Krátce po té, co byly zprovozněny první tři dotIDN domény, následuje i čtvrtá. A tentokrát jde o zástupce slovanského jazyka psaného latinkou. Jenom připomínám, že Rusové museli zvolit doménu .рф, jež v latinkovém přepisu znameńá .rf. Důvodem je jedno z úskalí IDN. Logická zkratka slova Rossija – Россия, nebo pouhý přepis současné .ru totiž vypadají stejně jako latinkové domény a to by jistě mátlo. Proto ono krásné písmenko F.
Některé domény jsou už funkční, podívejte se třeba na web nejvyššího představitele http://президент.рф.
Андрей Филипп
Výpadek v .de
Dnes byl cca od 13.30 do 14.50 hodin zaznamenán výpadek v německé TLD doméně .DE. Problematické se ukázaly pouze některé domény – fungovaly pouze ty od písmene A po písmeno F, všechny ostatní se jevily jako neexistující (upřesnění: problém byl někde mezi doménami facebook.de, která fungovala, a ford.de, která nefungovala). DENIC problém dočasně vyřešil publikováním zóny z dnešních 11 hodin, výpadek správce registru dále analyzuje. Budeme kolegům v Německu držet palce, aby vzniklý výpadek rychle vyřešili. Jak se dozvíme více, budeme vás informovat.
Aktualizace z 13. května 2010: DENIC upřesnil čas výpadku. Jmenné servery pro doménu .DE začaly od 12.30 dopoledne přibližně do 14.45 vracet pro zatím blíže neurčený počet doménových jmen odpověď o neexistenci doménového jména (NXDOMAIN). Následně byly chybné jmenné servery buď vypojeny z provozu nebo na nich byl publikován předchozí korektní zónový soubor. Normální chod jmenných serverů byl obnoven v 16.00 hodin.
Čas pro negativní cache je v doméně .DE nastavený na 7 200 sekund, což mohlo způsobit nedostupnost postižených domén přibližně až do 16.45.
Aktualizace z 17. května 2010: DENIC v pátek 14.5.2010 vydal tiskové prohlášení ohledně výpadku doménový jmen v doméně .de. Na části infrastruktury jmenných serverů selhalo finální kopírování zónového souboru a ten se nezkopíroval celý. Bohužel zároveň selhala i kontrola, která měla hlídat, zda-li toto kopírování proběhlo v pořádku. Rád bych na tomto místě také ocenil kolegy z DENICu za velmi otevřený přístup v komunikaci toho výpadku.
Ondřej Surý
P.S.: Díky petr_p za připomínku – chybku jsem opravil.
Už méně než rok!
Přesně v den výročí konce druhé světové války došlo i v Internetu k poměrně zajímavé události. Poprvé ukázalo počítadlo konce volných IPv4 adres méně než jeden rok. V době psaní tohoto příspěvku (9. května 2010) ukazovalo přesně na svátek práce roku 2011. Pro úplnost podotýkám, že jde o volné IPv4 bloky nejvýše postaveného registru organizace IANA a po tomto datu budou ještě několik měsíců adresy u regionálních registrů (RIR) a pak i u jednotlivých lokálních registrů (LIR) neboli jednotlivých poskytovatelů Internetu. Jak k tomuto posunu došlo?
8. května 2010 přidělila IANA dva velké bloky 31.0.0.0/8 a 176.0.0.0/8, což je zhruba 34 miliónů IP adres, našemu Evropskému registru adres RIPE NCC. S těmito adresami se tedy v Evropě brzy setkáte. Jistě je možné namítnout, že přesun IP adres mezi IANA a RIRy je trochu virtuální záležitostí a mnohem podstatnější bude, kdy dojdou adresy právě v regionálních registrech, protože až pak nebudou moci alokovat IP čísla pro koncové držitele jejich podřízené LIRy.
Z tohoto pohledu jsou tedy zajímavé jiné události z prvního květnového týdne. Byly přiděleny dva bloky větší než jeden milión IP adres. První z nich je z regionu Asie-Pacific a směřoval ke společnosti CHTD, Chunghwa Telecom Co. na Taiwan. Šlo o mírně přes milión adres (přesně 2^20, 1.160.0.0/12). V této části planety nejsou větší alokace příliš překvapivé. O to zajímavější je úplně největší alokace prvního květnového týdne, při které šlo o cca dva milióny adres (2^21, 197.0.0.0/11). Tento blok byl přidělen Afrinicem společnosti Agence Tunisienne Internet. Vzhledem k tomu, že počet obyvatel Tuniska je zhruba srovnatelný s počtem obyvatel České republiky, jde o poměrně velkou alokaci. V Africe došlo k takto veliké alokaci zatím pouze jednou. V roce 2007 bylo přiděleno také cca dva milióny IP adres (41.0.0.0/11) společnosti Vodafone v Jihoafrické republice. A pro srovnání dle záznamů RIPE NCC došlo k největší alokaci u nás 17. října 2006. Tento den bylo alokováno cca půl miliónů (2^19 = /13) adres společnosti, která se tehdy jmenovala Český Telecom a.s.
