K podpoře technologie DNSSEC se tentokráte přihlásil registr, který je ve světě národních domén skutečným gigantem. Je to společnost Nominet, správce domény .uk. Tato událost byla poměrně očekávaná, neboť Nominet technologii DNSSEC dlouhodobě podporuje. Poslední ukázkou této podpory byl vývoj software OpenDNSSEC.
Podobně jako u kořenové zóny, i Nominet začal s implementací pozvolna. Minulý týden byla doména podepsána nevalidovatelnými klíči, toto pondělí potom došlo k podpisu už těmi správnými. Nominet totiž celý minulý týden intenzivně testoval, zda-li zvětšení DNS odpovědí kvůli přídavným bezpečnostním informacím nezpůsobí nějaký problém.
Můžeme si tedy vybarvit další bílé místo na mapě? Zatím ne tak docela. Podepsána byla pouze zóna .uk. Ve Spojeném království ale používají strukturovaný model, takže všechny domény koncových uživatelů jsou v poddoménách, tedy hlavně v .co.uk. A právě u poddomén dosud podpis chybí.
Nominet podpis zóny označuje spíše za test a zatím nedoporučuje spustit proti této zóně validaci. Dokonce oznámili, že plánují klíče ještě vyměnit a plný provoz hodlají deklarovat až s podpisem kořenové zóny. Tedy gratuluji k prvnímu rozvážnému kroku a doufám, že více uvidíme v červnu.
Ondřej Filip
Aleš Mokrý pánem světa
Jak Aleš sliboval při popisování Jak registrovat doménu, opustil „nuzný cirkus a stává se pánem světa“… tedy alespoň částečně. Kampaň Dobrá doména, jejímž je hlavním hrdinou, totiž získala v soutěži Louskáček o nejlepší a nejkreativnější českou reklamu stříbného Louskáčka za rok 2009 v kategorii on-line kampaň.
Jinak Aleš nás samozřejmě neopouští, i když se teď věnuje čtení, protože březen je měsíc čtenářů.
PT
DNSSEC chrání nejvíce domén na světě
Společnost ACTIVE 24 včera oznámila, že všechny domény .CZ, které jsou u ní zaregistrovány a jsou zároveň provozovány na jejich nameserverech, chrání od tohoto týdne technologie DNSSEC. V tiskové zprávě najdete podrobnosti k tomuto kroku, nepřečtete si ale už o některých důsledcích spojených s touto aktivitou.
Díky tomu, co dělá registrátor ACTIVE 24 a ještě před ním udělal WEB4U pro své zákazníky, bude mít český registr nejvíce domén na světě chráněných technologií DNSSEC (více než 94 000 domén). Daleko za námi tak budou i státy, které se k DNSSECu přihlásily dříve než my. Myslím v tuto chvíli především na Švédsko, jejichž správci domén zavedli DNSSEC jako úplně první a jsou společně s námi v rozšiřování DNSSEC nejaktivnější.
Druhá informace se týká další ze zajímavých a důležitých domén podepsaných DNSSEC. ACTIVE 24 provozuje na svých DNS serverech vice než 78 000 domén. Mezi nimi se najda řada těch, které si pozornost a ochranu určitě zaslouží. Za všechny zmíním jednu a tou je denik.cz. Určitě mi dáte za pravdu, že tato doména významná je. Vydavatelství Vltava-Labe-Press má pod palcem síť regionálních titulů po celé České republice. Zabezpečeny DNSSEC tak jsou například internetové domény Strakonického, Jabloneckého, Sokolovského, Valašského a dalších více než 60 deníku a týdeníků.
Vilém Sládek
O České doménové centrále podruhé
Společnosti Česká doménová centrála a jejím aktivitám se na stránkách tohoto blogu věnoval před časem kolega Martin Peterka. Protože je jeho text ale stále aktuální, možné ještě aktuálnější než byl prve, vracím se k „problému“ spojenému s podivným obchodováním s doménami ještě jednou.
