Konsorcium ISC nedávno vydalo novou verzi pravděpodobně nejpoužívanějšího DNS serveru Bind. Bind od verze 9.6 kromě pravidelných oprav chyb a vylepšení přináší také zlepšení podpory pro technologii DNSSEC.
Bind 9.6 konečně podporuje standard NSEC3, který přináší více soukromí do podepsaných zón. Tento standard byl vydán jako RFC5155 před necelým rokem a s novou verzí Bindu je konečně podporován všemi významnými open source DNS servery podporujícími DNSSEC (Bind, NSD, Unbound).
Další novinka by měla výrazně zjednodušit správu DNSSEC podepsaných domén. Bind 9.6 přináší automatické přepodepisování zónových souborů dynamických zón. Osobně jsem ještě neměl čas se podívat na to, jak to celé funguje, protože jsem se zabýval následujícím bodem, ale myslím si, že je to správný krok ke zjednodušení nasazení DNSSECu.
Onen další bod, který mě osobně zaměstnával posledních pár měsíců, je podpora PKCS#11 přímo v Bindu. Nová verze přináší nástroj dnssec-keyfromlabel, který umožňuje vytvořit DNSSEC klíč z dat uložených na kryptografickém zařízení (např. takové ty různé USB tokeny). Mělo by to fungovat s openssl a opencryptoki – tj. musíte mít funkční podporu PKCS#11 v openssl. Dnssec-keyfromlabel pak umí vytvořit dvojici souborů .key/.private ve speciálním formátu, který říká, na kterém zařízení najít soukromou část klíče. Zatím jsem neměl čas vyzkoušet tuto funkci na Linuxu, ale společně s Francisem DuPontem z ISC se nám před týdnem povedlo zprovoznit kartu SCA6000 pod Solarisem 10. Sice to zatím vyžaduje verzi z CVS, ale mám osobně slíbeno od ISC, že tato oprava, kterou je potřeba začlenit do hlavní vývojové větve, bude v další verzi řady 9.6 (tedy pravděpodobně v 9.6.1).
Za další z nových nástrojů pravděpodobně můžu já – dnssec-dsfromkey umí z klíče vytvořit DS záznamy bez toho, aby bylo potřeba podepsat zónový soubor. Nápad na tento nástroj vznikl na základě mé diskuze s inženýry z ISC, že v některých specifických případech trvá podepsání zóny i několik (desítek) minut – a je to dost neefektivní muset podepsat zónu, aby byl soubor s DS záznamy vytvořen.
Poslední věc, která stojí za zmínku je zahrnutí sady nástrojů ZKT do distribučního souboru Bindu (hledejte v adresáři contrib). ZKT obsahuje sadu nástrojů, která umí usnadnit práci s DNSSEC klíči a automatizaci podepisování zónových souborů. Používám jej na automatizaci podepisování našich zón. A také připravuji jeho zabalíčkování do distribuce Debian (a tím pádem časem propadne i do distribucí odvozených), nicméně v současnosti je build systém trochu nevhodný na balíčkování, takže to bude chtít ještě trochu společné práce s autorem na ZKT. A času se nikdy není dost.
Ondřej Surý
Jak zjednodušit DNSSEC?
Minulý týden jsem měl docela pěknou, plodnou debatu s Ondřejem Filipem, Danem Kaminskym a Paulem Wouterem o tom, jak usnadnit použití DNSSECu pro běžné uživatele. Dan je v tom poněkud radikální a vymýšlí systém, kdy by stačilo „nasadit novou verzi“ a všechny spravované domény by byly podepsané, tj. koncový uživatel by nemusel dělat nic. Osobně si myslím, že je to zatím příliš odvážné, a že je zatím potřeba postupovat po menších kouscích. Celé to totiž začíná být složitější ve chvíli, kdy každý doménový registr má vlastní verzi registračního systému a hierarchii dat uvnitř registru.
Nicméně s Paulem jsme pak rozebírali modely toho, jak to zjednodušit a zároveň respektovat různé registrační systémy. Je jasné, že první krok, který je potřeba udělat, bude vždycky muset být ruční – jedná se o vytvoření důvěry mezi doménovým registrem a prvotním DNSSEC klíčem. V případě naší národní domény bude zachovaný proces, kdy držitel doménového jména kontaktuje existujícím komunikačním kanálem svého registrátora a ten pošle zabezpečeným kanálem přes EPP protokol přidání (nebo změnu) DNSSEC klíče do centrálního registru.