Co říct na závěr: IPv4 dochází. Dochází rychle. Připravujte se na IPv6! A třeba vás přesvedčí následujcí agitační video.
Ondřej Filip
První tři dotIDN domény živé
Dnešní den je pro kořenovou zónu velice významný. Nejenom že došlo k dokončení falešného podepisování zóny, ale zároveň byly přidány tři IDN domény nejvyšší úrovně. Shodou okolností jsou všechny tři arabské, jde o Egypt, Saudskou Arábii a Spojené Arabské Emiráty. Zvláštní je, že do zóny zatím nebyla zařazena doména Ruské Federace. Byla totiž původně ve stejné várce jako tyto tři. Každopádně dnešním dnem končí definitivně výlučná vláda latinky v doménovém systému! Nyní už například Egypťan bude moci napsat adresu svých webových stránek bez toho, aby musel přepínat klávesnici na latinku. Zkuste třeba kliknou na následující odkaz – http://وزارة-الأتصالات.مصر/
Ondřej Filip
Tak jsme se dočkali! Podepsáno jest.
Na tomto blogu vás pravidelně informujeme o postupu podpisu kořenové zóny (Už jen jeden!, Více než polovina, první, a úvod). Dnes došlo k podepsání posledního kořenového serveru: J.root-servers.net od dnešního dne nese kořenovou zónu podepsanou pomocí DNSSECu.
Kořenová zóna je stále podepsána klíčem a podpisy, které nelze validovat (tzv. DURZ). Ale i tak je podpis posledním krůčkem potřebným pro finální podepsání kořenové zóny validním klíčem, které má proběhnout 1. 7. 2010. Postupné nasazení DURZ – podepsané kořenové zóny na jednotlivé nameservery, bylo zapotřebí pro ověření, že zvětšení DNS zpráv nezpůsobí žádné velké operační problémy. Až na lehké zvýšení TCP provozu na kořenové nameservery po podepsání dvanácti nameserverů ze třinácti to zatím nevypadá, že by nějaké problémy měly nastat. Ale to ukáží následující hodiny.
Takže velké díky týmu, který pracoval na podpisu kořenové zóny a další velký úkol na ně čeká na začátku prázdnin.
Ondřej Surý
.jo? .الاردن!
Ačkoliv doménový svět spíše sleduje proces postupného podepisování kořenové zóny, nezastavil se ani tzv. DotIDN Fast Track, nebo-li vznik omezeného počtu nelatinkových národních domén nejvyšší úrovně. Nedávno, byla schválena várka osmi nových domén nejvyšší úrovně a proces postupně pokračuje dál, minulou středu ICANN ohlásil, že další doména má zelenou pro svůj vznik. V pořadí třináctou zemí s národní dotIDN doménou se stává Jordánsko. Tato země zatím používala pro nás hezky znějící latinkovou doménu .jo a brzy začne používat pro nás naopak asi obtížně použitelnou .الاردن. ICANN zároveň oznámil, že celkový počet žádostí je 21, což znamená, že existuje ještě 8 neschválených žádostí, na kterých se pracuje. Tipnete si, které země to jsou?
Druhou zajímavou aktualitou z oblasti dotIDN napsal nedávno Kim Davies z IANA. Představenstvo ICANN je schválilo delegaci prvních čtyř dotIDN domén. To znamená, že IANA brzy přidá domény těchto čtyř zemí (Ruska, Saudské Arábie, Egypta a Spojených Arabských Emirátů) do kořenové zóny a tedy jejich uvedení v život je jen otázka hodin.
Ondřej Filip
Jaký DNS server používáte pro DNSSEC?
V souvislosti s podpisem kořenové zóny, který bude používat novější algoritmy klíče (RSA-SHA256), o kterém jsem referoval já (zde) i kolega Ondřej Filip (tady a tady), a také především chybnou nebo neexistující podporou záznamů NSEC3 v nižších verzích serveru Bind, bychom se vás rádi zeptali, jaký DNS server a jakou verzi DNS serveru používáte pro poskytování DNSSECu na straně autoritativního serveru, a jakou verzi DNS serveru používáte pro validaci DNSSEC záznamů.
V anketě můžete zatrhnout i více voleb.
Jaký DNS server používáte pro DNSSEC?
