Alternativní root servery provází internet už nějakou řádku let. Současný seznam TLD domén (to jsou domény .com, .cz, .eu a další) je udržován organizací ICANN. Každá změnu v tomto seznamu provází vcelku složitý schvalovací proces. Za provozem alternativních root serverů stojí snaha přivést na svět nové TLD domény, které nebudou muset projít tímto složitým schvalovacím procesem. Motivace může být různá – od snahy vylepšit internet po snahu vylepšit stav svého bankovního konta. Pamatuji, že i v Čechách existovalo pár alternativních TLD domén (už si bohužel nevzpomenu, kdo to tenkrát provozoval). Každopádně celý systém alternativních root serverů je založený na tom, že se místo klasických root serverů ptáte alternativních, které mohou (ale nemusí) obsahovat další domény. Aby systém fungoval je zapotřebí změnit ve vlastním počítači rekurzivní DNS servery, které používáte (a které jste například dostali od svého správce sítě), na rekurzivní DNS servery s podporou alternativních root serverů. Případně použít speciální program, který toto nastavení provede za vás. V každém případě je to netriviální operace a v některých sítích (např. firemních) taková změna nemusí být vítána, ba naopak bude spíše zakázána a je vcelku možné, že poté, co provedete změnu nastavení, vám přestane fungovat internet nebo vám za pár minut bude stát za zády funící síťový správce, kterého jste tímto donutili vyběhnout schody z kumbálu ve sklepě.
Proč o tom vlastně píšu? Dneska mi spadnul do schránky klasický spam (a pak druhý, to když od písmenka ‚a‘ došli k písmenku ‚t‘) od společnosti UnifiedRoot (link sem dávat nebudu, ať jim nezvedám PageRank ;)), kde se vychvalují, jak posílili svou infrastrukturu alternativních root serverů, která teď už funguje na IPv6. UnifiedRoot patří k těm společnostem, které za provozem alternativních root serverů vidí peníze. Nabízejí registraci vlastních TLD domén za variabilní poplatek (dle atraktivity jména). Co už v e-mailu zapomínají dodat je, že celá tahle sranda nebude fungovat, pokud si uživatel nenastaví ručně jejich root servery nebo nepoužije speciální software. A proč by to ostatně uživatelé dělali?
Takže máte možnost si koupit něco, co bude fungovat jenom vám a pár dalším jednotlivcům, které UnifiedRoot přesvědčí, že jim vlastně neprodává teplou vodu. Jsem si jistý, že zaspamování velkého množství lidí, kteří mají s doménama něco společného (ať už je to CZ.NIC nebo Paul Vixie (primární autor Bindu), který si na tenhle spam v konferenci taky stěžoval), jim na popularitě moc nepřidá.
Nicméně si představuju docela vtipný telefonický hovor:
Franta: „Hele, mrkni na moje nové webovky…“
Pepa: „A kde je máš?“
Franta: „Na www.franta.novak.“
Pepa: „Mě to nefunguje…“
Franta: „No to si musíš změnit root servery“
:-)
A co si myslíte o alternativních root serverech vy?
Ondřej Surý
DNSCurve – alternativní návrh k DNSSECu
Enfant terrible DNS scény opět zasahuje. Daniel J. Bernstein přichází z vlastním návrhem řešení kryptografické autentizace DNS záznamů. Tento návrh si můžete v originále přečíst na stránkách projektu DNSCurve.
Ve stručnosti se jeho návrh dá shrnout do několika bodů:
- Všechny NS záznamy budou speciálně pojmenované
- Speciální pojmenování bude obsahovat šifrovací klíč
- Rekurzivní DNS bude komunikovat s autoritativním pomocí tohoto šifrovacího klíče
- Šifrovaná komunikace bude obalená a schovaná do TXT RDATA
Návrh obsahuje pár zajímavých myšlenek (použítí Elliptic Curve Kryptografie), v zásadě ale vidím několik nedostatků tohoto návrhu:
- Informace o tom, že se má začít šifrovat k rekurzivnímu DNS, jde nešifrovaně. Návrh neobsahuje Pevné body důvěry (Trust Anchors).
- V případě, že bychom DNSCurve použili i na root servery a všichni začali DNSCurve používat, tak by došlo k paradoxní situaci, kdy by veškeré DNS pakety chodily obalené do DNS TXT. Což mi lehce připomíná IP over DNS protokol.