Další krok už lze automatizovat. Pokud použijeme specifikaci RFC5011, která říká, jakým způsobem lze měnit DNSSEC kořeny důvěry, tak existuje možnost, že by DNS server podepsané domény mohl poslat speciální UPDATE zprávu (podepsanou stávajícím DNSSEC klíčem) o tom, že dochází ke změně DNSSEC klíče. Specializovaný DNS server by tuto zprávu zaznamenal, ověřil změnu a vygeneroval DS záznam pro nový klíč. Celý tento proces by mohl proběhnout bez lidského zásahu.
Na konci jsme se s Paulem dohodli, že tento koncept rozpracujeme ve formě Internetového Draftu a pokusíme se jej standardizovat na půdě IETF.
Docela by mě zajímalo, co si o tomto nápadu myslíte? Své připomínky můžete psát do diskuze níže.
Ondřej Surý
cz = us… aneb ztraceno v překladu
V rámci e-mailové debaty o zavádění DNSSEC s jedním ze zahraničních držitelů domény .cz z Holandska jsem byl upozorněn na zajímavý překladatelský oříšek. Na stránkách technické podpory CZ.NIC najdete wizard, který má uživatelům pomoci projít si procesem zavedení DNSSEC, který obsahuje kroky, jak postupovat. Jelikož je v češtině, použil tento uživatel translate Google a podívejte se na výsledek (klikněte pro zvětšení):
Překlad jména domény je přinejmenším hodně originální :) Z textu je každopádně patrné, že dobrý automatizovaný překlad ještě není možný, snad jen ve filmu.
PT
Informační superdálnice nebo porno?
Informační server Živě.cz ve svém článku Konec internetové pornografie v Čechách tvrdí o webových službách typu Facebook a o internetu obecně, že „podstatnou část těchto transformovaných, nebo zcela nově vzniknuvších informací představuje porno – pornografický multimediální obsah“. A není to jen záležitost tohoto článku, je to klasické klišé, které je možné slyšet z různých stran. Je ale skutečnost opravdu taková? Co tedy nejčastěji najdete na českém internetu resp. českém webu? Budou to ta zmiňovaná spousta porna nebo hodnotné informační zdroje?
V rámci průzkumu mezi weby s adresou obsahující .cz jsme loni náhodně vybrali jeden tisíc domén a prozkoumali je (obsah webu byl hodnocen reálným člověkem), abychom se pokusili tyto otázky zodpovědět. Hledače senzací musím ale zklamat a výše uvedené klišé vyvrátit. Ukázalo se, že český internet je přece jen spíše tou informační superdálnicí; že je prakticky celý tvořen „webovými prezentacemi“, tedy stránkami jednotlivců, firem či institucí. Porno tvoří pouze zanedbatelnou část, která je navíc ještě menší než jsou celosvětové odhady, viz následující graf (čísla jsou pouze za domény, na kterých nějaká webová stránka byla – 85 % ze všech).
Jelikož máme v plánu průzkum opakovat, uvidíme zda se situace změní, případně jestli budeme moci vyvrátit nějaké další „zažité“ tvrzení.
PT
Má k lidem v ČR blíže doména .info? Podle Ministerstva vnitra ano
Lidové noviny přinesly zprávu o spuštění datových schránek, které od 1. července t. r. umožní jednodušší komunikaci mezi občany – ať fyzickými, tak právnickými osobami – a státními orgány.
Že se jedná o věc záslužnou a prospěšnou, je nabíledni. Kromě ochrany životního prostředí (protože ony se ty pověstné pruhované obálky jen tak zničehonic neobjeví, dále jsou tu papíry, které se do nich obvykle vkládají a nakonec to všechno někdo rozváží, povětšinou ne na koni nebo jiném ekologickém prostředku, nehledě na to, že dost často se ten poslední „někdo“ ani nenamáhá oznámit, že na nás taková zásilka čeká) se i ve státní správě přeneseme zase o něco blíž 21. století a budeme více komunikovat elektronicky. Právnickým osobám zapisovaným do obchodního rejstříku bude datová schránka zřízena automaticky, fyzickým osobám, ať už podnikatelům nebo občanům, na žádost.
