Jak už před časem referoval kolega Surý, v současnosti probíhá proces, jehož vyústěním bude plný platný podpis kořenové zóny. Tato událost zastřeší všechny současné aktivity týkající se podepisování domén nejvyšší úrovně a hlavně zjednoduší život správcům rekurzivních DNS serverů; pak už totiž bude stačit pouze sledovat změny klíčů jedné (té nejvyšší) zóny.
Minulý týden ve středu došlo k překonání dalšího virtuálního milníku. K podpisu totiž nedochází naráz, ale jednotlivé kořenové zóny se „podepisují“ neověřitelnými „falešnými“ klíči postupně. A právě 24. března byly tyto klíče publikovány dalšími třemi servery. Celkový počet „podepsaných“ serverů se v tuto chvíli zastavil na čísle sedm, což je už více než 50 % z celkových 13. Další várka zavádění těchto podpisů se očekává 14. dubna, kdy bude podepsáno dalších pět serverů. Poslední server bude přidán 5. května.
Správný a validní podpis by měl začít platit od prvního prázdninového dne – 1. července. Zatím tedy proces běží zcela podle plánu a nemá žádné zpoždění, což je velice dobrá zpráva pro bezpečnost systému DNS.
Ondřej Filip
Další dotIDN domény na světě
Celkem nedávno jsem referoval o schválení čtyř prvních zádostí o nelatinkové domény nejvyšší úrovně. Tím se proces přirozeně nezastavil, zájem projevily i další země. Ve dnech 22. a 23. března ICANN schválil další várku žádosti. Jde o Tunisko, Thajsko, Taiwan, Sri Lanka, Katar, dále stát-nestát Palestina, Hong Kong a Čína. Narozdíl od první a velice bezproblémové skupiny, dvě z těchto žádostí obsahuji určitou zvláštnost. Ta souvisí s tím, že Čína i Taiwan zažádaly vlastně o domény dvě; jednu napsanou v tradičním čínském písmu a druhou ve zjednodušeném. Proto tyto žádosti čeká další kolo schvalování. Tito správci budou muset prokázat, že provoz těchto domén bude synchronizován, že jejich provozem nevzniknou žádné duality a tedy, že nedojde k matení uživatelů. Tento proces ještě není zcela vyjasněn, takže uvidíme, jak to celé nakonec dopadne. Návrh jak v těchto případech postupovat byl zveřejněn zde.
Ondřej Filip
Pomožte nám s překladem knihy Dive into Python 3
Edice CZ.NIC se brzy rozroste o další knihu. Po publikaci Pavla Satrapy (IPv6) a knize Scotta Chacona (Pro Git) přibude do ediční řady překlad knihy Dive into Python 3. Na něm se už v tuto chvíli pracuje a protože víme, že překlady odborných publikací nejsou vždycky díky nejasné české terminologii dokonalé, rádi bychom se obrátili na všechny, kteří se v této problematice pohybují a orientují, aby nám pomohli s překlady některých anglických termínů.
Naše návrhy najdete v glosáři. Komentovat je můžete pod tímto příspěvkem do 6. dubna. Vaše připomínky potom předáme překladateli, který s nimi bude dále pracovat.
Vilém Sládek
DNS před zhroucením? Ani náhodou!
Výkonný ředitel ICANN Rod Beckstrom prohlásil včera na setkání GAC (poradního výboru vlád při ICANN), že: „Na systém DNS je veden útok a celý systém je nyní křehčí a zranitelnější než kdykoliv předtím a může se kdykoliv doslova zhroutit.“ Pokud by se něco takového stalo, mělo by to samozřejmě obrovské a dalekosáhlé důsledky, protože na fungování Internetu dnes závisí téměř vše. Dle jeho slov dospěl k tomuto tvrzení po konzultaci s více než 20ti řediteli největších doménových registrů a registrátorů, kteří jsou extrémně znepokojeni stejně jako on. Více v plném audio záznamu komentáře.
