Na začátku března jsme ohlásili záměr a „cestovní plán“ na zavedení technologie DNSSEC v doménách .CZ a ENUM. Dokument Implementace DNSSEC v CZ.NIC obsahuje návrh, jak bude implementace do registru domén vypadat a jakým způsobem bude provedena. Tímto jej dáváme všem otevřeně k dispozici. Budeme velice rádi, když nám napíšete své komentáře či připomínky k jeho obsahu a přispějete tak k tomu, aby se DNSSEC stal užitečným nástrojem pro všechny uživatele internetu v České republice. Své reakce vkládejte přímo sem pod článek do komentářů nebo e-mailem na adresu kontakt@nic.cz.
Ondřej Filip
Phishing palcovými titulky
V posledních pár dnech se na titulní stránky médií dostaly zprávy o silné vlně podvodných e-mailů, ve kterých se jejich odesilatelé pokoušeli o phishing na internetovém bankovnictví České Spořitelny. Některé takové emaily byly poměrně obskurní jako třeba tento:
Jiné vypadaly celkem sofistikovaně. Zajímavý je ale průběh této vlny. Možná je to jenom můj dojem z toho, jak mi podobné zprávy přicházely do schránky a později do složky s karanténou. Nejdříve chodily jednou za čas a jen jedna zpráva, pak ale intenzita stoupala, až přišlo za jeden den zhruba pět různých e-mailů s různým obsahem. Že by existovala nějaká „informační služba“ mezi zloduchy, ve které se informují o tom, na koho se právě útočí? Díky tomu se pak každý z nich přidal se svojí vlastní verzí falešné zprávy, aby zkusil urvat svůj díl uživatelských jmen a hesel? Z počtu různých verzí to tak vypadá.
Tak jako tak, pokud zapátrám v paměti, nevybavuji si, že by byla stejným způsobem napadena jiná banka. Je to díky „prokletí“ toho největšího co do počtu klientů a nebo to trochu vypovídá i o úrovni zabezpečení konkrétního systému? Ačkoliv možnosti, jak zvýšit zabezpečení na straně banky, existují nebo se připravují (elektronický podpis, DNSSEC, GSM banking, jednorázová hesla apod.), vždy vyžadují nejen nasazení na straně banky ale také znalosti či akce na straně uživatele. A s tím už bude mnohem těžší něco udělat.
Pavel Tůma (PT)
Jak jsou na tom jiné evropské registry s EPP
Před koncem února proběhlo pravidelné setkání zástupců národních registrů, sdružených v organizaci CENTR (Council of European National Top Level Domain Registries), jejíž členem je i CZ.NIC.
Součástí semináře byla i prezentace výsledků zajímavého průzkumu, realizovaného mezi členy CENTR na téma zavedení (resp. zavádění) EPP protokolu do registračních systémů. Výzkum se uskutečnil na začátku roku 2008 a odpovědi poskytlo 20 registrů.
Výsledky byly poměrně zajímavé – v současnosti používá EPP jako komunikační protokol pouze 45 % z těchto registrů. Z tohoto pohledu to vypadá, že EPP se zatím moc „nechytá“, ale plány hovoří jasnou řečí: v průběhu roku 2009 by se toto číslo mělo zvýšit na 55 % a do konce roku 2010 by potom EPP protokol mělo používat již 80 % registrů.
Vzhledem k tomu, že doména .cz již EPP protokol používá, jde o dobrou zprávu, a to jak pro CZ.NIC tak pro registrátory. Z pohledu našeho to znamená potvrzení, že námi zvolená cesta se stále jasněji stává běžným standardem. Registrátorům potom dává rozšiřování EPP možnost zvětšovat portfolio nabízených registrací o další doménová jména s využitím stávajících zkušeností a bez nutnosti výrazných změn v jejich aplikacích.