- Bernstein píše o tom, jak je Elliptic Curve algoritmus milionkrát složitější na rozlousknutí a zjevně z tohoto důvodu nedefinuje mechanismy, jak měnit klíče. Bude to však pravda i za dalších několik let?
- Nevím jestli název nameserveru uz51gmc1jjicekrm676rorncvjpale915vhd94bj2fddj1be1ntbg5.nic.cz bude patřit mezi něco, co je srozumitelné pro pouhého smrtelníka a zda administrátoři budou s nadšením hledat problémy, když se něco pokazí.
Můj názor je takový, že vzhledem k výše uvedeným faktům a kontroverznosti autora návrhu, který naštval snad úplně všechny, se návrh nikterak nerozšíří. Příjemnou věcí je ovšem to, že DNSCurve nikterak nekoliduje s DNSSECem a administrátor serveru bude mít na výběr.
Ondřej Surý
Aktualizace:
Z diskuze na namedroppers a dnsop se objevilo pár dalších problémů.
- Zdá se, že Elliptic Curve algoritmy jsou problémové z hlediska amerických patentů.
- Protože DNSCurve šifruje, tak je velmi pravděpodobné, že se na něj budou vztahovat americká exportní omezení.
DNSSEC v .gov
Kancelář pro plánování a rozpočet Bílého domu vydala nařízení, podle kterého musí správce domény .gov do ledna roku 2009 nasadit technologii DNSSEC a dále připravit plány na nasazení DNSSECu pro všechny systémy, kterých se týká doménový prostor pod TLD doménou .gov. Originální článek vyšel například zde.
Na tomto faktu by nebylo v zásadě nic tak zajímavého, kdyby:
a) se nejednalo o vládní doménu – administrativa Spojených Států se zajímá o ochranu DNS prostoru
b) nebylo nasazení povinné – zatímco všechny ostatní TLD domény, k nimž se brzy připojí i naše česká doména .cz, fungují na principu dobrovolnosti; všechny poddomény v doméně .gov budou muset implementovat DNSSEC povinně.
V každém případě bude zajímavé sledovat, jak se jim nasazení zdaří, za jak dlouho budou schopni začít podepisovat všechny poddomény a kdy budou mít nasazeny rekurzivní DNS, které si rozumí s DNSSECem.
Ondřej Surý
Co nového ve světě ENUM?
Odpověď na tuto otázku se dozvíte, když přijdete ve středu 17. září do Rock Café na Národní třídě v Praze. Tady se bude od 10 hodin konat druhý ročník konference věnované technologii ENUM, tedy možnostem a výhodám telefonování po internetu na běžná telefonní čísla.
Program letošního ročníku konference ENUM Day 2 nabízí především přednášky a prezentace o využití této technologie v praxi; představí se zde zástupci firem, kteří tuto technologii úspěšně zavedli a využívají ji. Ve druhém bloku přednášek potom vystoupí hosté ze zahraničí. Z jejich příspěvků se dozvíme, jaké mají oni sami, ale také uživatelé v Anglii a Nizozemí zkušenosti s ENUM. Třetí blok přednášek bude pestrý; u prezentačního notebooku se vystřídají zástupce vysoké školy, výzkumné agentury nebo třeba specialista a konzultant v oblasti telekomunikací.
Loňský ročník ENUM Day byl návštěvnicky poměrně úspěšný. V Galerii Louvre se jich minulý rok v září sešlo více než 120. Po více než dvanácti měsících je tu tak další várka především praktických informací. Věříme, že si své zájemce najde.
Program konference včetně jmen přednášejících a registračního formuláře najdete na adrese http://enum.nic.cz/enumday2/.
Vilém Sládek
DNS útok podle Kaminského
Útoky typu DNS Cache Poisoning fungují na principu podvržení odpovědi DNS serveru. DNS server, který se ptá na určité doménové jméno, pak dostane falešné informace např. o IP adrese webového serveru. Způsob, jak podvrhnout DNS odpověď, spoléhá na několik vlastností DNS protokolu:
1. DNS dotazy a odpovědi v sobě mají uloženo 2-bytové Transaction ID, tedy počet kombinací je přibližně 65 tisíc.
2. Nezáplatované DNS servery používají pro všechny dotazy stejný zdrojový port.
3. Většina DNS dotazů a odpovědí používá UDP. UDP je bezstavové a v současných sítích je relativně jednoduché podvrhnout zdrojovou IP adresu.