Zajímavý je už fakt, že co se týká národních domén (tzv. ccTLD), tak někteří ředitelé největších registrů, kteří byli na místě přítomni, o žádných takových konzultacích nevěděli. Tak jako tak prakticky všichni zástupci registrů národních domén toto tvrzení považovali za „nemístné“ a přehnané. Samozřejmě i DNS se stejně jako spousta dalších internetových služeb potýká s bezpečnostními problémy. Nicméně rozhodně žádný z nich neohrožuje funkčnost a stabilitu celého systému. Navíc zrovna v této oblasti internetová komunita pracuje velmi dobře – je si vědoma zásadní důležitosti systému DNS (proto pro něj buduje velmi robustní infrastrukturu), nalezené problémy řeší, vzdělává koncové uživatele atd. K tomuto se samozřejmě snažíme přispět i my (CZ.NIC) například tím, že se podílíme na provozu F a L kořenových serverů v České republice, že jsme jako jedni z prvních zavedli DNSSEC (máme nejvíce zabezpečených domén na světě) nebo že provozujeme bezpečnostní oddělení, které řeší např. zneužívání domén k šíření malware či phishingu.
Osobně si myslím, že představitel tak významné instituce by neměl vydávat takto silná prohlášení bez širší konzultace s institucemi, které se o provoz a stabilitu starají např. správce národních domén, operátory root serverů apod. Ostatně třeba organizace správců národních domén (ccNSO) připravuje vlastní vyjádření k těmto jeho výrokům.
Ondřej Filip
Další evropská doména podepsána… I když?
K podpoře technologie DNSSEC se tentokráte přihlásil registr, který je ve světě národních domén skutečným gigantem. Je to společnost Nominet, správce domény .uk. Tato událost byla poměrně očekávaná, neboť Nominet technologii DNSSEC dlouhodobě podporuje. Poslední ukázkou této podpory byl vývoj software OpenDNSSEC.
Podobně jako u kořenové zóny, i Nominet začal s implementací pozvolna. Minulý týden byla doména podepsána nevalidovatelnými klíči, toto pondělí potom došlo k podpisu už těmi správnými. Nominet totiž celý minulý týden intenzivně testoval, zda-li zvětšení DNS odpovědí kvůli přídavným bezpečnostním informacím nezpůsobí nějaký problém.
Můžeme si tedy vybarvit další bílé místo na mapě? Zatím ne tak docela. Podepsána byla pouze zóna .uk. Ve Spojeném království ale používají strukturovaný model, takže všechny domény koncových uživatelů jsou v poddoménách, tedy hlavně v .co.uk. A právě u poddomén dosud podpis chybí.
Nominet podpis zóny označuje spíše za test a zatím nedoporučuje spustit proti této zóně validaci. Dokonce oznámili, že plánují klíče ještě vyměnit a plný provoz hodlají deklarovat až s podpisem kořenové zóny. Tedy gratuluji k prvnímu rozvážnému kroku a doufám, že více uvidíme v červnu.
Ondřej Filip
Aleš Mokrý pánem světa
Jak Aleš sliboval při popisování Jak registrovat doménu, opustil „nuzný cirkus a stává se pánem světa“… tedy alespoň částečně. Kampaň Dobrá doména, jejímž je hlavním hrdinou, totiž získala v soutěži Louskáček o nejlepší a nejkreativnější českou reklamu stříbného Louskáčka za rok 2009 v kategorii on-line kampaň.
Jinak Aleš nás samozřejmě neopouští, i když se teď věnuje čtení, protože březen je měsíc čtenářů.
PT
DNSSEC chrání nejvíce domén na světě
Společnost ACTIVE 24 včera oznámila, že všechny domény .CZ, které jsou u ní zaregistrovány a jsou zároveň provozovány na jejich nameserverech, chrání od tohoto týdne technologie DNSSEC. V tiskové zprávě najdete podrobnosti k tomuto kroku, nepřečtete si ale už o některých důsledcích spojených s touto aktivitou.
Díky tomu, co dělá registrátor ACTIVE 24 a ještě před ním udělal WEB4U pro své zákazníky, bude mít český registr nejvíce domén na světě chráněných technologií DNSSEC (více než 94 000 domén). Daleko za námi tak budou i státy, které se k DNSSECu přihlásily dříve než my. Myslím v tuto chvíli především na Švédsko, jejichž správci domén zavedli DNSSEC jako úplně první a jsou společně s námi v rozšiřování DNSSEC nejaktivnější.
