Kontakt je podle Pravidel registrace doménových jmen záznamem o konkrétní osobě (fyzické nebo právnické) vedený v Centrálním registru. Každý kontakt má svůj jedinečný Identifikátor, což je znaková položka, která může obsahovat pouze písmena (bez diakritiky), číslice, znak „-“ (nikoliv však na začátku či na konci nebo vícekrát za sebou) a jeho délka je minimálně jeden a maximálně 30 znaků. U kontaktu evidujeme veškeré údaje o osobě, jako je jméno a příjmení popř. název společnosti, e-mailovou adresu, telefonní číslo, adresu a v neposlední řadě také IČ společnosti či fyzické osoby nebo datum narození.
Proč vyvolává blížící se expirace domény takovou akci?
Často se nás zákazníci ptají, proč před zrušením domény zasíláme tolik upozornění, proč voláme a navíc píšeme dopis.
Bezpečně. Bezpečněji. Nejbezpečněji. Je vaše doména opravdu zabezpečená?
Jak čtenáři tohoto blogu dobře vědí, tak správnost údajů v registru doménových jmen je pro nás na prvním místě. Správnost údajů a bezpečnost doménových jmen, ve kterých jsou tyto údaje uvedeny, mají k sobě tak blízko, jako Romeo s Julií a ty jak známo není dobré oddělovat.
Svět domén v číslech (a grafech)
Po čase bych se opět rád vrátil k doménové statistice a otázce, kolik je na světě domén. Tentokrát číslo 276 milionů představující celkový počet registrovaných domén doprovodím několika grafy a informacemi založenými na statistikách organizací Verisign a CENTR (Council of European National Top Level Domain Registries).
Zajímavé statistiky a jedno potěšující umístění
Dnes bychom se s vámi rádi podělili o dvě novinky, které se dotýkají tématu, jenž nás velmi zajímá a ve kterém se snažíme co nejvíce angažovat. Jak už možná tušíte, jedná se o bezpečnost uživatelů na Internetu a o hrozby, které na ně číhají. Tentokrát se budeme věnovat novým statistikám týkajícím se bezpečnosti. Začněme nejdříve tou obecnější.
Koncem června spustila společnost Google novou sekci v rámci svého transparency reportu nazvanou Bezpečné prohlížení. Tato stránka umožňuje nahlédnout do statistik získávaných díky jejich službě Google Safe Browsing, která aktivně vyhledává nebezpečné stránky a získaná data nabízí prohlížečům. Ty pak mohou varovat uživatele před návštěvou takovýchto stránek. Možná jste se již také ve vašem prohlížeči setkali s následujícím varováním.
Varování prohlížeče před nebezpečným obsahem
Google Safe Browsing sleduje jak výskyty stránek zneužitých k phishingovým aktivitám, tak stránky sloužící k šíření malware. Statistiky si lze nechat zobrazit podle autonomního systému, nechybí ani rozdělení na stránky záměrně útočné a stránky, které byly pouze zneužity.
K dispozici je také souhrnná mapa, která ukazuje procentuální množství napadených stránek vzhledem k celkovému počtu stránek, které Google v dané zemi kontroloval. Nás může těšit, že z testovaných webů v ČR obsahovala škodlivý malware jen čtyři procenta, což v porovnání s okolními státy není špatné.
Mapa po najetí kurzoru nad konkrétní stát ukazuje
procento nebezpečných stránek nalezených službou Google Safe Browsing.
Je zde také možnost podívat se na autonomní systémy dle regionu. Poskytovatelé služeb v konkrétní zemi se tak mohou podívat, jak si jejich síť stojí v porovnání s ostatními a případně se zaměřit na zlepšení boje s nebezpečným obsahem.
