Dnes si dovolím, i když trochu se zpožděním, okomentovat událost z června tohoto roku, o které, co vím, vůbec česká média zabývající se Internetem nereferovala. Budu mluvit o usnesení vlády České republiky číslo 727 z 8. června 2009, k němuž svým dílem přispělo i sdružení CZ.NIC.
Je trochu s podivem, že takto pro český Internet významné usnesení, které bude mít dopad na síťové služby a infrastruktury celé řady státních úřadů, prošlo bez sebemenšího zájmu. Usnesení totiž ukládá všem ministrů a ústředním orgánům státní správy zajistit přístup k internetovým stránkám a veřejně dostupným službám eGovernmentu protokoly IPv4 i IPv6 a to do 31. prosince 2010. Jinými slovy, do konce příštího roku bychom měli mít služby jako portal.gov.cz, www.justice.cz a jim podobné přístupné také pomocí protokolu IPv6.
Musím pochválit naši vládu a především předkladatele – Ministerstvo průmyslu a obchodu, že se rozhodli jít cestou stimulace poptávky. Bohužel se občas objevují hlasy, a byly slyšet i nedávno na Internet Governance Foru, že by vlády a regulátoři měli „povzbudit“ přechod na protokol IPv6 pomocí nějaké nespecifikované regulace nebo že by měli dokonce nějak dotovat či podporovat ISP v přechodu na IPv6. Osobně si myslím, že na nějaké dotace či daňové úlevy prostor není. Pokladnice velkého množství států jsou spíše prázdné a peníze jsou jistě potřeba na řešení mnohem naléhavějších problémů. Stejně tak nevěřím, že nějaké regulace může Internetu prospět. Proto aplauduji této „české“ variantě, která se omezuje pouze na státní správu samou.
Pokud se někdo obává, že nařízení vlády není proveditelné, že na trhu není dostatek ISP, kteří IPv6 podporují, tak bych rád uvedl, že nový systém CZ.NICu a všechny jeho služby jsou dostupné po IPv6 od okamžiku spuštění, tedy už více než dva roky. IPv6 připojení tedy v ČR možné sehnat je, konečně je to vidět i na seznamu sítí, které provozují IPv6 peering v rámci uzlu NIX.CZ
Každopádně by bylo skvělé, kdyby po tomto usnesení následovalo ještě podobné týkající se bezpečnosti DNS; tedy stanovení termínu, kdy by ministerstva a ústřední orgány musely podepsat pomocí protokolu DNSSEC všechny své domény. A ještě více bych uvítal usnesení, které by stanovilo datum, do něhož bude poskytování služeb pomocí IPv4 zastaveno. To by byl jistě ten hlavní impulz pro rozvoj IPv6 v České republice.
Určitě tedy velice vítám tento pionýrský krok a těším se na konec roku 2010.
Ondřej Filip
Malý krok pro ICANN
Organizace ICANN na svém posledním zasedání v korejském Soulu schválila omezené rozšíření IDN národních domén nejvyšší úrovně (ccTLD) takzvaný Fast Track. Nový ředitel ICANNu Rod Beckstrom v této souvislosti parafrázoval výrok Neila Armstronga, když řekl: „Je to malý krok pro ICANN, ale velký skok pro polovinu lidstva, která používá jiné abecedy než latinku.“ A dlužno podotknout, že Rod nebyl sám, kdo byl při závěrečném odsouhlasení změny dojat. Někteří lidé v sále měli v ten okamžik v očích slzy.
Jako velký fanoušek celého Fast Track procesu jsem s napětím čekal, jak se k celé věci postaví média a především ta česká. Bohužel musím říct, že ne všechna zvládla svou práci optimálně. Proto bych se s mírný odstupem času vrátil k pár mýtům, které se v souvislosti s touto kauzou objevují.