Druhá informace se týká další ze zajímavých a důležitých domén podepsaných DNSSEC. ACTIVE 24 provozuje na svých DNS serverech vice než 78 000 domén. Mezi nimi se najda řada těch, které si pozornost a ochranu určitě zaslouží. Za všechny zmíním jednu a tou je denik.cz. Určitě mi dáte za pravdu, že tato doména významná je. Vydavatelství Vltava-Labe-Press má pod palcem síť regionálních titulů po celé České republice. Zabezpečeny DNSSEC tak jsou například internetové domény Strakonického, Jabloneckého, Sokolovského, Valašského a dalších více než 60 deníku a týdeníků.
Vilém Sládek
O České doménové centrále podruhé
Společnosti Česká doménová centrála a jejím aktivitám se na stránkách tohoto blogu věnoval před časem kolega Martin Peterka. Protože je jeho text ale stále aktuální, možné ještě aktuálnější než byl prve, vracím se k „problému“ spojenému s podivným obchodováním s doménami ještě jednou.
Jestli jste neklikli na odkaz a text si už nepřečetli, tak je o tom, že je tu jedna společnost jménem Česká doménová centrála, která podniká způsobem, který by si řada z nás asi ani nedokázala představit. Její telefonisté volají do firem a jejich zástupcům namlouvají, že si musí co nejdříve jejich prostřednictvím objednat domény se stejným nebo podobným názvem společnosti s jinou koncovkou než s tou, kterou už mají, jinak to brzy udělá někdo jiný. Ten někdo jiný si na tyto domény právě teď brousí zuby a pokud se zástupce firmy s používanou doménovou koncovkou nerozhodne co nejdříve, stane se s největší pravděpodobností, že ho někdo předběhne, domény zaplatí a majitel domény s už zaregistrovanou koncovkou bude mít najednou problém.
Tady bych skončil a konečně se dostal k tomu, proč o tom píšu teď já. Článek kolegy Peterky jste si mohli poprvé přečíst 5. května, tedy více než devět měsíců zpátky. Jak to už bývá, zanedlouho po jeho vydání se objevily první komentáře a potom další a další; většinou se zkušenostmi s touto společností. Co je ale zajímavé na celé té věci, že počet příspěvků pod textem kolegy Peterky i po těch devíti měsících roste a roste. Co to znamená? Podle všeho je společnost Česká doménová centrála stále aktivní a na lep jí sedají další a další majitelé domén, kteří uvěří tomu, co jim zaměstnanci „obchodníků z doménami“ vnutí.
Věřím, že i díky fóru, popsaným zkušenostem a reportáži České televize, začne dalších komentářů přeci jen ubývat. Že bude stále měně a méně těch, kteří „naletí“ telefonistům a řečem o registraci domén, jejichž cena se oproti té skutečné liší mnohdy až desetinásobně.
Aktualizace, 22. 4. 2013:
O české doménové centrále potřetí, chtělo by se říci. Včera byla v Událostech České televize odvysílána reportáž (čas 17:00) věnovaná „výhodným“ nabídkám domén, opět. Tentokrát telefony nezvoní na stolech majitelů firem, ale na úřadech měst a obcí. Rádi bychom tímto upozornili na aktivity, které nemají se slušným a dobře myšleným chováním nic společného.
Aktualizace, 1. dubna 2015:
Česká televize odvysílala v rámci pořadu Černé ovce reportáž věnující se nabídce registrací domén za přemrštěné ceny. Doporučujeme její zhlédnutí.
Uz méně než 10 %!
Jakkoliv titulek mého příspěvku může spíše evokovat, že budu psát nějaký politický komentář, nebojte se. Celkem nedávno došlo k prolomení další magické hranice ve spotřebě IPv4 adres. V registru organizace IANA je už méně než 10 % volných IPv4 adres z celkového rozsahu, tedy méně než 400 miliónů. Rychlost, jakou volné IPv4 adresy mizí nejlépe ilustruje následující applet.
Byť nevěřím, že IP adresy dojdou v září příštího roku, je evidentní, že staré adresy dochází a kdo se nepřipravuje na IPv6 může být v krátkém čase nepříjemně překvapen. Důvodem, že ubývání IP adres není tak rychlé jak naznačují matematické výpočty, není chyba ve výpočtech, ale částečně úspěšná snaha organizací IANA a regionálních registrů o znovu navracení již dříve alokovaných bloků. Na začátku Internetu se s adresami neuvěřitelně plýtvalo a tak dle IANA databáze má třeba farmaceutická firma Eli Lilly přidělen blok /8, tedy zhruba 17 miliónů adres.