Jestli jste neklikli na odkaz a text si už nepřečetli, tak je o tom, že je tu jedna společnost jménem Česká doménová centrála, která podniká způsobem, který by si řada z nás asi ani nedokázala představit. Její telefonisté volají do firem a jejich zástupcům namlouvají, že si musí co nejdříve jejich prostřednictvím objednat domény se stejným nebo podobným názvem společnosti s jinou koncovkou než s tou, kterou už mají, jinak to brzy udělá někdo jiný. Ten někdo jiný si na tyto domény právě teď brousí zuby a pokud se zástupce firmy s používanou doménovou koncovkou nerozhodne co nejdříve, stane se s největší pravděpodobností, že ho někdo předběhne, domény zaplatí a majitel domény s už zaregistrovanou koncovkou bude mít najednou problém.
Tady bych skončil a konečně se dostal k tomu, proč o tom píšu teď já. Článek kolegy Peterky jste si mohli poprvé přečíst 5. května, tedy více než devět měsíců zpátky. Jak to už bývá, zanedlouho po jeho vydání se objevily první komentáře a potom další a další; většinou se zkušenostmi s touto společností. Co je ale zajímavé na celé té věci, že počet příspěvků pod textem kolegy Peterky i po těch devíti měsících roste a roste. Co to znamená? Podle všeho je společnost Česká doménová centrála stále aktivní a na lep jí sedají další a další majitelé domén, kteří uvěří tomu, co jim zaměstnanci „obchodníků z doménami“ vnutí.
Věřím, že i díky fóru, popsaným zkušenostem a reportáži České televize, začne dalších komentářů přeci jen ubývat. Že bude stále měně a méně těch, kteří „naletí“ telefonistům a řečem o registraci domén, jejichž cena se oproti té skutečné liší mnohdy až desetinásobně.
Aktualizace, 22. 4. 2013:
O české doménové centrále potřetí, chtělo by se říci. Včera byla v Událostech České televize odvysílána reportáž (čas 17:00) věnovaná „výhodným“ nabídkám domén, opět. Tentokrát telefony nezvoní na stolech majitelů firem, ale na úřadech měst a obcí. Rádi bychom tímto upozornili na aktivity, které nemají se slušným a dobře myšleným chováním nic společného.
Aktualizace, 1. dubna 2015:
Česká televize odvysílala v rámci pořadu Černé ovce reportáž věnující se nabídce registrací domén za přemrštěné ceny. Doporučujeme její zhlédnutí.
Uz méně než 10 %!
Jakkoliv titulek mého příspěvku může spíše evokovat, že budu psát nějaký politický komentář, nebojte se. Celkem nedávno došlo k prolomení další magické hranice ve spotřebě IPv4 adres. V registru organizace IANA je už méně než 10 % volných IPv4 adres z celkového rozsahu, tedy méně než 400 miliónů. Rychlost, jakou volné IPv4 adresy mizí nejlépe ilustruje následující applet.
Byť nevěřím, že IP adresy dojdou v září příštího roku, je evidentní, že staré adresy dochází a kdo se nepřipravuje na IPv6 může být v krátkém čase nepříjemně překvapen. Důvodem, že ubývání IP adres není tak rychlé jak naznačují matematické výpočty, není chyba ve výpočtech, ale částečně úspěšná snaha organizací IANA a regionálních registrů o znovu navracení již dříve alokovaných bloků. Na začátku Internetu se s adresami neuvěřitelně plýtvalo a tak dle IANA databáze má třeba farmaceutická firma Eli Lilly přidělen blok /8, tedy zhruba 17 miliónů adres.
V souvislosti s navracením adres, které původně sloužily k jiným účelům, bych rád uvedl jeden poměrně kuriózní příklad: Vždy, když se nějaký další blok začíná rozdělovat poskytovatelům připojení, probíhá tzv. proces debogonizace. Velmi zjednodušeně jde o to, že se části toho příslušného bloku propagují pomocí protokolu BGP do Internetu a sleduje se, kam propagace projde a kde je tento rozsah filtrován. Zároveň je i možné vysledovat, zda-li na tento rozsah není směrován nějaký provoz, nějaký šum. V rámci tohoto procesu byl propagován i prefix 1.1.1.0/24 a poměrně nepříjemným zjištěním bylo, že „šum“, který na tento rozsah přicházel, okamžitě zahltil jejich 10Mbps port v peeringovém centru AMS-IX. Z analýz toků vyplynulo, že tento šum je zhruba 50Mbps. To bohužel znamená, že tato část rozsahu je pro alokaci nepoužitelná, protože žádný ISP by asi nechtěl, aby do jeho sítě přicházely desítky Mbps zcela neužitečného toku dat.