Není to potřeba
Hodně často zaznívá, že toto přeci nebylo potřeba, že těch 26 znaků latinky se přeci každý snadno naučí, že to není takový problém. Jenom podotýkám, že těch znaků je maličko více; zkuste se zamyslet, proč znaky jako ‚r‘ a ‚R‘ či ‚a‘ a ‚A‘ označují totéž písmeno. Ale podívejme se na věc z opačné strany. Co kdyby Internet nevymysleli Američané, ale třeba obyvatelé hostitelské země posledního zasedání ICANN – Korejci. Korejská abeceda má podobnou logiku jako latinka nebo třeba azbuka, má srovnatelný počet znaků. V tomto případě bychom URL tedy pravděpodobně psali v korejských znacích, museli bychom se je tedy naučit. Jaký by byl v tu chvíli náš pohled na IDN? Předpokládám, že tlak Evropanů a Američanů na zavedení IDN by byl obrovský a jeho prosazení by znamenalo otevření Internetu pro mnoho obyvatel.
Rozdělení Internetu
Velice častým komentářem je, že došlo k rozdělení Internetu. Je prý problém, že takováto URL nenapíšeme do svých browserů a mailerů. Ano, to je rozhodně pravda. Ale je to pro nás nějaký problém? Především IDN už existovalo na druhé úrovní. Pravě třeba v Korei jsou běžné adresy jako třeba tato – 한글.kr. Tohle už asi z naší běžné klávesnice nezadáte. A mělo by Vám to vadit? Já si myslím, že ne, protože pokud tyto znaky neumíte napsat, pak velice pravděpodobně ani nebudete rozumět obsahu těchto stránek provozovaných na této doméně. Prostě jsou to stránky pro Korejce. Došlo tedy k rozdělení Internetu? To už tehdy, když se rozšířil za hranice USA. Nespornou výhodou pro Korejce je, že pro zadání korejské domény už nebudou muset přepnout na jim cizí anglickou klávesnici pro zadání toho tečka KR.
Rozšíření souvisí s koncem JPA
JPA (Joint Project Agreement) byla smlouva mezi ICANN a americkou vládou. Ta skončila letos na konci září a byla nahrazena poněkud slabším dokumentem nazvaný Affirmation of Commitments. Dlužno podotknout, že třeba z pohledu fungování delegace kořenové zóny se nemění vůbec nic, vláda USA pořád autorizuje všechny změny v této zóně. Každopádně to je ale významná změna vztahů mezi ICANN a vládou USA. Ale rozhodně to nemá žádnou souvislost s Fast Trackem. Tento proces započal už dávno před ukončením JPA a původně se dokonce předpokládalo, že bude odstartován výrazně dříve. Konec konců, díky tomuto zpoždění se mu někdy trochu posměšně říkalo „not-so-slow-track“.
Další omyly
Jistě jste si všimli i dalších podobných zvěstí, které novináři přinesli. Doufám, že pro čtenáře našeho blogu nemusím nijak komentovat, že tato změna nemá nic společného z IDN v .cz a podobně. Pokud jste ještě objevili nějaký mýtus, dejte nám prosím vědět v diskusi.
Ondřej Filip
Švédské „vypnutí“ internetu
Před třemi týdny se našim kolegům ze švédského doménového registru přihodilo to, co bych bez nadsázky nazval noční můrou doménových správců – vystavení poškozeného zónového souboru. Tento soubor je klíčovým prvkem pro fungování systému doménových jmen DNS. Jsou v něm uložené všechny domény druhé úrovně pod doménou „.se“ spolu s odkazy kam směrovat dotazy na tyto domény. Zmiňovaná chyba tak způsobila, že odhadem minimálně na hodinu přestaly být dosažitelné všechny adresy s koncovkou „.se“. Pojďme si postupně projít co se vlastně stalo a zejména jakým způsobem je provoz našeho vlastního registru zabezpečen proti tomu aby se něco podobného přihodilo i nám.