V souvislosti s navracením adres, které původně sloužily k jiným účelům, bych rád uvedl jeden poměrně kuriózní příklad: Vždy, když se nějaký další blok začíná rozdělovat poskytovatelům připojení, probíhá tzv. proces debogonizace. Velmi zjednodušeně jde o to, že se části toho příslušného bloku propagují pomocí protokolu BGP do Internetu a sleduje se, kam propagace projde a kde je tento rozsah filtrován. Zároveň je i možné vysledovat, zda-li na tento rozsah není směrován nějaký provoz, nějaký šum. V rámci tohoto procesu byl propagován i prefix 1.1.1.0/24 a poměrně nepříjemným zjištěním bylo, že „šum“, který na tento rozsah přicházel, okamžitě zahltil jejich 10Mbps port v peeringovém centru AMS-IX. Z analýz toků vyplynulo, že tento šum je zhruba 50Mbps. To bohužel znamená, že tato část rozsahu je pro alokaci nepoužitelná, protože žádný ISP by asi nechtěl, aby do jeho sítě přicházely desítky Mbps zcela neužitečného toku dat.
Je vidět, že IP čísla skutečně dochází, když už je snaha využít i takto speciální bloky. Přesto je služeb dosažitelných po IPv6 jen žalostně málo. Pokud o nějakém dobrém příkladu víte, dejte nám vědět v komentářích.
Ondřej Filip
Užitečné rozšíření DNS nebo cesta špatným směrem?
V poštovní konferenci pracovní skupiny DNSEXT, která se zabývá rozšiřováním protokolu DNS, aktuálně probíhá bouřlivá diskuze nad novým návrhem Client IP information in DNS requests (neboli Informace o klientské IP adrese v DNS dotazech). Tento návrh společně podaly společnosti Google a Neustar. Google před nedávnou dobou spustil svou službu Google Public DNS, a tudíž představuje zástupce provozovatele veřejného resolveru. Neustar stojí na opačném konci, kromě provozu několika TLD, provozují také autoritativní DNS servery, které získali akvizicí firmy UltraDNS. To jen tak na vysvětlenou, co mají tyto dvě firmy společného s DNS.
Tento návrh přidává do DNS zprávy volitelnou položku, která obsahuje IP adresu (resp. adresu sítě) klienta, který položil dotaz rekurzivnímu resolveru. Možná vás teď napadá otázka, k čemu je tato informace autoritativnímu DNS serveru dobrá? Obecně k ničemu. Tento návrh přinese užitek pouze malé skupině provozovatelů DNS serverů – hlavní využití by tento návrh měl při distribuci obsahu (CDN), kdy už v dnešní době dochází na základě IP adresy rekurzivního resolveru k přizpůsobení odpovědi, kterou poskytne autoritativní DNS server. Typickým příkladem je například právě Google.
Pokud se zeptám na adresu www.google.com ze svého pracovního počítače (tedy aktuálně s IP adresou přidělenou CZ.NICu), dostanu tuto odpověď:
www.google.com. IN CNAME www.l.google.com.
www.l.google.com. IN A 74.125.87.105
www.l.google.com. IN A 74.125.87.147
www.l.google.com. IN A 74.125.87.99
www.l.google.com. IN A 74.125.87.104
www.l.google.com. IN A 74.125.87.103
Pokud se zeptám z našeho DNS serveru v Londýnském LINXu, dostanu odpověď úplně jinou:
www.google.com. IN CNAME www.l.google.com.
www.l.google.com. IN CNAME www-tmmdi.l.google.com.
www-tmmdi.l.google.com. IN A 216.239.59.99
www-tmmdi.l.google.com. IN A 216.239.59.103
www-tmmdi.l.google.com. IN A 216.239.59.147
www-tmmdi.l.google.com. IN A 216.239.59.104
Náš DNS uzel v Kaliforni vidí opět jiné IP adresy:
www.google.com. IN CNAME www.l.google.com.
www.l.google.com. IN A 74.125.87.99
www.l.google.com. IN A 74.125.87.103
www.l.google.com. IN A 74.125.87.104
www.l.google.com. IN A 74.125.87.105
www.l.google.com. IN A 74.125.87.147
Těmito DNS triky se dá geograficky rozložit zátěž mezi různé lokality. S příchodem veřejných otevřených rekurzivních resolverů (provozovaných jako služba) ovšem nastává problém. Jak budou vypadat stejné dotazy ze stejných lokalit, když začnu používat například servery OpenDNS.