A to je koneckonců dobrá zpráva i pro všechny (budoucí) držitele domén …
Martin Peterka
6 % firem plánuje zavést ENUM
Nedávno jsme od společnosti Digimark zíkali výsledky pravidelného výzkumu trhu s názvem Telekomunikace a VoIP v českých firmách 1/2008. To, že je ENUM, přesněji možnosti, které nabízí, zajímavý pro řadu firem, není žádná novinka. To se ukázalo už minulý rok. Stejně tak pozorovatele z „branže“ nepřekvapí, že valná většina firem o ENUM ještě neslyšela. Nikdo na trhu (CZ.NIC, operátoři podporující ENUM ani nikdo další) totiž zatím nijak cíleně na firmy ENUM a jeho výhody nekomunikoval. Právě proto jsou ale celkem překvapující některé z výsledků aktuálního výzkumu. Ten ukazuje, že 1 % firem už ENUM zavedený má (toto přičítám častokrát zmiňované statistické chybě a rozhodně to není možné tvrdit paušálně) a 6 % firem plánuje ENUM zavést (což se už statistické chybě připsat nedá). Více následující graf.
Tento rok zaměříme komunikaci ze strany ENUM registru právě na firmy a připravujeme v této souvislosti i zajímavé aktivity ve spolupráci se registry z dalších zemí. Doufejme tedy, že oba zmíněné ukazatele budou mít za rok ve stejném výzkumu alespoň dvojciferná čísla :)
Pavel Tůma (PT)
Prague PostgreSQL Developers Day
Mezi první a druhou volbou českého prezidenta se na FEL ČVUT uskutečnil první ročník konference věnované vývojářům pracujícím s open source databázovým systémem PostgreSQL. Konferenci pořádal server Databázový svět ve spolupráci se společností SUN a sdružením CZ.NIC.
Program konference nabídl mnoho cenných informací, jako jsou například novinky v právě vydané verzi 8.3 nebo plánované funkce a detaily některých pokročilých vlastností systému. Hlavní „hvězdou“ konference byl člen úzkého jádra vývojářů databáze Peter Eisentraut. Ten ve dvou přednáškách nejprve shrnul všechna vylepšení nové verze a posléze detailně rozebral jednu z nich a to podporu práce s XML dokumenty. Kromě dalších zajímavých vystoupení, která se týkala uložených procedur, kontroly integrity dat, postupu při zpracování dotazu a portování PostgreSQL na operační systém Solaris, mě zaujala přednáška o podpoře fultextového vyhledávání. Tuto vlastnost bychom výhledově rádi zabudovali jak do registračního systému, tak do redakčního systému, na kterém běží naše weby. Všechny přednášky byly snímané a jsou (nebo budou) k dispozici na stránkách AVC.
Kromě zmíněných přednášek byla, jak už na konferencích bývá, zajímavá i diskuze mezi samotnými účastníky. Z nich bych vybral například debatu o tom, zda je budoucnost spíše v třívrstvé architektuře (klient, aplikační server, databázový server) nebo v dvouvrstvé architektuře (klient, databázový server). Na neformálním „zakončení“ v blízkém restauračním zařízení U medvídků pak byla možnost poznat některé ze zainteresovaných blíže, než umožňuje akademická půda. Věřím, že zůstaneme s komunitou kolem PostgreSQL v kontaktu i nadále a že to bude ku prospěchu fungování správy domén v České republice.
Jaromír Talíř
IPv6 v kořenové zóně
O IPv6 se diskutuje už dlouhá léta. Někdy okolo roku 1992 začalo být IETF jasné, že IPv4 adresy dochází a byla nastartována iniciativa IPng (první RFC na toto téma bylo RFC 1550). Přibližně o tři roky později byl vybrán návrh IPv6 (základní specifikace IPv6 se nachází v dokumentu RFC 2460). Proces, který následoval v běžném světě, bych označil jako: „Jak se vyhnout nasazení IPv6.“ Masivní nasazení technologie překladu adres (NAT/PAT) postupné ubývání IPv4 adres zpomalil, ale nezastavil. Velmi pěkné pojednání o tom, kdy IPv4 adresy dojdou má na svých stránkách Geoff Huston. Podle jeho posledního modelu nám dojdou adresy někdy v roce 2011-2012.