Správci švédské domény .se si v našem oboru drží dlouhodobě poměrně vysoké renomé. Jako první zavedli DNSSEC a na odborných konferencích často vystupují s novinkami, které implementovali do svých systémů. V pondělí 12. října měli naplánovanou rutinní odstávku systému spojenou s nasazením nové verze. Přestože, podle zveřejněných informací, i jejich vývojový cyklus obsahuje sadu testů, které musí nová verze splňovat, ze zatím nezjištěných příčin prošel přes tuto fázi kód, který obsahoval chybu. Ta spočívala v chybějící tečce na konci doménových jmen ve vytvořeném zónovém souboru – místo „.se.“ zde bylo uvedeno pouze „.se“. Nameserver načítající tento zónový soubor tím pádem pokládal všechna doménová jména jako relativní a připojil ke každému ještě jednou „.se.“. Takto poškozený zónový soubor se začal propagovat ve 21:39. Ve 21:50 monitorovací systémy začali hlásit, že v publikované zóně je chyba. Administrátoři na to zareagovali tak, že vzali poslední správně vytvořený zónový soubor a po zvýšení sériového čísla ho ve 22:35 publikovali. Vzhledem k tomu, že celá zóna .se je podepsaná pomocí DNSSEC a že sériové číslo je součástí SOA záznamu, došlo jeho změnou k invalidaci podpisu tohoto záznamu a pro DNSSEC validující resolvery tedy byla tato zóna stále nedostupná. Tento krok ale zabezpečil dostupnost domény pro většinu uživatelů. Finální, nově podepsaná zóna byla publikována v 0:35. Ponechme nyní stranou Švédy a podívejme se jakým způsobem se podobnému nedopatření snažíme vyvarovat my. V zásadě se jedná o dva doplňující se procesy a to testování nových verzí před nasazením a monitoring produkčního prostředí.
Již v průběhu vývoje programátoři používají širokou sadu automatizovaných testů, s jejichž pomocí kontrolují zda nové změny nezanesly chybu do dříve fungujících částí systému. Po dokončení všech kontrol provedou vývojáři označení nové verze v systému pro správu verzí SVN a spolu s postupem upgradu předají tuto verzi administrátorům. Ti s pomocí vlastního nástroje zajistí zabalíčkování nových verzí změněných komponent pro všechny platformy na kterých systém provozujeme. Kompletní konfigurace systému včetně verzí balíčků je uchovávána v centrálním repositáři a pomocí nástroje Puppet jsou veškeré změny distribuovány na patřičná místa. Abychom zajistili bezproblémový upgrade, vytvořili jsme pomocí technologie virtualizace KVM kompletní kopii produkčního prostředí jedné lokality, čítající v tuto chvíli pět propojených serverů. Administrátoři zanesou postup upgradu do Puppetu a s jeho pomocí tento postup aplikují na testovací lokalitě. Poté spolu s vývojáři otestují výsledek buď manuálně nebo opět sadou automatizovaných testů. Teprve pokud nenastane žádný problém, je možné novou verzi pomocí otestovaného postupu nasadit na skutečné produkční prostředí.
Běžící systém je monitorován obrovskou sadou periodických testů, které zkoumají všechny možné aspekty jeho chování od stavu síťových zařízení, přes různé zkoušení registrací na registrátorském rozhraní až po testy zda se odesílají správně faktury. Všechny tyto kontroly jsou implementovány jako moduly do monitorovacího nástroje Nagios. Výstupy těchto kontrol jsou klasifikovány podle důležitosti a reportovány pomocí e-mailů nebo SMS zpráv administrátorům. Celý systém je podporován vizuální a hlasovou signalizací umístěnou v prostorách našeho klienského centra. Operátoři pracující v tomto prostoru 24 hodin denně a 7 dní v týdnu neprodleně administrátorům volají pokud signalizace hlásí nějaký problém. Vraťme se ale k publikování zónového souboru. K tomu dochází automaticky jednou za půl hodiny a i tento proces obsahuje několik kontrol. Vedle kontroly integrity souboru je hlavní kontrolou test na počet změn v tomto souboru. Pokud počet změn přesáhl určitou hranici je proces zastaven a administrátoři musejí provést ruční kontrolu těchto změn. Pokud kontrola zjistí, že se opravdu jedná jen o velký počet změn v delegacích je zóna publikována a automatický mechanismu obnoven.