Je vidět, že IP čísla skutečně dochází, když už je snaha využít i takto speciální bloky. Přesto je služeb dosažitelných po IPv6 jen žalostně málo. Pokud o nějakém dobrém příkladu víte, dejte nám vědět v komentářích.
Ondřej Filip
Užitečné rozšíření DNS nebo cesta špatným směrem?
V poštovní konferenci pracovní skupiny DNSEXT, která se zabývá rozšiřováním protokolu DNS, aktuálně probíhá bouřlivá diskuze nad novým návrhem Client IP information in DNS requests (neboli Informace o klientské IP adrese v DNS dotazech). Tento návrh společně podaly společnosti Google a Neustar. Google před nedávnou dobou spustil svou službu Google Public DNS, a tudíž představuje zástupce provozovatele veřejného resolveru. Neustar stojí na opačném konci, kromě provozu několika TLD, provozují také autoritativní DNS servery, které získali akvizicí firmy UltraDNS. To jen tak na vysvětlenou, co mají tyto dvě firmy společného s DNS.
Tento návrh přidává do DNS zprávy volitelnou položku, která obsahuje IP adresu (resp. adresu sítě) klienta, který položil dotaz rekurzivnímu resolveru. Možná vás teď napadá otázka, k čemu je tato informace autoritativnímu DNS serveru dobrá? Obecně k ničemu. Tento návrh přinese užitek pouze malé skupině provozovatelů DNS serverů – hlavní využití by tento návrh měl při distribuci obsahu (CDN), kdy už v dnešní době dochází na základě IP adresy rekurzivního resolveru k přizpůsobení odpovědi, kterou poskytne autoritativní DNS server. Typickým příkladem je například právě Google.
Pokud se zeptám na adresu www.google.com ze svého pracovního počítače (tedy aktuálně s IP adresou přidělenou CZ.NICu), dostanu tuto odpověď:
www.google.com. IN CNAME www.l.google.com.
www.l.google.com. IN A 74.125.87.105
www.l.google.com. IN A 74.125.87.147
www.l.google.com. IN A 74.125.87.99
www.l.google.com. IN A 74.125.87.104
www.l.google.com. IN A 74.125.87.103
Pokud se zeptám z našeho DNS serveru v Londýnském LINXu, dostanu odpověď úplně jinou:
www.google.com. IN CNAME www.l.google.com.
www.l.google.com. IN CNAME www-tmmdi.l.google.com.
www-tmmdi.l.google.com. IN A 216.239.59.99
www-tmmdi.l.google.com. IN A 216.239.59.103
www-tmmdi.l.google.com. IN A 216.239.59.147
www-tmmdi.l.google.com. IN A 216.239.59.104
Náš DNS uzel v Kaliforni vidí opět jiné IP adresy:
www.google.com. IN CNAME www.l.google.com.
www.l.google.com. IN A 74.125.87.99
www.l.google.com. IN A 74.125.87.103
www.l.google.com. IN A 74.125.87.104
www.l.google.com. IN A 74.125.87.105
www.l.google.com. IN A 74.125.87.147
Těmito DNS triky se dá geograficky rozložit zátěž mezi různé lokality. S příchodem veřejných otevřených rekurzivních resolverů (provozovaných jako služba) ovšem nastává problém. Jak budou vypadat stejné dotazy ze stejných lokalit, když začnu používat například servery OpenDNS.
Z Čech:
www.google.com. IN CNAME google.navigation.opendns.com.
google.navigation.opendns.com. IN A 208.69.34.230
google.navigation.opendns.com. IN A 208.69.34.231
Z Kalifornie:
www.google.com. IN CNAME google.navigation.opendns.com.
google.navigation.opendns.com. IN A 208.67.219.230
google.navigation.opendns.com. IN A 208.67.219.231
Přesměrováním na vlastní server OpenDNS řeší problém, který představuje neschopnost předat informaci o lokaci DNS klienta autoritativnímu serveru, k přesměrování dochází teprve na úrovni HTTP protokolu. Mimochodem všimněte si, jak OpenDNS bez zeptání vstupuje do vašeho DNS provozu. O důvod více, proč používat DNSSEC a nepoužívat OpenDNS.