Další příjemnou zprávu nám zanechala společnost Architelos na našem Twitteru. Pogratulovala doméně .cz k dobrému umístění (v sekci Excellent) v jejich reportu týkajícím se bezpečnosti webových stránek provozovaných na jednotlivých doménách prvního řádu. Jejich služba NameSentry, na jejímž základě byl report sestaven, pracuje s daty ze služeb jako jsou Internet Identity, SURBL, Spamhaus, MalwareURL, ZeusTracker, SpyeyeTracker, či Malware Domain List. Toto umístění nás velmi těší, je vidět, že i přes skutečnost, že si .cz doménu mohou registrovat i zájemci ze zahraničí, což vždy zvyšuje riziko nákupu doménových jmen za účelem jejich zneužití, doména .cz počítačové zločince nepřitahuje. Jistě na to mají vliv i pravidla pro nakládání s takovýmito doménami, která jsou jasně zakotvena v pravidlech registrace .cz domény, a také preventivní činnost našeho bezpečnostního týmu, který upozorňuje majitele doménových jmen v případě, kdy dojde ke zneužití jejich doménového jména.
Hledejte nás v tom zeleném sloupečku :-)
Pavel Bašta
Ohlédnutí za IETF 83
Jelikož jsem v předchozích dvou blogpostech o OpenID a WHOISu nalákal čtenáře na IETF 83, sluší se přinést nějaký report o tom, jak tato konference splnila očekávání. Dá se říct, že více než dostatečně.
Jak už je na IETF zvykem, je neděle věnovaná tutoriálům. Mezi ně byl trochu narychlo zařazen i tříhodinový tutoriál na OpenID Connect. To ještě více umocnilo fakt, že tato konference byla problémům digitálních identit věnovaná víc než jsem sám čekal. V zajímavé souhrnné prezentaci bylo zmíněno i probíhající vzájemné testování existujících implementací. Zájemcům o OpenID Connect bych určitě doporučil blogy jeho autorů, zejména články OpenID Connect in a nutshell a Designing a Single Sign-on system using OAuth 2.0. A pokud někdo stále nerozumí rozdílům mezi OpenID a OAuth, existuje i Dummy’s guide. Na závěr byl prezentován i projekt AccountChooser jako nástroj pro poskytovatele služeb, kteří chtějí implementovat jednotné přihlášení napříč technologiemi. Jak udělat správně uživatelské prostředí na straně poskytovatele služeb je zjevně oříšek a nikdo není spokojen s tím co se nazývá NASCAR UI – desítky barevných tlačítek s různými poskytovateli, mezi kterými si uživatel musí nalézt toho svého.
Z pondělních pracovních skupin zaujala NETMOD, jejíž cíl je vydefinovat univerzální datové modely pro vzdálenou konfiguraci různých prvků pomocí protokolu NETCONF. Na datovém modelu pro konfiguraci routingu totiž pracuje Láďa Lhotka z našich laboratoří. Odpolední technické „plenary“ začalo připomenutím druhého dne IPv6, na který se připravujeme i my. Potom už byly hlavními tématy TLS, problémy certifikačních autorit a zabezpečení webu obecně, které se lehce vyhrotilo při kritice tvůrců prohlížečů spočívající v tvrzení, že napadené nebo pochybné certifikační autority neodstraňují z prohlížečů flexibilně.
Avizovaná panelová diskuze o OpenID a OAuth pořádaná organizací ISOC v úterý před polednem byla pro auditorium, ve kterém seděli zástupci různých (číselných i doménových) registrů, spíše seznamovací. Její obsah nejspíš jen vyvolal v posluchačích otázky, které jsme si my položili již dříve a odpověděli na ně v podobě služby MojeID. V navazující pracovní skupině KITTEN, o které jsem se zmiňoval dříve v souvislosti s použití OpenID pro zabezpečení dalších internetových protokolů, se pouze probral stav existujících dokumentů bez nějakého zásadního posunu. To na WEIRDS se očekávala bouřlivá diskuze o podobě nového WHOIS protokolu. Překvapivě se ozvali pouze jednotlivci, kteří mají obavy o zbytečně vynaložené úsilí. Navržený „charter“ pro připravovanou pracovní skupinu tedy bude poslán ke schválení příslušným orgánům IETF. V podvečer ještě zasedla pracovní skupina DNSEXT. Na ní Ondra Surý z našich laboratoří prezentoval navrhovanou úpravu protokolu IXFR. Tato pracovní skupina se pravděpodobně setkala naposledy; její odsouhlasené rozpuštění již čeká pouze na administrativní proceduru.