Bylo by krásné na tomto místě napsat – nám se nic takového stát nemůže, ale nebyla by to pravda. Všechny systémy jsou nakonec nějakým způsobem závislé na lidech. Jak se zdá, i ve Švédském případě mají podobné procesy, ale pravděpodobně někdo neotestoval to co měl a ještě navíc někdo neposoudil nějakou signalizaci monitoringu jako kritickou a vypnul jí. Tomu je možné předejít pouze výběrem zodpovědných pracovníků a jejich častým školením a tréninkem. Věřím, že v tomto ohledu jsou naši zaměstnanci muži (a ženy) na správném místě.
Jaromír Talíř
CZ.NIC připravuje zavedení OpenID
Od 29. října do konce tohoto roku nám můžete komentovat dokument popisující zavedení OpenID v České republice. V tomto návrhu představujeme nejen OpenID jako takové, ale také jeho výhody a například technické řešení.
Uvítáme, když se nám budete chtít k tomuto projektu a jeho řešení vyjádřit. Své nápady a připomínky můžete napsat do komentářů pod tímto textem nebo na e-mailovou adresu openid@nic.cz.
Předem vám děkujeme za pozornost, i za připomínky.
Ondřej Filip
Další zpoždění nových gTLD
Celkem nedávno se staly dvě události, které budou mít vliv na vznik nových generických domén nejvyšší úrovně. Za prvé, ICANN vydal již třetí verzi podmínek pro žadatele o tyto domény. Z podmínek poměrně jasně plyne, že proces nebude příliš rychlý, jen obtížně bude možné spustit doménu dříve než za tři čtvrtě roku. Podmínky stále ještě nejsou definitivní, komunita neustále posílá připomínky. Tuto verzi můžete komentovat do 22. listopadu. Na spuštění celého procesu už netrpělivě čekají žadatelé o domény jako .sport, .eco, .gay, …
V podstatě v podobný okamžik jako ony podmínky byla vydána dlouho očekávaná studie o škálovatelnosti kořenové zóny. Dokument má sice 85 stránek, ale doporučuji přečíst alespoň executive summary. Závěrem dokumentu je, že není rozumné zavádět najednou nové domény a DNSSEC. A autoři doporučují, aby technologie DNSSEC měla prioritu. Jak Vás nedávno informoval kolega Surý, zavedení DNSSEC má už svůj pevný jízdní řád a tedy nové generické domény si musí počkat.
Trochu jiná je situace u IDN národních domén, které by měly být přidělené v tzv. procesu fasttrack. Ten je určen pro státy, které mají urgentní potřebu zavedení národní domény nejvyšší úrovně v IDN. Tedy například zástupci Ruská Federace požadují doménu .РФ (.RF v azbuce). Stejně tak urgentní potřebu mají některé arabské země, pak Čína, Japonsko a podobně. Pro tento proces je už připraven finální implementační plán, jehož schválení na 99 % proběhne už příští týden na zasedání ICANN. Zavedení malého množství těchto domén (očekává se cca 50) by tedy mělo jít rychle. Uvidíme, zda-li i delegace těchto domén budou vnímány jako zásadní rozšíření kořenové zóny nebo zda-li budou zavedeny současně s DNSSEC. Vzhledem k mezinárodnímu tlaku na jejich vznik spíše očekávám, že budou nastartovány rychle. Nepřekvapilo by mě, kdyby se tak stalo už tento rok.
A co vy na to? Chceme doménu .čr? Chcete nějakou novou generickou doménu? Požádáte si o ni?