Útočník musí uhodnout správné Transaction ID (nebo vygenerovat všechny možné kombinace) a poslat je ve velmi rychlém sledu za sebou s podvrženou zdrojovou adresou na adresu DNS serveru, na který útočí. Odpověď od útočníka musí přijít v časovém okně na jedné straně vymezeným DNS dotazem a na druhé straně DNS odpovědí od legitimního autoritativního DNS serveru.
Typický útok tohoto typu musel „čekat“ na chvíli, kdy dotazující server nemá záznam uložený ve vyrovnávací paměti server a musí se zeptat autoritativního serveru. Takový záznam je pak uložen po dobu uvedenou v TTL záznamu ve vyrovnávací paměti serveru a útočník musí čekat než tato doba vyprší. Časové okno, kdy lze zaútočit na DNS serveru, tohoto útoku je tak díky TTL velmi malé a se vzrůstajícím TTL se pravděpodobnost takového útoku snižuje. Šance podvrhnout správné Transaction ID je 1 ku 65 tisícům a i v případě, že se útočník vygeneruje DNS odpovědi se všemi Transaction ID, tak je vzhledem k faktu, že lze útočit pouze ve chvíli, kdy záznam není ve vyrovnávací paměti server, šance na úspěch takového útoku malá.
Podvržená odpověď bude vypadat nějak takto (Transaction ID je vyznačeno tučně):
; <<>> DiG 9.4.2-P1 <<>> www.dnssec.cz
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47457
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 2;; QUESTION SECTION:
;www.dnssec.cz. IN A;; ANSWER SECTION:
www.dnssec.cz. 86400 IN A 192.168.1.1;; Query time: 2 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Fri Aug 8 14:17:41 2008
;; MSG SIZE rcvd: 139
Dan Kaminsky odhalil způsob jak obejít data uložena ve vyrovnávací paměti a falešnou IP adresu podvrhnout v libovolnou chvíli bez ohledu na TTL. Útočník se při útoku neptá přímo na IP adresu webového serveru, ale na libovolný náhodně zvolený neexistující záznam a IP adresu webového serveru podvrhne pomocí sekce AUTHORITATIVE a ADDITIONAL pomocí mechanismu tzv. GLUE záznamu.
Příklad:
Útočník se zeptá DNS serveru, na který útočí, na 007.dnssec.cz
a podvrhne odpověď: Odpověď 007.dnssec.cz neznám, ale zná ho
server www.dnssec.cz s IP adresou 192.168.1.1.
; <<>> DiG 9.4.2-P1 <<>> 007.dnssec.cz
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55309
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 6, ADDITIONAL: 11;; QUESTION SECTION:
;007.dnssec.cz. IN A;; AUTHORITY SECTION:
dnssec.cz. 86400 IN NS www.dnssec.cz.;; ADDITIONAL SECTION:
www.dnssec.cz. 86400 IN A 192.168.1.1;; Query time: 2 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Fri Aug 8 14:20:58 2008
;; MSG SIZE rcvd: 139
V tu chvíli dojde k přepsání A záznamu pro www.dnssec.cz ve vyrovnávací paměti serveru a další dotazy na www.dnssec.cz, na které bude odpovídat tento DNS serveru, budou obsahovat podvrženou IP adresu.
Šance na uhodnutí správného Transaction ID zůstává stále stejná, ale útočník může volbou dotazů na různé neexistující domény zkoušet podvrhnout IP adresu stokrát až tisíckrát za sekundu. Navíc je schopen lépe řídit čas dotazu (vždy se ptá útočník) a tím pádem lépe načasovat i generování podvržených odpovědí.
Výrobci a autoři DNS serverů vydali aktualizace, které do dotazu vkládají další prvek náhody – náhodný zdrojový port. Před aktualizací byl zdrojový port dotazu zvolen náhodně při startu serveru a po celou dobu běhu serveru byl používaný stejný port. Po aktualizaci se pro každý dotaz používá nové
náhodně zvolené číslo zdrojového portu (pokud budeme počítat, že se využije celý rozsah, což většinou nebývá pravdou) a šance na uhodnutí kombinace Transaction ID a čísla zdrojového portu je 1 ku 4 milardám. Útočník se může pokoušet vygenerovat i takovýto počet podvržených DNS odpovědí, ale šance, že se mu povede trefit se se správnou odpovědí je výrazně menší a provoz, který tímto vygeneruje jen těžko zůstane bez povšimnutí.