Středeční program nabídl mimo jiné pracovní skupinu TLS. Ta probírala rozšíření mechanismů pro získání certifikátů při navazování TLS spojení, např. z DNS, jak bylo schváleno v rámci pracovní skupiny DANE. Tato pracovní skupina již všechny svoje dokumenty dokončila a jsou v procesu schvalování, takže pro ni nebyl důvod se tentokrát scházet.
A opět ty identity. Na čtvrteční ráno byl naplánován BOF týkající se protokolu SCIM (Simple Cloud Identity Management). Velcí poskytovatelé cloudových služeb by si rádi standardním způsobem synchronizovali data o uživatelích. Navrhli tedy protokol, který má standardizovány operace pro založení, zobrazení, změnu a zrušení (CRUD) vzdáleného kontaktu spolu s univerzální datovou strukturou v XML a JSONu. Jestli vám to připomíná EPP, které používáme v našem doménovém registru, tak mně také. To jen ukazuje, že staré nápady jsou neustále recyklovány a možná není daleko doba, kdy místo EPP protokolu budeme také používat nějaký REST protokol nad HTTP. Následovala druhá panelová diskuze týkající se OpenID, OAuth a tentokrát i BrowserID. Je více než zřejmé, že BrowserID nemůže OpenID aktuálně plnohodnotně nahradit. Pracovní skupina OAUTH poté řešila hlavně tzv.“rechartering“, tzn. změnu svých cílů. Pro OpenID Connect bude důležité, jestli si pracovní skupina vezme za své některé osiřelé specifikace, na kterých je závislý jako např. Simple Web Discovery. Proti tomu se zvedl částečný odpor, neboť se opět jedná o alternativní přístup k něčemu, na co již existují v IETF jiné standardy host-meta a webfinger.
Závěrečnou tečku za konferencí udělala v pátek pracovní skupina DNSOP. Hlavním tématem bylo TTL a jeho snižování nebo zvyšování. Inženýři z Verisign navrhují jeho výrazné zvýšení jako ochranný mechanismu proti případné nedostupnosti autoritativních serverů. Jejich japonští kolegové naopak doporučují výrazné snížení jako ochranný mechanismus z důvodu rychlého zotavení z případné chyby např. v souvislosti s technologií DNSSEC. K tomu se samozřejmě ještě přidává zákaznický pohled, neboť uživatelé samozřejmě chtějí vidět svoje požadované změny okamžitě. Jednoznačná odpověď asi neexistuje.
Jaromír Talíř
Německo povoluje registraci domén se znakem „ß“
Němci mohou při registraci doménových jmen použít všechny znaky své abecedy. DENIC totiž povolil registraci doménových jmen se znakem „ß“ („es-zett“, „ostré s“). Užití tohoto znaku dovoluje nový IDNAbis standard od 4. srpna t. r. Spuštění registrací bylo rozděleno opět do dvou fází – od 26. října mohly o registraci domén požádat subjekty, které již vlastnily domény obsahující „ss“ (zdvojeným „s“ se již od 90. let v některých případech „ß“ nahrazuje). Sunrise period skončila 16. listopadu a bylo během ní úspěšně zaregistrováno 5 172 „ß“-domén. Nyní už o registraci domény s písmenem „ß“ může požádat kdokoliv a během prvních dvou hodin bylo přijato přes 187 tisíc žádostí o registraci. Ne všichni však již mají nový IDN standard implementován, takže se může stát, že po zadání názvu „ß“ domény do prohlížeče bude uživatel přesměrován na variantu s „ss“, přestože se bude jednat o dvě různá doménová jména.
Zuzana Durajová