Ondřej Filip
S DNSSEC se ve světě roztrhl pytel
Není to tak dávno, co jsem zde psal o zavedení DNSSEC u domén Švýcarska a Lichtenštejnska. Skoro vzápětí ohlásil kanadský doménový registr CIRA na konferenci SecTor, že zahájil testovací provoz podepsané domény .ca.
Kompletní informace lze nalézt na stránkách registru CIRA, zde zmíním jen pár detailů. Testovací provoz probíhá na samostatných DNS serverech, tak aby nebyl narušen normální provoz. Pro podpis je použit algoritmus NSEC3 RSA-SHA1. Velikost zónového souboru vzrostla z 180MB na 670MB. Ještě doplním, i když určitě nechci naši roli přeceňovat ani nás nějak chválit, že s námi, s CZ.NIC správci kanadského národního registru některé důležité detaily konzultovali.
Pokud byste chtěli vyzkoušet, jak funguje DNSSEC v zemi javorového listu, máte dvě možnosti. První je použít rekurzivní DNS server unbound a nakonfigurovat v něm stub zónu takto:
stub zone:
name: “ca.”
stub-addr: 192.228.22.190
stub-addr: 192.228.22.189
stub-prime: “no”
Tento kousek konfigurace způsobí, že pro doménu .ca se budou používat jiné nameservery. Následně z výše zmíněné stránky musíte stáhnout soubor ca.conf a přidat jej do konfigurace:
server:
trusted-keys-file: "/etc/unbound/ca.conf"
Pro DNS server Bind 9 není možné nastavit konfiguraci tímto způsobem a proto byly připraveny forwardující DNS servery, které můžete použít takto:
zone “ca.” IN {
type forward;
forwarders { 66.241.135.248; 193.110.157.136; };
}
Tato část konfigurace způsobí, že se váš DNS server Bind bude pro dotazy směřující do domény .ca ptát speciálních rekurzivních DNS serverů.
Pro následné ověření, že jste konfiguraci provedli správně, můžete vyzkoušet kanadskou obdobu naší české domény http://www.rhybar.cz/ (tato stránka se při zapnuté DNSSEC validaci nezobrazí) na adrese http://broken.xelerance.ca/.
Ondřej Surý
DNSSEC na domácí scéně, další známé domény podepsány
V poslední době jsme zde poměrně často oznamovali, jaké další národní registry představily svoje plány s DNSSEC. Dnes budeme ve zprávách o této technologii pokračovat. Tentokrát ale zůstaneme u nás, na české scéně.
Od dnešního dne chrání DNSSEC návštěvníky stránek iHNed.cz. Tato doména sloužící především Hospodářským novinám má „pod sebou“ celou řadu dalších poddomén. Bezpečněji se tak teď mohou cítit i čtenáři internetového Respektu, Ekonomu, Marketing a Média a celé řady dalších periodik.
Kromě vlajkové domény nakladatelství Economia je tu ještě jedna zajímavá, podepsaná internetová stránka. Exekutorská komora České republiky nechala v nedávné době zabezpečit doménu www.portaldrazeb.cz.
Do skupiny již dříve podepsaných internetových stránek Lidových novin, Hypoteční banky, Lupy a dalších tak přibyla dvě jistě zajímavá, důležitá a reprezentativní jména.
Vilém Sládek
Volkswagen v. DENIC: registrace dvou- a jednopísmenných domén pod .DE
V německé národní doméně .DE platilo donedávna jednoduché pravidlo: jako doménu druhé úrovně nelze zaregistrovat nic, co má méně než tři znaky. DENIC se všem žádostem o registraci takových domén usilovně bránil, a to s odkazem na RFC 1535 a skutečnost, že všechny ccTLD používají dvoupísmenné kódy (country codes) a do budoucna nelze vyloučit, že budou představeny další. Ty by se pak ocitly v nevýhodě oproti ostatním.