Nicméně rozhodně nelze sedět a čekat, až IPv4 adresy dojdou. Přechod na IPv6 nejde udělat přepnutím jednoho přepínače a internetová infrastruktura na tento přechod musí být připravena. Všechny systémy provozované sdružením CZ.NIC jsou v tuto chvíli provozovány na IPv4 i IPv6 adresách, včetně našich DNS serverů.
Z pohledu IPv6 došlo minulý týden k důležitému kroku na straně serverů obsluhující kořenovou (root) zóny. IANA přidala do této zóny IPv6 záznamy pro polovinu (přesněji šest ze třinácti) DNS serverů – A,F,H,J,K a M.
Běžného uživatele se tato změna nejspíš nedotkne, i když vím o minimálně jedné komunitní síti, která má (a možná, že už to opravili) IPv6 routing natolik rozbitý, že by to mohlo dělat problémy. Nicméně z pohledu další budoucnosti je to výrazný signál, že je potřeba začít IPv6 brát vážně.
Krátká poznámka na závěr. Pokud provozujete BIND jako resolver a zároveň používáte IPv6, budete asi chtít zaktualizovat named.root soubor. Stáhnout si jej můžete z Internicu.
Ondřej Surý
To, že jsem paranoidní, ještě neznamená, že po mě nejdou…
To jsou slova jednoho z mých kamarádů. Jak ale souvisí s registračním systémem domén?
Při vyhodnocování prvních tří měsíců provozu nového systému se nám nahromadily připomínky, které upozorňovaly na neexistenci určité vysoké ochrany doménového jména. Konkrétně šlo o následující námitky:
1. neexistuje možnost zablokovat provádění změn nad doménami a kontakty
2. držitelé domén dostávají e-maily s heslem k transferu od centrálního registru, aniž by o jejich zaslání žádali; tyto zprávy je obtěžují a zároveň u nich vytvářejí obavy o bezpečnost hesel, která jsou určena pro potřeby transferu
Abychom vyhověli zejména žádostem držitelů domén, rozhodli jsme se doplnit systém o dvě nové funkcionality.
První z nich je možnost zablokování transferu, druhou potom zablokování jakýchkoliv změn nad doménou, kontaktem nebo sadou jmenných serverů.
Držitel požádá pomocí formuláře na našem webu o příslušnou blokaci a po jejím potvrzení (buďto úředně ověřeným podpisem nebo e-mailem, podepsaným kvalifikovaným certifikátem) mu bude přímo na úrovni centrálního registru příslušná operace zablokována. Odblokovat půjde samozřejmě stejným způsobem.
Výsledkem bude to, že změna prostě nepůjde provést. Kromě toho bude zastavena možnost vyžádat si heslo k transferu a tím pádem nebude držitel obtěžován e-maily s heslem, které po nikom nechtěl.
V těchto dnech náš návrh konzultujeme s akreditovanými registrátory a pokud neobdržíme závažné připomínky z jejich strany, budeme v následujících týdnech uvedené změny realizovat.
Doufám, že uvedené změny přispějí k většímu pocitu bezpečí jednotlivých vlastníků domén, kteří této služby využijí.
Martin Peterka
ENUM opravdu globální
Tanzánie je první africkou zemí, která si od RIPE nechala delegovat ENUM doménu pro svů národní prefix (+255). ENUM se tak dostává i na poslední pátý kontinent. Doménu 5.5.2.e164.arpa bude spravovat tanzánský telekomunikační regulátor Tanzania Communications Regulatory Authority (TCRA). Doufejme, že se jim podaří nový registr (má sloužit i pro tanzánskou ccTLD .tz) spustit co nejdříve, protože podle neoficiálních informací už museli spuštění několikrát odložit. Problémy jim totiž způsobilo to, že registrační software má dokumentaci pouze v portugalštině.