Google se svou službou Google Public DNS řeší stejný problém. Sám pro sebe by tento protokol nepotřeboval, protože informaci o klientovi má, nicméně dalším třetím stranám ji není schopný předat.
Návrh, o kterém se aktuálně diskutuje v pracovní skupině DNSEXT, tento problém řeší přidáním volitelné (EDNS0 option) informace o klientské IP adrese, jak v DNS dotazu, tak v DNS odpovědi. Bez hlubšího zamyšlení se může tento nápad jevit jako dobrý. Nicméně pokud se zamyslíme nad dalšími souvislostmi, tak objevíme několik důvodů, proč by tento návrh neměl projít.
Důvod první: Myslím si, že změny důležitých protokolů jako je DNS, by neměly probíhat kvůli zájmům malé skupiny uživatelů tohoto protokolu. Celý návrh je šitý na míru několika málo poskytovatelům veřejných DNS resolverů, které se ptají autoritativních DNS serverů, které používají (dle některých špinavé) triky pro distribuci různého obsahu. Vnímám tento návrh jako nekoncepční, protože se snaží dolepit do DNS protokolu funkci, na kterou nebyl tento protokol postaven.
Důvod druhý: Lokalizace obsahu dle IP adresy není příliš spolehlivá. Pravděpodobně funguje ve většině případů, ale například nerozumím tomu, proč mě stránka google.com tvrdošíjně přesměrovává na www.google.cz a mluví na mne česky i přesto, že mám v nastavení prohlížeče nastaveno, že chci zobrazovat stránky v jazyce anglickém. Při cestě do zahraničí mají některé stránky (nejen google.com) tendenci na mne mluvit jazykem země, ve které se aktuálně nacházím. A mnohdy bývá problematické z této lokalizační pasti uniknout a dostat se alespoň na anglickou verzi stránek.
Důvod třetí: Celý návrh je postavený jako opt-out. Pokud si klient nepřeje, aby resolver předával informaci o jeho IP adrese, může stejnou cestou předat speciální IP adresu 0.0.0.0/0, kterou by měl resolver ctít a předat ji v této formě dále. Bohužel to ovšem znamená, že pokud nechcete, aby se autoritativní server dozvěděl vaši IP adresu, musíte mít podporu pro tuto volbu implementovanou ve vašem operačním systému. Osobně tento důvod vnímám jako nejzávažnější, protože mění stávající stav a nutí všechny uživatele k aktualizaci, která ani nemusí být dostupná.
Důvod čtvrtý: Kolegyně Zuzana v předchozím příspěvku o Dni ochrany osobních údajů psala o tom, jak se soukromý prostor postupně mění v prostor veřejný. Tento návrh ubírá další kousíček soukromí, tedy předává informaci, kterou v tuto chvíli měl pouze resolver dalším třetím stranám (provozovatelům autoritativních DNS). Navíc o tom, zda-li dochází k tomuto předávání vaší IP adresy, se nemáte nikterak šanci dozvědět, alespoň současná verze návrhu žádné takové rozšíření neobsahuje.
Jak to bude vypadat dále? Pracovní skupiny v IETF pracují na principu konsenzu. Pokud už se musí hlasovat, tak se hlasuje hučením. Google je sice silný hráč, ale do pracovní skupiny IETF se může zapojit kdokoli a každý hlas má stejnou váhu. Ze stávající diskuze vyplývá, že návrh má více odpůrců než zastánců, a domnívám se tedy, že minimálně v této podobě schválen nebude.
Ondřej Surý
28. leden – Den ochrany osobních údajů
Již čtvrtý rok je 28. leden z iniciativy Rady Evropy Dnem ochrany osobních údajů. A není jím náhodou – právě 28. ledna 1981 byla ve Štrasburku přijata Úmluva č. 108 o ochraně osob se zřetelem na automatizované zpracování osobních dat. Česká republika ji podepsala v r. 2000, v platnost pak vstoupila o rok později. Připomeňme, že účelem této Úmluvy je zaručit každé fyzické osobě na území každé smluvní strany bez ohledu na národnost a místo pobytu úctu k jejím právům a základním svobodám, zejména k jejímu právu na soukromý život.