S tím je ovšem konec. Německý Nejvyšší soud (der Bundesgerichtshof) rozhodl, že DENIC musí doménu vw.de zaregistrovat automobilce z Wolfsburgu. Představenstvo DENIC se v této souvislosti rozhodlo jedno- a dvoupísmenné domény uvolnit pro registraci.
Jak uvádí DENIC na svých stránkách, od 23. října 2009 začne platit nová směrnice pro registraci domén v národní doméně .DE, kterou budou odstraněna dosavadní omezení: bude možné si registrovat jedno- i dvoupísmenné domény, stejně tak domény obsahující jenom číslice.
Volkswagen má již svoji doménu jistou. Ostatní, kteří chtějí získat některou z dosud nepovolených doménových jmen, mohou již nyní posílat žádosti svému poskytovateli – registrátorovi (viz http://www.denic.de/en/denic-domain-guidelines.html). Registrace budou spuštěny 23. října 2009 v 9 hodin a řídit se budou nám známým principem „first come, first served“.
Pro nepamětníky doplňuji, že podobná omezení existovala i v České republice. Nepovolené dvoupísmenné domény shodné s ISO kódy zemí (a jinými ccTLD) a generickými TLD však nebyly uvolněny najednou, ale nabídnuty v březnu 2002 ve veřejné dražbě. Z 250 nabídnutých bylo vydraženo 138 domén za částku téměř 1,7 mil. Kč, výtěžek dražby byl věnován na konto Paraple.
Zuzana Durajová
Další DNSSEC exotika
Po poměrně překvapivém vstupu domény .NA na DNSSEC scénu došlo ve čtvrtek 15. října k popisu další domény, kterou rozhodně nemůžeme nazvat běžnou. Jde o podobně pojmenovanou doménu .NU a pohledem do databáze IANA zjistíme, že jde o doménu Niue, což se malý státeček v Jižním Pacifiku s vazbami na Nový Zéland.
Tahle doména je celkem zajímavá. Je zcela liberalizovaná, tedy kdokoliv si může doménu v .NU volně zaregistrovat. Je poměrně komerčně úspěšná a část výnosů z prodeje je použit na pokrytí celého státu WiFI signálem. Kdekoliv v Niue tedy můžete otevřít notebook a měli byste mít přístup na Internet.
Doména .NU je obzvláště populární zejména ve Švédsku, protože NU údajně znamená ve švédštině TEĎ.
Jen pro úplnost, .NU používá modernější standard NSEC3 a klíč již byl publikován v úložišti ITAR.
Ondřej Filip
DNSSEC v kořenové zóně
Když organizace ICANN přibližně v polovině tohoto roku ohlásila, že chce mít podepsanou kořenovou zónu do konce prosince 2009, zdálo se to být jako velmi ambiciózní plán. Po odhalení konkrétního plánu podepisování kořenové zóny na RIPE 59 v Lisabonu je nyní jasnější, jak k onomu letošnímu podepsání vlastně dojde, proč je letošní rok reálným termínem a proč se pro koncové uživatele ještě letos nic nezmění.
Na začátek příspěvku si nejprve řekneme, kdo všechno se okolo kořenové zóny motá:
- ICANN/IANA bude v rukou držet KSK klíče a bude přijímat změny v DS záznamech
- DoC NTIA je obdoba našeho ČTÚ a tato organizace bude schvalovat navrhované změny v DS záznamech a změny v klíčích kořenové zóny
- VeriSign bude spravovat ZSK klíče a podepisovat kořenovou zónu
Podle mne je důležité si říci, že se principiálně vlastně nic nezmění. ICANN/IANA doteď přijímal změny v nastavení jmenných serverů, dával tyto změny schvalovat DoC NTIA a Verisign změny implementoval do zóny. Schematicky to lze vyjádřit například takto:
S konkrétním časovým plánem nasazení vás ještě budu chvíli napínat a mezitím si pojďme říci, jaké budou technické parametry nasazení DNSSEC. KSK bude klíč o velikosti 2048 bitů. Použitý algoritmus bude RSA-SHA256, který byl ještě nedávno schválen jako internetový standard. Zajímavostí je, že do procesů okolo KSK bude zapojena i internetová komunita, jednak jako dohližitelé při aktivaci KSK jednak jako držitelé záložní kopie KSK klíče. KSK klíč se bude měnit jednou za 2 až 5 let pomocí mechanismu popsaného v RFC5011.