Útok, který předvedl Dan Kaminsky, na vyrovnávací pamět DNS serveru je po instalaci opravných aktualizací nepravděpodobný, ale stále možný. Podle kalkulací, které proběhly poštovní konferencí namedroppers, je pravděpodobnost takového útoku po 24 hodinách cca 64%. Takový útok by si ovšem vyžádal generování obrovského množství podvržených DNS odpovědí a u méně výkonných instalací by spíše způsobil zahlcení a přerušení provozu. Tak než jsem stihl napsat tento příspěvek do blogu, tak se objevil první úspěšný útok v laboratorních podmínkách na DNS server s náhodnými zdrojovými porty, který byl schopný vložit do DNS falešnou adresu během 10 hodin.
Jediné řešení, které DNS servery ochrání před tímto stylem DNS útoků je v současné době technologie DNSSEC.
Prezentaci Dana Kaminského z konference BlackHat USA 2008 naleznete na jeho stránkách DoxPara.
Válečníci sítě aneb internet z druhé strany
Nejen pro začínající uživatele internetu vydalo sdružení CZ.NIC v českém překladu film s názvem Válečníci sítě. Z něho se mohou diváci dozvědět, jak vypadají jednotlivé části internetu, jaký je internet „zevnitř“. Pokud jste tedy někdy přemýšleli o tom, jak internet vlastně funguje, jaký je router nebo jakou barvu má IP packet, podívejte se na tento zajímavý film. Určitě se dozvíte mnohem více než jen to.
Informace o zajímavém projektu je možné najít také na oficiálních stránkách Warriors of the Net, kde je tento snímek i v jiných jazykových verzích. Film s podtitulkem „IP za mír“ může fungovat také jako nástroj pro představení internetu těm, kteří na síti teprve začínají nebo o ni vědí méně, než by chtěli.
Válečníci sítě nejsou v tomto roce posledním projektem, který sdružení připravuje pro uživatele internetu v České republice. V blízkých měsících budou spuštěny další projekty, jejichž cílem je především rozšířit informace o této celosvětové síti mezi neodbornou veřejnost. O všem, co CZ.NIC chystá v oblasti internetové osvěty, vás budeme informovat nejen na stránkách .blogu, ale i v Novinkách na domovské stránce sdružení.
Animovaný film Válečníci sítě je volně ke stažení. Stejně jako jeho ostatní jazykové verze je určený pouze k nekomerčním účelům.
Vilém Sládek
Rozhodčí řízení jako způsob řešení sporů o doménová jména registrovaná v ccTLD .cz
Na Lupě před nedávnem vyšel článek věnovaný rozhodčímu řízení o doménová jména registrovaná pod národní doménou .cz. Jedná se o problematiku velmi zajímavou a v právnických kruzích poměrně dost diskutovanou, proto jen několik připomínek takříkajíc „z druhé strany“.
Veřejná rozhodčí nabídka držitele domény vůči třetím osobám je součástí Pravidel registrace doménových jmen v ccTLD .cz (dále jen „Pravidla“) už od srpna 2004, tehdy již existovala určitá zkušenost s průběhem soudních sporů o doménová jména; nejedná se tedy o tak nový instrument, jak by se mohlo zdát. Autorka v článku mj. uvádí, že Pravidla neobsahují sankci pro případ, kdy držitel na rozhodčí řízení nepřistoupí. S tímto tvrzením nelze souhlasit, neboť pokud držitel nevyjádří souhlas s Pravidly, pak registrace domény není možná. Jestliže vyjádřený souhlas u již zaregistrované domény zpochybní, např. v okamžiku, kdy je podána žaloba k Rozhodčímu soudu, pak je vyzván k jeho udělení – neučiní-li tak, opět je postižen zrušením registrace domény.
Diskuse nad platností rozhodčí smlouvy se vedou především v rovině, zda byla tato smlouva platně uzavřena. Touto otázkou se dvakrát zabývalo i předsednictvo Rozhodčího soudu a zájemcům jsou jeho stanoviska k dispozici na stránkách soudu. Pokud je stručně shrnu, pak určitá osoba (v tomto případě držitel) směřuje veřejnou rozhodčí nabídku (čili veřejný návrh na uzavření smlouvy) vůči neurčitému počtu osob – potencionálních žalobců. Podáním žaloby se na druhé straně objeví určitá osoba, která tímto návrh smlouvy akceptovala; obě strany rozhodčí smlouvy jsou tedy určeny a rozhodčí smlouva platně uzavřena. V odstavci Rozhodčí smlouva a rozhodčí veřejná nabídka autorka správně poznamenává, že smlouva mezi registrátorem a držitelem (sic!) nemůže stanovovat povinnosti třetím osobám. To je správně a veřejná rozhodčí nabídka uvedená v Pravidlech takové ambice ani nemá. Jedná se o smlouvu ve prospěch třetího – blíže neurčený subjekt (možný žalobce) má možnost (nikoliv povinnost!) zahájit spor u rozhodčího soudu; rozhodčí smlouva jej k tomu nenutí a nutit nemůže.