Z Čech:
www.google.com. IN CNAME google.navigation.opendns.com.
google.navigation.opendns.com. IN A 208.69.34.230
google.navigation.opendns.com. IN A 208.69.34.231
Z Kalifornie:
www.google.com. IN CNAME google.navigation.opendns.com.
google.navigation.opendns.com. IN A 208.67.219.230
google.navigation.opendns.com. IN A 208.67.219.231
Přesměrováním na vlastní server OpenDNS řeší problém, který představuje neschopnost předat informaci o lokaci DNS klienta autoritativnímu serveru, k přesměrování dochází teprve na úrovni HTTP protokolu. Mimochodem všimněte si, jak OpenDNS bez zeptání vstupuje do vašeho DNS provozu. O důvod více, proč používat DNSSEC a nepoužívat OpenDNS.
Google se svou službou Google Public DNS řeší stejný problém. Sám pro sebe by tento protokol nepotřeboval, protože informaci o klientovi má, nicméně dalším třetím stranám ji není schopný předat.
Návrh, o kterém se aktuálně diskutuje v pracovní skupině DNSEXT, tento problém řeší přidáním volitelné (EDNS0 option) informace o klientské IP adrese, jak v DNS dotazu, tak v DNS odpovědi. Bez hlubšího zamyšlení se může tento nápad jevit jako dobrý. Nicméně pokud se zamyslíme nad dalšími souvislostmi, tak objevíme několik důvodů, proč by tento návrh neměl projít.
Důvod první: Myslím si, že změny důležitých protokolů jako je DNS, by neměly probíhat kvůli zájmům malé skupiny uživatelů tohoto protokolu. Celý návrh je šitý na míru několika málo poskytovatelům veřejných DNS resolverů, které se ptají autoritativních DNS serverů, které používají (dle některých špinavé) triky pro distribuci různého obsahu. Vnímám tento návrh jako nekoncepční, protože se snaží dolepit do DNS protokolu funkci, na kterou nebyl tento protokol postaven.
Důvod druhý: Lokalizace obsahu dle IP adresy není příliš spolehlivá. Pravděpodobně funguje ve většině případů, ale například nerozumím tomu, proč mě stránka google.com tvrdošíjně přesměrovává na www.google.cz a mluví na mne česky i přesto, že mám v nastavení prohlížeče nastaveno, že chci zobrazovat stránky v jazyce anglickém. Při cestě do zahraničí mají některé stránky (nejen google.com) tendenci na mne mluvit jazykem země, ve které se aktuálně nacházím. A mnohdy bývá problematické z této lokalizační pasti uniknout a dostat se alespoň na anglickou verzi stránek.
Důvod třetí: Celý návrh je postavený jako opt-out. Pokud si klient nepřeje, aby resolver předával informaci o jeho IP adrese, může stejnou cestou předat speciální IP adresu 0.0.0.0/0, kterou by měl resolver ctít a předat ji v této formě dále. Bohužel to ovšem znamená, že pokud nechcete, aby se autoritativní server dozvěděl vaši IP adresu, musíte mít podporu pro tuto volbu implementovanou ve vašem operačním systému. Osobně tento důvod vnímám jako nejzávažnější, protože mění stávající stav a nutí všechny uživatele k aktualizaci, která ani nemusí být dostupná.
Důvod čtvrtý: Kolegyně Zuzana v předchozím příspěvku o Dni ochrany osobních údajů psala o tom, jak se soukromý prostor postupně mění v prostor veřejný. Tento návrh ubírá další kousíček soukromí, tedy předává informaci, kterou v tuto chvíli měl pouze resolver dalším třetím stranám (provozovatelům autoritativních DNS). Navíc o tom, zda-li dochází k tomuto předávání vaší IP adresy, se nemáte nikterak šanci dozvědět, alespoň současná verze návrhu žádné takové rozšíření neobsahuje.
Jak to bude vypadat dále? Pracovní skupiny v IETF pracují na principu konsenzu. Pokud už se musí hlasovat, tak se hlasuje hučením. Google je sice silný hráč, ale do pracovní skupiny IETF se může zapojit kdokoli a každý hlas má stejnou váhu. Ze stávající diskuze vyplývá, že návrh má více odpůrců než zastánců, a domnívám se tedy, že minimálně v této podobě schválen nebude.
Ondřej Surý