- Bind 9.6.x (33%, 23 Votes)
- Bind 9.5.x (26%, 18 Votes)
- Bind 9.7.x (13%, 9 Votes)
- Unbound 1.4.x (12%, 8 Votes)
- Bind 9.3.x (12%, 8 Votes)
- Bind 9.4.x (9%, 6 Votes)
- NSD 3.2.x (9%, 6 Votes)
- Microsoft DNS (7%, 5 Votes)
- Unbound 1.2.x (1%, 1 Votes)
- NSD 3.0.x (1%, 1 Votes)
- Jiný (prosíme napište do komentářů jaký) (0%, 0 Votes)
- CNS (0%, 0 Votes)
- ANS (0%, 0 Votes)
- NSD 3.1.x (0%, 0 Votes)
- Unbound 1.3.x (0%, 0 Votes)
- Unbound 1.1.x (0%, 0 Votes)
- Unbound 1.0.x (0%, 0 Votes)
Total Voters: 81
Nahrávání ...Nějak se to zaseklo
Více než před dvěma měsíci jsem psal krátkou glosu o tom, že poměr volných IP adres je už menší než 10 %. Když jsem se dnes podíval na zmiňované počítadlo, byl jsem překvapen. Mezi lidmi, kteří se o ubývání IP čísel zabývají, se už poměrně dlouho traduje takový napůl vtip, že každý rok se dozvíme, že IP čísla dojdou za dva roky. Právě díky dobré práci správců IP čísel při navracení již použitých bloků, díky novým technologiím jako NAT, díky lepším pravidlům na přidělování se skutečně poměrně dlouho dařilo datum konce IPv4 posouvat do budoucnosti. Jenže tyto dva měsíce se datum neposunulo. Pořád je to září 2011 a počitadlo neukazuje 10 % ale 7 %. Pohledem na grafy se mi nezdá, že by alokace zrychlovaly. ISP tedy ještě nepanikaří a nesnaží se „urvat“ co nejvíce IPv4 čísel pro sebe. Ale asi se už nedaří získávat žádné starší bloky. Docela se těším na prezentace o tomto problému na příštím RIPE meetingu, který CZ.NIC hostí v Praze.
Jinými slovy, konec se blíží rychleji, než jsme předpokládali. V situaci, kdy je poměrně málokdo připraven na IPv6 to není příliš dobrá zpráva. Znáte nějaké příklady ISP nebo poskytovatelů služeb, kteří IPv6 podporují? Jste vy sami připraveni na IPv6? Dejte nám vědět k komentářích.
Ondřej Filip
Už jen jeden!
Nedávno jsem referoval, že více než polovina kořenových serverů poskytuje onu pseudopodepsanou zónu. Včera došlo k další významné změně. Už jsou „podepsány“ všechny kořenové servery s výjimkou posledního, označovaného písmenem J. Tento stav bude pro rozhodnutí o skutečném podpisu kořenové zóny klíčovým. Systém DNS je navržen velice robustně a pro jeho správnou funkci stačí dostupnost alespoň jednoho kořenového serveru. Pokud tedy nějaký systém obsahuje špatnou implementaci DNS resolveru, která zahazuje DNSSEC podepsané odpovědi, bude pro tento systém těch 12 podepsaných kořenových serverů jakoby nedostupných. Takže jako jediný dostupný se bude jevit právě server J a takové systémy budou koncentrovat své dotazy právě na něj. Pokud tedy výrazně stoupne zatížení tohoto serveru, dá se předpokládat, že existuje větší množství klientů, které by podpis všech serverů „odstřihl“ od Internetu. Možná proto si správci kořenových serverů na podpis toho posledního třináctého nechávají čas a plánují jej na 5. května. Mají pár dnů na to, zanalyzovat, zda-li se nějaký podobný jev nevyskytuje.
Každopádně vlak jménem DNSSEC@ROOT postupuje dle grafikonu. Další zastávka bude na začátku května.
Ondřej Filip
Nový projekt pro pedagogy s akreditací MŠMT ČR
Mezi naše osvětové aktivity spadají také projekty, v nichž se věnujeme podpoře a osvětě v oblasti internetových technologií (třeba DNSSEC), domén (Dobrá doména) a internetu obecně. Do této spupiny patří také odborná vystoupení na různých konferencích (vlastních nebo jiných) nebo prezentace na gymnáziích a středních, vyšších a vysokých odborných školách. S těmi jsme začali už před lety a stále v nich pokračujeme. V naší nabídce máme jak přednášku vyloženě technickou tak popularizační (především ve vztahu k bezpečnosti internetu).
Skupinu takovýchto vzdělávacích aktivit jsme rozšířili v loňském roce a to o jeden speciální projekt, kterým je celodenní kurz pro středoškolské učitele. První dvě taková setkání pro pedagogy z celé České republiky jsme uspořádali loni v létě a protože ohlasy byly pozitivní, rozhodli jsme se pokračovat. Na konci loňského roku jsme proto ve spolupráci s Jednotou školských informatiků zažádali o akreditaci pro tento kurz (uděluje Ministerstvo školství mládeže a tělovýchovy České republiky), kterou jsme dostali 23. března 2010.
Zmíněná akreditace, se vztahuje na jednodenní školení s názvem „Internetové technologie pro pedagogické pracovníky“, v jejímž programu jsou bloky o tom, jak internet vlastně funguje, o IPv6, IDN, správě internetu, DNSSEC nebo ENUM.
Udělení akreditace je pro nás určitým vyznamenáním a hnacím motorem v realizaci dalších školení pro pedagogy. V tuto chvíli máme v plánu uspořádat kurzy o ne tolik známých stránkách internetu opět v létě tohoto roku a společně s Jednotou školských informatiků spolupracovat na jejich dalším využití. V nabídce projektů pro školy a na stránkách Akademie CZ.NIC se tak v nejbližší době objeví více informací o kurzech, během nichž si budou moci návštěvníci poslechnout o internetu a jeho technologiích to, co se jinde dozvědět nemusí nebo možná ani nemohou.
Vilém Sládek