Ke složitosti řešení doménových sporů: každý spor je více či méně složitý, už ze samotné podstaty významu slova „spor“. Problémy při sporech o doménová jména nepůsobí ani tak absence speciální právní úpravy, jako spíše nejistota žalobců při aplikaci již existujících právních institutů, protože při nárokování zaregistrovaného doménového jména není povětšinou argumentováno „dobrými mravy, zneužíváním práva či apely na elementární podstatu spravedlnosti“ jak ve svém článku uvádí autorka, ale zcela konkrétními a právem předvídanými skutkovými podstatami – nejčastěji porušováním práv k ochranné známce, obchodnímu jménu, jménu fyzické osoby či některou ze skutkových podstat nekalé soutěže. Obtíže mohou nastávat při obstarávání důkazních prostředků, ať již na straně žalobce, tak na straně žalovaného a jejich posuzování soudem.
Ani soudy však už zdaleka nejsou fenoménem doménových jmen tak nedotčeny – svědčí o tom jak statistika počtu sporů, tak i příspěvky soudců na některých odborných seminářích.
Cílem vtělení veřejné rozhodčí nabídky do Pravidel je od samého začátku především na jedné straně usnadnit subjektům, které se cítí být poškozovány v souvislosti s registrací domény, domoci se svých práv rychle a bez zbytečných průtahů a nákladů, na druhé straně pak držitelům, kteří jsou takto v důsledku registrace doménového jména žalováni, umožnit získání finálního rozhodnutí ve věci relativně rychle, a tím i zbavit je nejistoty ohledně výsledku dlouhodobého sporu. Rozhodčí řízení, jako jednoinstanční proces, s transparentním systémem určování poplatků, rozhodováním rozhodci, kteří jsou většinou vysokoškolskými pedagogy, advokáty či odborníky ve svém oboru, přičemž ve valné většině případů mají zkušenosti týkající se doménových jmen, toto nabízí. Na rozdíl od doménového ADR (které je používáno například pro spory o domény .eu), je vydaný rozhodčí nález také exekučním titulem pro výkon rozhodnutí pomocí veřejnoprávních prostředků.
Zuzana Durajová
Diakritické varianty doménových jmen
V komtenářích k tématice IDN se často objevují názory, že správným řešením je buďto automatická nebo naopak zpoplatněná registrace všech nebo jen některých diakritických variant původního doménového jména jeho vlastníkovi. Vedle toho se také přílišný počet těchto variant často zmiňuje jako zásadní problém v případech, kdyby registrace byla otevřená a původní majitel by si chtěl jejich registrací ochránit svojí značku.
Zajímalo nás, jak to vlastně s tím počtem různých variant je, a proto jsme na stránku http://háčkyčárky.cz přidali jednoduchou kalkulačku, která po zadání doménového jměna spočítá počet jeho diakritických variant. Její algoritmus je jednoduchý. Bere v úvahu všechny možnosti vzniklé nahrazením písmen, u kterých to dává smysl, jejich variantou s háčkem, čárkou nebo kroužkem. Vedle toho tento nástroj, k jehož ovládání není třeba používat českou klávesnici, umožňuje zjistit si IDN tvar takovéto libovolné varianty.
Přestože je samozřejmě třeba vzít v úvahu, že některé varianty nedávají smysl, jsou výsledky zajímavé. Například i tak zdánlivě jednoduché slovo jako je „brontosaurus“ má 4608 variant. Doména ze zóny cz, která má nejvíce variant, je jvs-zahradni-traktory-sekacky-bazeny-elektrocentraly-honda.cz. Těch variant je 16 698 832 846 848. Pokud bychom vzali všech 441 307 domén, které byly v okamžiku měření v zóně, dojdeme v součtu k úctyhodnému číslu 46 294 515 822 056, tedy 46 biliónů variant.