V případě ZSK je použit klíč se stejným algoritmem, jen bude o polovinu menší, tedy 1024 bitový RSA-SHA256 klíč, který se bude měnit každé tři měsíce.
Pevné body důvěry kořenové zóny (tedy KSK) budou publikovány na webových stránkách organizace ICANN jednak ve formě vhodné k automatizovanému zpracování a jednak v takové formě (PKCS#10), aby jej mohly podepsat externí certifikační autority.
Nyní se konečně dostáváme k již slibovanému plánu nasazení. Ač se na začátku zdálo, že plán podepsat doménu ještě letos se v žádném případě nemůže povést, tak ICANN představil velmi konzervativní a zodpovědnou strategii, jak začít podepisovat kořenovou zónu. Kořenová zóna se opravdu začne podepisovat 1. prosince 2009, nicméně se bude jednat pouze o interní procesy organizací ICANN a Verisign. Doména bude podepisována, bude probíhat rotace klíčů a všechny ostatní související procesy, ale samotná podepsaná zóna se nedostane ven.
Od ledna 2010 do začátku července bude probíhat postupné testování zátěže kořenových nameserverů. Pro tyto účely bude použit speciální klíč, který bude vypadat takto:
. 3600 IN DNSKEY 256 3 5 (
AwEAAa++++++++++++++++++++++++++++++
++THIS/KEY/AN/INVALID/KEY/AND/SHOULD
/NOT/BE/USED/CONTACT/ROOTSIGN/AT/ICA
NN/DOT/ORG/FOR/MORE/INFORMATION+++++
++++++++++++++++++++++++++++++++++++
++++++++++++++++++++++++++++++++++++
++++++++++++++++++++++++++++++++++++
++++++++++++++++++++++++++++++++++++
++++++++++++++++++++++++++++++++++++
++++++++++++++++++++++/=
) ; Key ID = 6477
Anglický text uvnitř klíče říká, že tento klíč není validní, nemá se používat a pro více informací je možné kontaktovat organizaci ICANN. Aby se zajistilo, že tento klíč opravdu nebude nikdo používat, tak kromě toho, že v kořenové zóně bude publikován tento speciálně vytvořený klíč s varovným textem, budou také generovány nevalidní podpisy. Takto podepsaná zóna bude postupně nasazována na jednotlivé kořenové nameservery počínaje serverem L.root-servers.net, který je provozován právě ICANNem, a konče serverem A.root-servers.net, který je pravděpodobně z důvodů špatné implementace DNS protokolu u některých klientů nejpoužívanější.
Toto postupné nasazování je zapotřebí především pro klienty a DNS servery, kteří zaspali před rokem 1999, kdy bylo schváleno RFC2671. Tento standard umožňuje zvětšit velikost DNS zprávy nad původně povolených 512 byte. Celý DNS provoz bude pečlivě monitorován a pokud by se v průběhu testování vyskytly nějaké problémy, budou operativně řešeny. Proces nasazování bude zakončen v červenci příštího roku podepsáním kořenové zóny validními klíči, publikací těchto klíčů na stránkách organizace ICANN a zveřejněním validně podepsané kořenové zóny na kořenových nameserverech.
Ač k podepsání kořenové zóny DNSSECem letos z hlediska veřejnosti nedojde, nezbývá než ICANNu popřát hodně štěstí v implementaci jednoho z nejdůležitějšího milníku internetu od dob, kdy bylo zavedeno DNS. Důležité je řídit se především pravidlem číslo jedna v RFC1925 a žádné problémy by neměly nastat :).
Ondřej Surý