali úctyhodných 16 miliónů nových IP adres. Evropa skončila druhá, na nových alokacích se podílela jen 16 % a spotřebovala zhruba 3,5 miliónu adres a z toho většinu (cca 2 milióny) alokoval jeden poskytovatel, francouzský SFR ze skupiny Vodafone. No a jak tedy vypadá pomyslný žebříček zemí? Kdo tipuje tradiční vítězství Číny, bude překvapen. Tentokrát nejvíce alokovali Korejci, následováni Vietnamci. Takže na Čínu zbylo „až“ třetí místo před již zmiňovanou Francií a Japonskem. V následujícím grafu vidíte země, které alokovaly alespoň 100 tisíc IP adres.

A jak jsme na tom u nás a blízkých zemích Visegrádské čtyřky? Na počet adres vede Slovensko, které spotřebovalo 65536 na jedné alokaci. Naopak na počet alokací vede Česká Republika, která žádala o 16384 adres v pěti blocích. Stejně adres chtěli i Poláci, ale jen ve 4 blocích a nejméně adres potřebovali Maďaří, 6144 ve dvou blocích. Jak vidíte, jsou to řádově jiná čísla než třeba v Asii. A jak se země V4 připravovaly na IPv6? V srpnu alokovaly pouze 2 země: Češi chtěli 2 IPv6 bloky, z toho jeden byl menší (/48) – Provider Independent a Poláci si zažádali o dva plné bloky (/32). Uvidíme, kdy IPv6 alokace předstihnou ty IPv4 a jestli to bude dříve než v únoru 2012, kdy by měly IPv4 adresy RIRům dojit.
Ondřej Filip
DNSSEC je na postupu
Po podpisu kořenové zóny se dle předpokladu se zprávami kolem DNSSECu doslova roztrhl pytel. Zástupci doménových registrů se předhánějí s prohlášeními o implementaci, neuběhne snad týden, aby nebyla nějaká novinka. Dovolte mi alespon stručně shrnout události, které mi přisly v poslední době nejzajímavější.
Českého uživatele by jistě mohla zajímat zpráva, že jsme jako první na světě dokončili proces změny způsobu podepisování z NSEC na NSEC3. Museli jsme tedy pochopitelně vyměnit klíče v kořenové zóně. V případě řešení, která měla pomoci překlenout vakuum do doby podpisu kořene, tedy DLV a ITAR jsme pouze staré klíče odstranili a nové už nepřidali. Všichni poskytovatelé připojení, kteří chtějí validovat DNSSECem naši národní doménu, by tedy měli používat pouze ověření přes kořenovou zónu. Všechny ostatní mechanismy už nadále nedoporučujeme.
Další tři evropské země podepsaly své domény. Jde o Finsko, Belgii a Nizozemí. Správci všech těchto domén použili shodně algoritmus NSEC3 a opt-out. Evropská mapa se nám postupně začíná obarovovat, bílá místa ubývají.
Další zajímavou novinkou je podpis prvních dvou dotIDN domén (tedy krom testovacích); jde konkrétně o domény Sri Lanky, které je možné zapsat buď takto xn--fzc2c9e2c a xn--xkc2al3hye2a nebo chcete-li ලංකා a இலங்கை.
No a na závěr bych si dovolil upozornit na prohlášení společnosti Afilias, které jistě velice potěší všechny příznivce technologie DNSSEC. Tato společnosti totiž oznámila, že letos v září podepíše svou hlavní doménu .info a následně i všech 12 ostatních spravovaných domén, mezi které patří například doména Indie .in nebo zajímavá doména Černé hory .me. To je jistě velmi znatelné rozšíření klubu podepsaných domén.
Jak je vidět, u doménových registrů je v souvislosti s DNSSECem víceméně „dobojováno“. Nyní zbývá hodně práce na registrátory, poskytovatele služeb a připojení a výrobce software. Bude zajímavé sledovat, jak bude tento proces dále postupovat.
Ondřej Filip
První český registrátor má akreditaci ICANN
Až do začátku srpna nefiguroval v seznamu ICANN akreditovaných registrátorů žádný subjekt z České Republiky. To se ale již změnilo – novým ICANN akreditovaným registrátorem se stala společnost Gransy, která je již téměř dva roky také akreditovaným registrátorem .CZ domén. Je zajímavou otázkou, proč je společnost Gransy jediným registrátorem z ČR, který má přímou akreditaci. Samozřejmě i všichni ostatní registrátoři, které známe z trhu s doménami .CZ, nabízejí registrace domén .com, .org a dalších. Dělají to ale přes prostředníky, jiné akreditované registrátory, a vystupují tak v podstatě v roli subregistrátorů.