Jaromír Talíř
„O 24 hodin později“ aneb obrázek o rychlosti reakcí na bezpečností oznámení
Před třemi dny vydal US-CERT zprávu o bezpečnostním riziku DNS protokolu a opravě spousty implementací DNS, která zmenšuje riziko útoku na DNS, tzv. „cache poisoning„. Jedná se o útok, který dokáže podvrhnout falešnou odpověď na DNS dotaz. Ta se uloží do vyrovnávací paměti a dojde k tomu, že se podvržená informace dostane ke všem uživatelům příslušného caching name serveru. Zároveň se objevila stránka s testem vašeho DNS serveru, kde si můžete ověřit zda je zranitelný nebo ne.
Provedl jsem tedy cca 24 hodin po uveřejnění oznámení malý test, který měl zjistit, jak na tom budou jednotliví ISP v České republice. Obeslal jsem prosbou o otestování DNS výše uvedeným testem všechny v tu chvíli online kontakty ve svém ICQ a zde jsou ne moc potěšující výsledky:
20 lidí bylo obesláno
18 z nich odpovědělo s výsledkem testu
14 různých DNS serverů bylo otestováno (někteří z oslovených měli stejného providera a tudíž stejný DNS server)
10 serverů bylo zranitelných
4 servery byly bezpečné
A to dodejme, že zranitelný server měli všichni lidé se stejným providerem DNS. Ve výsledku jsou tedy 3/4 uživatelů potenciálními oběťmi napadení. Mezi zranitelnými byly navíc DNS servery velkých českých ISP, kteří by měli bezpečnostní incidenty a oznámení rozhodně sledovat a řídit se jimi. O to víc je asi nutné ocenit ty čtyři, kteří své servery zabezpečili: UPC, Jihočeskou univerzitu, Dial Telecom a T-Mobile. Klobouk dolů!
Opravy navíc pouze snižují riziko; jediné řešení, které problém odstraní na 100 %, je DNSSEC. Zavádění DNSSEC už je zase jiná kapitola se svými problémy… Dodejme ještě, že pro domény .cz je testovací provoz plánován už na srpen tohoto roku a plný provoz na září.
PT
To nejzajímavější z ICANN
Tvář internetu se radikálně promění, vznikne nepřeberné množství nových generických domén nejvyšší úrovně. Takovým způsobem mohl působit závěr posledního zasedání organizace ICANN, které se konalo minulý týden v Paříži. Velmi pravděpodobně ale uplyne ještě hodně vody, než se nové domény začnou objevovat. Představenstvo ICANN se zatím totiž pouze jednomyslně shodlo na tom, že umožní vznik nových domén nejvyšší úrovně a to jak v anglické znakové sadě, tak i v ostatních jazycích. Jedním dechem ale poukázalo i na nutnost s liberalizací internetového prostoru zavést a dodržovat striktní a jasně dané podmínky a pravidla pro tyto nové domény. A o těch se teprve začíná diskutovat. Podle předpokladů samotného ICANN by návrh pravidel neměl být hotový dříve než na začátku roku 2009 a teprve pak bude možné začít přijímat první žádosti o speciální domény. Kolik času zabere jejich vyhodnocení není snadné odhadnout; předpokládám ale, že se bude muset projít souborem nejen technických, ale i finančních a administrativních podmínek, což nějakou chvíli zabere. Reálný vznik prvních nových domén tak odhaduji zhruba na přelom let 2009 a 2010, přičemž tempo jejich přibývání nebude nijak závratné.
Výsledky tohoto usnesení jsou jistě povzbudivou zprávou pro všechny žadatele o generické domény nejvyšší úrovně. Mezi nejhlasitější patří zástupci některých velkých měst jako třeba Berlínu, Paříže či New Yorku, kteří lobbují za domény .berlin, .paris a .nyc. Stejně tak toto usnesení nahrává uživatelům jiných písem než anglické abecedy, protože je otevřen prostor po nové generické domény v jazycích a písmech jako čínština, arabština, ruština a podobně. Toto usnesení se zatím netýká speciální skupiny domén nejvyšší úrovně, které vyjadřují názvy států (tzv. ccTLD — country code Top Level Domain) jako třeba .cz, .uk, .eu a podobně. Vznik těchto domén se řídí speciálním seznamem ISO-3166. Na tvorbě mechanismu pro vznik ccTLD neanglických znakových sadách se právě v rámci organizace ICANN intenzivně pracuje.
Ondřej Filip