Pavel Tůma (PT)
Co mě štve na diskusích o IDN
Nedávno jsem na jednom blogu četl příspěvek o IDN a jako obvykle jsem se trochu rozčílil. Rád bych se v tomto článečku pokusil vyvrátit několik mýtů, které v Čechách kolem IDN panují. První nepravda je, že CZ.NIC se na IDN třese, chce na něm vydělat a proto pořád opakuje průzkumy veřejného mínění. To je pochopitelně nesmysl. Sdružení se IDN spíše brání, stačí povolit registraci domén začínající xn-- a IDN je na světě. Pro současný registrační systém (FRED) není IDN překážkou, na registrační nápor je připraven. CZ.NIC je neziskové sdružení a pokud zaregistruje nějak zásadně více domén, musí zlevnit. Myslím, že jasným důkazem bylo razantní snížení velkoobchodní ceny v říjnu loňského roku; podařilo se nám snížit náklady a proto jsme šli dolů i s cenou.
Druhý nápad, který se v takové diskusi často objeví, je, že by nameservery CZ.NIC na dotaz na doménu s háčky a čárkami odpověděl stejně, jako na stejnou doménu bez diakritiky. Tato myšlenka zní na první pohled rozumně, ale mám dva důvody, proč se mi nelíbí. První je poměrně jednoduchý. Nevidím proč by měli držitelé běžných domén mít práva na všechny varianty. Při vší úctě k úřadu vlády, není asi nutné, aby kromě vláda.cz vlastnila tato instituce také doménu vláďa.cz. Druhý důvod je výrazně silnější. Ono to totiž ani technicky není možné provést. Jsou dva způsoby:
- předgeneruje se zóna pro všechny povolené IDN kombinace. Zkoušel jsem si počítat velikost takové zóny pro české znaky (od IDN bych osobně očekával i znakové sady našich sousedů) z aktuálního stavu a vyšlo mi číslo 50 biliónů domén. A to se rozhodně nevejde do pamětí současných DNS serverů.
- upraví se software DNS serverů tak, aby odpověď počítal za běhu. CZ.NIC používá v současné době bind a nsd, tyto SW by bylo nutné upravovat. Oprosťme se teď na chvíli od nákladů na udržování paralelních větví takového SW; mimochodem, ve dřívějších dobách, před mým příchodem do CZ.NIC, by to ani nebylo možné, protože tehdy neměl CZ.NIC všechny DNS servery pod svou správou. Protože plánujeme zavedení technologie DNSSEC, musel by mít u sebe DNS server nainstalovaný podpisový klíč zóny, což je značné bezpečnostní riziko, kterým by současně za běhu podepisoval odpovědi. To je při exponovanosti DNS serverů opět technicky nemožné.
Po zvážení těchto skutečnosti už nemá cenu komentovat fakt, že by si každý správce domény musel na takové řešení připravit své webové a mailové servery. Jako mnohem důležitější vidím otázky jako jsou:
- zavést nebo nezavést IDN?
- nezavádět je i v případě, že budou jiné TLD už české IDN podporovat?
- jaké znakové sady podporovat?
- startovat se sunrise nebo přímo
- mají mít v sunrise přednost současné neIDN domény?
- mají mít v sunrise přednost držitelé ochranných známek, státní správa a samospráva.
Váš xn--ondej-kcb filip
Pořád je co zlepšovat!
Když jsme s kolegy pracovali na plánech na letošní rok, říkali jsme si, že tento pro nás bude celkem obtížný. Nebude jednoduché překonat výsledky z loňska, přeci jenom úspěšná migrace a start nového systému nám vynesly hodně pochval a ocenění. Shodli jsme se ale na tom, že je pořád co zlepšovat. Především v komunikaci s médii a internetovou veřejností. I když jsme i zde udělali v poslední době hodně práce, chceme jít ještě dále. Právě proto otvíráme nový komunikační kanál – BLOG.
Na tomto webu chceme představovat především novinky, které se příliš nehodí pro formálně učesané tiskové zprávy. Rádi bychom zde zjišťovali názory komunity na některé naše nápady, proto bude možné přidat ke každému článku komentáře. Velmi nás potěší, když jich bude hodně.
Věřím, že se vám, internetové komunitě, bude .blog líbit a že se rychle dostane do vašich bookmarků.
Váš bloger Ondřej Filip