Částečnou odpovědí na výše zmíněnou otázku může být také fakt, že největší z registrátorů .CZ využívají služeb mateřských zahraničních firem, které akreditovány jsou a nepotřebují se akreditovat samy. Může to být ale způsobeno i tím, že získat akreditaci ICANN není zase tak jednoduché (už jen v samotné přihlášce je poměrně dost požadavků na podrobné informace o firmě) a není ani zadarmo. Jen roční poplatek dělá aktuálně 4000$. A s tím samozřejmě souvisí i otázka, kolik se vlastně u nás gTLD domén registruje a jestli se tedy registrátorům vůbec vyplatí se do akreditace pouštět… vždyť akreditace pro domény .EU také není zadarmo a přesto ji má celá řada českých subjektů.
Každopádně přeji Gransy hodně štěstí a spoustu nových domén – i když za mne asi hlavně těch s koncovkou .CZ :-)
Martin Peterka
Už jen 5 %!
Adresní prostor „starého Internetu“ se nám pořád nezadržitelně smrskává. Dnes ráno byly další dva velké adresní bloky (velikosti 16777216 adres) přiděleny do regionu Asie-Pacifik. Jde konkrétně o bloky 101.0.0.0/8 a 49.0.0.0/8. V nejvyšším registru adres IANA už zbývá pouze 14 bloků ze 256 a známé počítadlo díku tomu už ukazuje pouze 5 %. To bohužel jen potvrzuje, že dosavadní předpovědi jsou velice přesné, následující graf Geoffa Hustona přesně zachycuje, kdy a s jakou frekvencí probíhá přidělování bloků do zmíněného regionu Asie-Pacifik.
Tento region je v současnosti zdaleka nejaktivnější. Na druhém konci pelotonu stojí pochopitelně region, který se nachází jižně od nás. Obdobný graf pro Afriku má totiž úplně jiný tvar a je z něj zřejmé, že Africe bude velký blok od IANA přidělen už pouze jednou. Ale na druhou stranu by jí adresy měly vydržet nejdéle ze všech regionů.
I když třeba nás tento region překvapí. V červenci se hned dvě země černého kontinentu dostaly na seznam deseti zemí s nejvíce nově alokovanými adresami. Šlo konkrétně o Egypt a Jihoafrickou republiku. Ale jinak stále platí, že nejvíce alokuje Čína, tentokrát následovaná Koreou. Tyto dvě země si vzaly stejně adresního prostoru jako celý zbytek světa dohromady, to je něco přes 10 miliónů adres. 
V porovnání s těmito čísly je česká spotřeba adres úsměvná. Češi alokovali v srpnu pouze 8192 adres. Inu je zřejmé, že my středoevropané oddálit konec „starého Internetu“ nemůžeme, naše role je v tomto procesu nepodstatná. My se můžeme pouze připravovat na situaci kdy ten konec přijde a to tedy znamená zavádět nový protokol IPv6.
Ondřej Filip
Dvojkotví
Stejně jako všichni lidé, kteří se nějakým způsobem podílejí na správě DNS infrastruktury, jsem se i já těšil na podpis kořenové zóny. Všichni jsme si od tohoto kroku slibovali, že konečně bude jeden jediný pravý bod důvěry (trust anchor – kotva), který velice rychle nahradí dosavadní dočasné mechanismy jako je ITAR či DLV. Osobně jsem očekával, že hned, jak bude umožněno vkládat DS záznamy do kořenové zóny, tak učiní všechny podepsané domény nejvyšší úrovně. Dnes máme už téměř tři týdny po podpisu kořene a více než měsíc od okamžiku, kdy bylo možné DS záznamy vkládat. Pojďme se tedy podívat, jak situace s kořenovou zónou vypadá. Poměrně překvapivé je zjištění, že v kořenové zóně je 11 domén (bg, br, cat, cz, dk, edu, lk, na, org, tm, uk), zatímco v ITARu je 12 domén (arpa, bg, br, ch, cz, li, na, nu, pr, se, th, tm). Na druhou stranu počet domén v ITARu neustále klesá, nedávno například ITAR opustila .lk a .org. A pochopitelně počet DS záznamů v kořenové zóně roste. Nicméně právě druhým překvapením je, že v kořenové zóně nejsou dvě vetší domény – .se a .eu. Evropská .eu není ani v ITARu. Zástupkyně švédské domény se v mailinglistu vyjádřila tak, že v době dovolených nemají kapacity na vložení DS záznamu, a že tak učiní v průběhu srpna. To je zajímavé vyjádření. Z naší zkušenosti musím říct, že to rozhodně mnoho práce nevyžaduje :-)
Každopádně i tak můžeme říct, že ITAR se pomalu stává minulostí, už rozhodně nelze validovat jen s ním. Česká doména jej kvůli rotaci klíčů opustí brzy a dá se předpokládat, že obdobně se zachovají i ostatní registry. Naopak nové registry už budou vkládat své DS záznamy přímo do kořene. V mailinglistech věnovaných rozvoji DNSSEC byla už spuštěna debata o tom, kdy provoz ITARu definitivně ukončit. Zatím ještě žádné datum nepadlo.
Každopádně, pokud jste tak ještě neučinili, nastavte své resolvery, aby validovaly proti kořenové zóně. Jinak už o mnoho domén „přijdete“.
Ondřej Filip
Bude páté sudiště pro řešení sporů dle UDRP v Indii?