Co ale na první pohled zarazí je, že Ministerstvo vnitra, které datové schránky zřizuje a spravuje, pro umístění informačního webu (reálně provozovány budou pravděpodobně tamtéž, i když uvidíme) použilo gTLD .info, nikoliv národní .cz, pod kterou funguje např. CzechPoint. Bylo by to logické, zvláště, když se jedná o prostředek mající usnadnit život subjektům v rámci České republiky – TLD je jedním ze znaků, který identifikuje obsah, který je pod doménou umístěn v rámci určitého teritoria, má-li se jednat o oficiální stránku orgánu veřejné správy, očekávat by se dala tím spíše. Tento stav je, bohužel, opět dokladem nejednotném přístupu při využívání možností, které Internet nabízí. Doména datoveschranky.cz je registrována na fyzickou osobu od 7. února 2008, přičemž ministr vnitra Ivan Langer o úmyslu datové schránky zavést informoval již 31. srpna 2007 (viz článek v Hospodářských novinách) a zmíněny jsou také v informační brožuře k eGovernmentu, která vznikla v dubnu téhož roku (k dispozici na stránkách MV ČR). Podobná věc se státní správě už párkrát „povedla“, z relativně nedávné doby lze vzpomenout spuštění služby InfoSoud (doména infosoud.cz Ministerstvu spravedlnosti také nepatří…). Vzhledem k tomu, jak zásadně může funkčnost této domény, samozřejmě za předpokladu, že systém datových schránek bude provozován právě na ní, ovlivnit život mnoha lidí, je překvapivé, že ministerstvo nechá pro tento účel zaregistrovat doménu v registru spravovaném zahraničním subjektem, ačkoliv má fungování CZ.NIC „posichrováno“ memorandem. Lze si těžko představit, pokud by správce .info svoji činnost z různých důvodů na kratší či delší okamžik přerušil nebo dokonce ukončil, rychlé řešení vedoucí k obnovení provozu. Jistě, je to poněkud katastrofická vize, ale v období celosvětových ekonomických problémů ji vyloučit nelze. Mnohem reálnější podobu mohou mít případné potíže se současným držitelem domény datoveschranky.info (ano, ministerstvo není jejím držitelem) nebo s obsahem, který se může objevit na ekvivalentu pod .cz, kam se jistě nemalý počet zájemců o datovou schránku či informace o ní podívá.
Zuzana Durajová
Kde je jádro VoIP pudla?
Jiří Hlavenka komentuje ve svém včerejěím článku situaci na trhu IP telefonie a dodává, že možná právě letos díky aktivitám, které už proběhly nebo jsou v plánu („nahé“ ADSL bez paušálu za telefon, dostupnost mobilních přístrojů s VoIP a snížení propojovacích poplatků za volání do mobilních sítí), bude IP telefonie úspěšnější a dočká se většího zájmu uživatelů. Všechny výše uvedené akce určitě rozjezd VoIP podpoří – s tím nelze než souhlasit. Problematické je ovšem zdůvodnění, proč za poslední léta slovy autora „obor upadl poněkud do letargie – nejenom, že se o VoIP skoro přestalo psát a mluvit, ale příliš se nezvyšuje ani zájem uživatelů.“
Vinu není možné svalovat jen na to, že bylo ADSL vázáno s telefonem, že lidé raději používají mobilní přístroje, vysoké poplatky či „FUD“ šířený díky obrovským marketingovým rozpočtům velkých operátorů. Už i autor naznačuje, že dobrý produkt lze prosadit i jinak než masivní marketingovou komunikací. Každopádně právě marketing vidím jako hlavní důvod prozatímního neúspěchu VoIP operátorů. Marketing totiž není jen komunikace, ale připomeňme si další složky jeho mixu – produkt, cenu a distribuci. Zdá se vám, že se v těchto dalších parametrech VoIP operátoři nějak odlišili od velkých operátorů?
Snad jedině cenou. Přišli s nějakým inovativním produktem či službou? Zkusili prodávat své služby nějakým zajímavým způsobem? Propagací se velkým operátorům nemohou rovnat, to je jasné. Malý rozdíl v ceně ovšem v hi-tech odvětví, kam telekomunikace patři, rozhodně nestačí. Pracovat s cenou je totiž velmi jednoduché i pro velké hráče. Dokud VoIP operátoři nepřijdou s nějakým zajímavým produktem, jako třeba Skype s geniálně jednoduchým telefonem se spoustou doplňkových služeb. Dokud nebudou své služby nabízet neotřelým způsobem, jako například jeden z norských operátorů, který prodává telefonní kity a kredit pro ně na benzinových stanicích. Jestli jediným rozdílem mezi nimi a velkými operátory bude pár haléřů v ceně minutové sazby za volání do Albánie mimo špičku, potom budou stále živořit na okraji.