Asi není třeba čtenářům tohoto blogu připomínat existenci zákona na ochranu osobních údajů a práci Úřadu pro ochranu osobních údajů. Co bychom si však dnes a denně připomínat měli, je prolínání informačních technologií do našeho soukromí.
Ráno vyjdete z domu a než dorazíte do práce, uvidí vás oko kamer na křižovatce či v metru. Při nákupu snídaně si vás v obchodě prohlédne kamera a při placení u pokladny nastane hotová smršť – zaplatíte vaší platební kartou a předložíte i věrnostní kartičku, na kterou se vám načítají body na slevu. Obchodník ví, co si u něj často nakupujete a banka ví kde. Pro diskusi na mnoha zpravodajských serverech je třeba ověřit vaši identitu. Taktéž vás zná několik internetových obchodů, kde před svátky na poslední chvíli nakupujete dárky. E-shop ví, co se vám líbí, a tak vám, s vaším laskavým souhlasem (protože jste „neodfajfkoval“ by default zadaný souhlas se zasíláním obchodních sdělení) ochotně posílá novinky. Je tak pohodlné kupovat si předplatní kupon na MHD přes internet a nabít jím OpenCard, kterou můžete použít i jako průkaz do knihovny…
Těchto „povinných“ sdílení osobních údajů je málo, a proto máme ještě profil na Facebooku, u něhož bohužel málokdo věnuje dostatečnou pozornost tomu, kdo se na informace v něm uvedené může podívat. Víte, kdo všechno jsou přátelé vašich přátel? Prostřednictvím Google Street View si můžete prohlédnout, jak vypadá místo, kam jedete na schůzku – ale chcete, aby se mohl každý podívat na to, jak vypadá váš dům a co jste zrovna dělal na zahradě, když googlí auto jelo kolem? Nedejbože, když jste zrovna v tu chvíli vyprovázeli návštěvu, která tam jaksi neměla být ;).
Víte, kdo všechno vůbec má vaše údaje a jak je zpracovává? Jak je zajištěna jejich bezpečnost? Poskytuje je dalším osobám? Že určitě ne? Četli jste podmínky souhlasu s poskytnutím osobních údajů, když jste jej podepisovali?
Internet nám spoustu věcí dává a usnadňuje, ale zároveň do našeho života pouští i černé pasažéry; neznáme je a oni o nás přesto vědí a vědí toho dost. Vypustíte-li jednou vaše soukromí do světa, velmi těžko už ho pak budete vměstnávat zpět, jako pomyslného džina do lahve. Většímu přehledu o tom, jaké údaje s kým sdílíte, již brzy napomůže spuštění služby OpenID, které CZ.NIC plánuje na říjen tohoto roku. Úvodní dokument týkající se tohoto projektu jste mohli do konce loňského roku komentovat také na tomto blogu.
Zuzana Durajová
Kořenová zóna na serveru L-Root byla podepsána
Před časem jsem psal o plánu na podepsání kořenové zóny. První krok k podepsání kořenové zóny byl právě (asi před hodinou) učiněn a server L.Root-Server.Net začal jako první vracet podepsanou (ale nevalidovatelnou) kořenovou zónu. Takže velký potlesk pro kolegy pracující pro ICANN, a na výsledek jejich práce se můžete podívat sami:
; <<>> DiG 9.6.1-P2 <<>> +norecurse +multi IN DNSKEY . @l.root-servers.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 39000
;; flags: qr aa; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;. IN DNSKEY
;; ANSWER SECTION:
. 86400 IN DNSKEY 256 3 8 (
AwEAAa1Lh++++++++++++++++THIS/IS/AN/INVALID/
KEY/AND/SHOULD/NOT/BE/USED/CONTACT/ROOTSIGN/
AT/ICANN/DOT/ORG/FOR/MORE/INFORMATION+++++++
+++++++++++++++++++++++++++++++++++++++++++8
) ; key id = 23763
. 86400 IN DNSKEY 257 3 8 (
AwEAAawBe++++++++++++++++THIS/IS/AN/INVALID/
KEY/AND/SHOULD/NOT/BE/USED/CONTACT/ROOTSIGN/
AT/ICANN/DOT/ORG/FOR/MORE/INFORMATION+++++++
++++++++++++++++++++++++++++++++++++++++++++
++++++++++++++++++++++++++++++++++++++++++++
++++++++++++++++++++++++++++++++++++++++++++
++++++++++++++++++++++++++++++++++++++++++++
++++++++++++++++++++++++++++++++++++++8=
) ; key id = 19324;; Query time: 142 msec ;; SERVER: 2001:500:3::42#53(2001:500:3::42) ;; WHEN: Wed Jan 27 21:07:41 2010 ;; MSG SIZE rcvd: 439
Více informací o plánu nasazení na jednotlivé nameservery obsluhující kořenovou zónu najdete na speciálních stránkách Root DNSSEC.