ITMAC (Indian Arbitration and Mediation Centre) se chce stát akreditovaným poskytovatelem řešení sporů o doménová jména podle pravidel UDRP (The Uniform Domain Name Dispute Resolution Policy – Jednotné zásady pro řešení sporů týkajících se doménových jmen), podle kterých se postupuje ve všech gTLD a některých ccTLD. O žádosti bude ICANN rozhodovat již v příštím týdnu a bude-li schválena, stane se ITMAC pátým sudištěm vedle Světové organizace duševního vlastnictví (WIPO), Národního arbitrážního fóra NAF v USA, Asijského centra pro rozhodování sporů o doménová jména (ADNDRC) a českého Rozhodčího soudu při Hospodářské komoře České republiky a Agrární komoře České republiky.
Jak vyplývá z návrhu, ITMAC má nyní 18 panelistů, kteří by spory rozhodovali a je schopno nabídnout řešení sporů v mnoha jazycích, které jsou v Indii a okolních státech používány (tedy kromě angličtiny také hindština, tamilština, bengálština a další). Navržené poplatky jsou o něco vyšší než například u českého Rozhodčího soudu: spor o jednu doménu řešený třemi rozhodci vyjde v Čechách na 81 tis. Kč, v Indii na cca 89 tis. Kč (217 tis. rupií). Spory o česká doménová jména však nejsou řešeny podle pravidel UDRP, ale jde o rozhodčí řízení ve smyslu zákona č. 216/1994 Sb., o rozhodčím řízení a výkonu rozhodčích nálezů.
Zuzana Durajová
Připravte se včas na střídání stráží
V návaznosti na podepsáním kořenové zóny nás všechny čeká jedna velká změna – výměna DNSSEC klíčů a přechod na NSEC3. Psal jsem o ni na tomto blogu už dříve a tak, protože se blíží její čas (započne již příští týden v úterý), rád bych na ni upozornil ještě jednou.
Tento přechod se nastartuje už v úterý 3. srpna. Z pohledu CZ.NIC to znamená, že v tento den zavedeme pro naší zónu nový klíč (rozhodli jsme se nakonec, že klíč nebude typu RSASHA256, ale ještě silnějšího typu RSASHA512) a ze všech zdrojů (ITAR, DLV, internetové stránky) stáhneme klíč, který jsme používali dosud. Následně na to, ještě v tento den, také pošleme IANA žádost o výměnu klíčů v kořenové zóně. Co všechno souvisí s touto změnou, jsme popsal ve výše zmíněném článku.
Jak se říká: Co můžeš udělat dnes, neodkládej na zítřek. Tato slova v tomto případě určitě platí a to hlavně pro provozovatele rekurzivních DNS serverů, kteří provádějí validaci pomocí DNSSEC. Připravte se včas, do 3. srpna zbývá už jen jeden týden! Doporučujeme vám především:
- přejít na validaci DNSSEC přes klíč kořenové zóny (další informace najdete na stránkách věnovaných DNSSEC)
- upgradovat na nejnovější verzi DNS serveru.
Jaromír Talíř
FRED se zabydlel na Faerských ostrovech
Náš registrační systém FRED, který jsme pro naší doménu spustili v roce 2007, se dočkal dalšího nasazení. Nejnověji jej využívá národní registr na Faerských ostrovech – po České republice jde o druhou evropskou zemi, která se rozhodla na FRED přejít.
V případě této země s pouhými 50 tisíci obyvateli a zhruba třemi tisíci doménami s koncovkou .fo bylo FRED potřeba modifikovat, aby vyhovoval tamější registrační politice. Vzhledem k tomu, že roli registrátorů na sebe přebírá sám správce domény, byl systém doplněn o externí databázi, která slouží k provozu registračního webového rozhraní, umožňuje platby kreditními kartami apod.
Podstatnými změnami prošla také struktura ukládaných kontaktů. Faerský správce národní domény má o něco přísnější podmínky registrace, pokud jde o možnost identifikace držitele domény, proto mezi registrační údaje patří i datum narození a národnost (v případě zahraničních zájemců o doménu je to číslo pasu, sken pasu a národnost). Potřebné kontakty pro registraci tak jsou: Holder (držitel domény), Billing contact (kontakt pro platbu, z původní struktury FREDa nahrazuje Admin) a Technical contact (technický kontakt).
Faerská verze FREDu se musela přizpůsobit také dvěma používaným typům žádostí o registraci. Typ A představují žádosti, které jsou vyřízeny okamžitě, přičemž žadatel musí doložit, že má na danou doménu právo (například kopií z registru značek). Typ B jsou žádosti, které mají 30denní lhůtu na vyřízení, během níž se o doménu mohou přihlásit i další subjekty, které by k jejímu držení mohli mít právo. Během této lhůty jsou žádosti spravovány v externí databázi, po jejím uplynutí se doménové jméno uloží v databázi FREDu.
Pevně věříme, že tato evropská vlaštovka nezůstane dlouho sama, a že se k ní časem přidají další doménové registry starého kontinentu.
Jaromír Talíř