PT
Kdy se dočkáme nových gTLD?
V loňském roce bylo jedním z hlavních témat globální správy doménového systému zavedení nových generických domén nejvyšší úrovně – gTLD. Velmi hlasití byli i zástupci městských domén, především .berlin, .nyc a .paris. Generické domény už vznikaly i dříve, vzpomeňme na vznik .museum a .aero, nicméně rozhodně nešlo o transparentní a systematický proces. ICANN se proto rozhodl tomto tlaku částečně podvolit a začal připravovat v rámci speciálního programu proces a pravidla pro zavádění nových gTLD.
Zavedení nových gTLD je ovšem velmi kontroverzní téma, protože nové domény, jak to tak už bývá, nemusí znamenat jen pozitiva. Mezi nimi jsou nejčastěji udávány otevření prostoru pro nové služby či inovace, větší konkurence na trhu doménových jmen nebo to, že by měl existovat jasný postup zavádění, méně chaotický, než je ten současný. Proti tomu jsou ovšem možná negativa, jako že doménový prostor se stane nepřehledným pro uživatele, bude ještě více sporů o domény nebo že nové domény nebudou úspěšné.
ICANN navrhl pravidla, jak by nové domény měly vznikat a vyzval veřejnost, aby tato pravidla komentovala. Jedním z nejzajímavějších příspěvků v této kauze je nedávné vyjádření vlády Spojených Států. Postoj vlády USA má pro ICANN velký význam, protože právě tato vláda (prostřednictvím DoC a pak NTIA) vznik ICANN umožnila a dodnes mají obě strany speciální smlouvu, která vznik a změny domén nejvyšší úrovně řídí. Komentář upozorňuje na fakt, že ICANN zatím nedodržel svůj vlastní závazek, kterým je vypracování studie týkající se ekonomických dopadů zavádění nových domén. Osobně si myslím, že ICANN bude na tento komentář reagovat a tyto studie vypracuje. Nicméně to jistě bude nějaký čas trvat. Uvidíme tedy, jak rok 2009 posune tuto debatu dále. Můj názor je, že vznik nových domén to zásadně pozdrží, možná až do roku 2010. Uvidíme.
Ondřej Filip
Linux Meeting 2008 v Ústí nad Labem
Ve čtvrtek 11. 12. 2008 se v Ústí nad Labem konal již čtvrtý ročník konference Linux Meeting. Byl jsem pozván, abych v její dopolední části zaměřené na začátečníky prezentoval, jakým způsobem funguje systém DNS, jakou roli v něm hraje naše sdružení CZ.NIC a jakou roli v našem sdružení hraje open source software. Vzhledem k tomu, že naše „vlajková loď“, registrační systém FRED, byl vydán jako open source a že Linux je primární operační systém pro naše servery, má naše sdružení k tématu konference velice blízko. Podrobný popis celého dne zaznamenal šéfredaktor Root.cz Petr Krčmář ve svém článku, proto případné zájemce odkazuji tam. Co ve svém článku Petr Krčmář nezmiňuje je, že on sám měl jednu zajímavou prezentaci na závěr dopolední části. V ní zdůraznil, že: „Open source neznamená zadarmo“, jak si množná mnozí myslí, neboť v ceně jakéhokoliv řešení je třeba počítat např. s placením odborníků na instalaci, údržbu, školení uživatelů, apod. Vlastní cena software je minoritní záležitostí. Svá slova pak podpořil statistickými údaji hlavních důvodů firem pro využití Linuxu nebo open source produktů obecně. Jak se dalo předpokládat, na prvním místě se objevovaly charakteristiky jako bezpečnost, důvěra nebo stabilita mnohem více než cena. V následné diskuzi na ožehavé téma, jakou má budoucnost nasazení open source ve státní správě nebo samosprávě, projevili všichni zúčastnění značnou skepsi, zvlášť po poslední kauze z Ostravy.