A na závěr ještě jeden pěkný obrázek:
Ondřej Surý
DotIDN zase o kus blíže
Ve čtvrtek 21. ledna 2010 oznámil ICANN, že čtyři nové IDN domény nejvyšší úrovně se přiblížily spuštění. Prošly totiž tzv. String Evaluation nebo-li souborem technických a lingvistických kontrol. V praxi to znamená, že těmto novým doménám už téměř nic nestojí v cestě a velmi brzy dojde k jejich spuštění. Jde o domény tří zemí, které používají arabské písmo – Egypt, Saudská Arábie a Spojené Arabské Emiráty. Čtvrtou zemí je Rusko, s azbukovou doménou .рф, což je ekvivalent našeho .rf, zkratka od názvu Ruská Federace. Jistě si možná říkáte, proč Rusové nezvolili doménu odvíjející se od zkráceného tvaru, jako mají současnou .ru (Russia), nebo lépe od Rossija – Россия.
Ale v tom se právě ukazuje jedno z úskalí IDN. Problém je v tom, že v azbuce .ро (čteno ro) vypadá úplně stejně jako nápis v latince (mimochodem, konkrétně tato doména v latince nikomu přidělená není). Proto Rusové zvolili ono krásně vypadající a nezaměnitelné písmenko ф.
Arabsky píšící země měly o poznání jednodušší situaci, u nich záměna s latinkou nehrozila. Zde mě trochu překvapilo, že nezvolily krátkou zkratku, ale pouze zkrácené názvy svých zemí. Nejsem si jistý, zda-li bych místo dvou písmen chtěl do URL psát něco takového jako si zvolili Saudové – السعودية.
Každopádně první čtyři žádosti ze 16 jsou na dobré cestě, brzy tedy uvidíme, jak se tyto domény v příslušných státech ujmou.
Ondřej Filip
Další evropská doména podepsána
Evropská mapa pokrytí DNSSEC se začíná pomalu zaplňovat. První letošní podepsání národní domény hlásí pro nás trochu vzdálenější země, Portugalsko. Poměrně logicky rovnou využili novější standard NSEC3, který zabraňuje vypsání zóny tzv. zonewalkingu. Více informací můžete najít na adrese http://www.dnssec.pt. V této souvislosti si musím trochu rýpnout do Portugalských sousedů. V době českého předsednictví EU došlo k podpisu domény eu2009.cz. Další předsednickou zemí bylo Švédsko a to sice zvolilo jako hlavní doménu se2009.eu bez DNSSEC, ale zároveň nabídli i eu2009.se. Tato švédská doména byla nejen chráněna pomocí DNSSEC, ale web na ní umístěný byl do konce přístupný do IPv6. No a se začátkem roku přešlo Evropské předsednictví na Španělsko a Španělé se vrátili zpět k tradici národních domén a tedy využili eu2010.es. Bohužel, ale nenavázali na tradici podepisování domén pomocí DNSSEC, protože registr .es ještě DNSSEC na rozdíl od svého menšího souseda nezavedl. Trochu škoda. Ale předsednictví trvá půl roku, za ten čas se dá ještě mnohé změnit…
Ondřej Filip