Zajímavá debata pokračovala i na obědě. Vzhledem k tom, že mezi přítomnými bylo několik zástupců linuxových internetových portálů přišlo na přetřes téma budoucnosti papírových periodik. Právě v poslední době mizí papírové verze technických periodik jedna za druhou. Internetové zpravodajství pomalu ale jistě přebírá otěže a pomáhá tomu rozvoj mobilních zařízeních, která umožňují zprostředkovat informace kdekoliv se nacházíte. Tento trend potvrzuje i historka jednoho z diskutujících. Tomu ji popisoval jeho známý, který nedávno absolvoval jakousi společenskou událost v Průmyslovém paláci a přitom si na svém mobilním zařízení pročítal zpravodajství. Jeho pozornost upoutala na první pohled legrační zpráva o tom, že Průmyslový palác hoří. Trvalo ještě asi deset minut, než byla jejich akce ukončena a všichni byli evakuováni :).
Prezentace pokračovaly i odpoledne, tentokrát ale tématy více zaměřenými na odborníky. Všechny prezentace by měly být v dohledné době k dispozici na stránkách konference. O kompletní audio/video záznam z celého dne se staralo AVC, které jej po jeho zpracování také zveřejní na svém webu. Je třeba pochválit organizátory za zajímavý výběr témat a také za to, že se jim daří tento typ konference úspěšně pořádat i v mimopražské lokalitě. Ne nadarmo se zato ústecký LinuxMeeting již několikrát umístil na předních místech v hodnocení soutěže Czech Open Source.
Jaromír Talíř
Davám podpisu kořenové zóny rok, maximálně dva
Nedávnou jsem se zhruba touto větou pokoušel být vtipný v jedné diskusi k mému rozhovoru o DNSSEC. Čas se ani tak moc neposunul a vypadá to, že jsem nebyl příliš daleko od pravdy. Díky objevení Kaminského útoku se ledy skutečně hnuly. Poslední dobou se technologii DNSSEC začala věnovat i americká administrativa. Nejdříve Kancelář pro plánování a rozpočet vydala nařízení, že musí dojít k podpisu domény .gov a všech jejích poddomén a nedávno i NTIA rozeslala žádost o komentování mechanismu podpisu kořenové zóny. U toho jsme pochopitelně nemohli chybět a i my jsme vyjádřili náš názor. Z pohledu českých uživatelů je asi nejdůležitější, aby k podpisu došlo rychle, aby nedošlo k nějaké závažné změně v mechanismu správy kořenové zóny a aby se o podepisování starala důvěryhodná a spolehlivá mezinárodní organizace. To je taky důvod, proč jsme podpořili návrh ICANN. Tak uvidíme, jak NTIA komentáře vyhodnotí.
Ondřej Filip
Rozhodování sporů o domény podle UDRP v Praze
Rozhodčí soud při Hospodářské komoře České republiky a Agrární komoře České republiky (který je již pověřen řešením sporů o domény .eu) se stal na základě rozhodnutí organizace ICANN dalším místem, kde mohou být rozhodovány spory podle pravidel UDRP (jedná se vlastně o dva dokumenty: The Uniform Domain Name Dispute Resolution Policy – Jednotné zásady pro řešení sporů týkajících se doménových jmen a The Rules for Uniform Domain Name Dispute Resolution Policy – RUDRP, tedy Pravidla Jednotných zásad řešení sporů o doménových jménech, která jsou procesněprávní úpravou).
Rozhodčí soud v Praze je tedy čtvrté sudiště na světě, které může rozhodovat spory podle UDRP a přidal se tak ke Světové organizaci duševního vlastnictví (WIPO) v Ženevě, Národnímu arbitrážnímu fóru (NAF) v USA a Asijskému centru pro rozhodování sporů o doménová jména (ADNDRC) s pobočkami v Pekingu, Hongkongu a Soulu. To je obzvláště dobrá zpráva nejen pro držitele domén registrovaných v gTLD z ČR a SR (z těch nejčastějších tedy především .com, .net, .org a .info), ale zejména pro ty, kdož se chtějí domáhat svých práv k již zaregistrované doméně.
Sluší se připomenout, že pravidla UDRP byla ICANN schválena již v říjnu 1999 a následně přijata ICANN akreditovanými registrátory ve všech gTLD a některými ccTLD (zmiňme třeba .tv). UDRP jsou pravidla platící mezi registrátorem a zákazníkem a jsou včleněna do registračních smluv všech registrátorů, kteří mají akreditaci ICANN. Samotné rozhodčí řízení (které není rozhodčím řízením ve smyslu našeho zákona o rozhodčím řízení) před pověřeným subjektem probíhá podle RUDRP, případně dalších doplňkových pravidel. Jazykem řízení je obvykle jazyk registrační smlouvy.
Zuzana Durajová