Názory k článku
V CZ je nejvíce domén chráněných DNSSEC na světě

To by me zajimalo, proc jsou mezi prvnimi narodnimi domenami, ktere DNSSEC pouzivaji takovy prdelky typu africka republika apod. a ne vyspele staty.

Uplne prvni bylo Svedsko, celkem brzy jsme se pripojila treba Brazilie, Bulharsko a my. Nedavno podepsalo i Portugalsko a rada dalsich vetsich registru postupuje. Napriklad ted je podepsana domena .uk pomoci „falesnych“ klicu a radny podpis je naplanovan na pondeli.

To, ze Namibie (to jste asi myslel oznacenim „africka republika“) podepsala drive nez treba Holandani ma vice duvodu. Jednim z nich je, ze podpis a zavedeni celeho procesu DNSSECu ve velke domene je radove slozitejsi nez v male. A pak domenu .na spravuje velmi sympaticky a aktivni gynekolog E. Lisse, ktery o to africke prvenstvi hodne stal. :-)

Tak to s tím gynekologem mě opravdu pobavilo :-)
Jinak v čem přesně je o tolik sližitější podepsat „velkou“ doménu oproti „malé“? Asi bych si měl (znovu) přečíst principy DNSSEC.

No jde o vykon, protoze pokud podepisujete treba .com, tak s beznym PC byste to pocital mozna pul dne. Ale update zony se musi delat preci jen trochu casteji. Dalsim problemem je distribuce zony na „vzdalena“ mista. Musite posilat jen rozdily a chytre pouzivat starsi signatury, abyste dokazal vubec zonu distribuovat.

Malou zonu muzu podepisovat na beznem HW kazdych 15 minut a pres kompletni AXFR to posilat na slaves.

ono DNSsec zas tak dobre neni..

doporucoval bych precist neco o DNS and dnscurve

http://dnscurve.org/
http://cr.yp.to/djbdns.html

1) Nic.cz bude u domény indikovat 3 stavy (podpis je a souhlasí s údaji, podpis je a nesouhlasí!!! s údaji, podpis není). Nyní svítí zelená fajfka i když podpis potvrzuje zcela jiné DNS záznamy (což člověka nijak nevaruje před možnými problémy).

2) Většina poskytovatelů připojení (když už ne všichni) budou tuto informaci využívat k ověření DNS záznamů a vrátí něco trochu jiného než prostou 404 (aby uživatel věděl, že má lišku v kurníku nebo problém u nastavení domény). Dle mých zkušeností je dnes DNSSEC policistou, který kontroluje papíry řidičům autobusu, jenže téměř žádný autobus mu nezastavuje – a oproti realitě, postihnout jej za to nelze.

3) Budou zcela vymýceny problémy, kdy doména s platným DNSSEC k aktuálním DNS záznamům nevracela žádný obsah, protože provider měl nějaký problém (viz http://webtrh.cz/23598-problemy-zavedenim-dnssec?p=168462) – možná již není aktuální – byl bych za to rád!

Problem je daleko hlubsi a to nejen tim ze internet neni jen web, jak evidentne uvazujete. Dokud nebudou (skoro) vsechny domeny podepsane je cely DNSSEC k nicemu.

Ano, zabývám se převážně webem a na výše uvedené problémy jsem nedávno narazil. Věřím, že můj pohled na problematiku je jen malou výsečí možností, které DNSSEC nabízí. Přesto mi DNSSEC nadělal v době nedávné pár problémů (nedostupnost webu skrze konkrétního providera, nedoručitelnost mailu na určité schránky) – a nikdo netušil, v čem je problém (NIC.cz svítí zeleně, jinde web funguje…)A pak jsme zjistili, že „za to může“ právě DNSSEC, o který se klient neprosil a který mu byl v dobré víře přidělen.

1) Vypis ve whois u domeny, tedy treba http://www.nic.cz/whois/?d=nic.cz , pouze indikuje, ze domena ma v registru ulozeny verejnou cast klice. Pokud chcete vice informaci o validaci domen, doporucuji Vam treba tento doplne pro firefox. http://labs.nic.cz/page/691/dnssec-doplnek-pro-firefox/

2) 404 je pojem z HTTP sveta, to s DNS nema nic spolecneho.

3) Pokud ma nejaky ISP spatne nastavene DNS at uz s nebo bez podpory DNSSEC, je potreba kontaktovat jej. S tim nema DNSSEC nic do cineni. Je to podobne, jako kdybyste argumentoval, ze by se nemelo zavadet DNS vubec, protoze resolvery nejakeho ISP nefunguji spolehlive (a mimochodem nedavno k takove veci u velkeho ISP doslo).

1) díky za info, zkusím.

2) Ano, nicméně, jak má člověk poznat, že mu nefunguje nějaká stránka kvůli chybě u providera/na doméně? Kdyby provider na takové stránce upozornil – nesouhlasí DNSSEC – člověk by přišel na problém hned a ne až po užití anonymizéru, testu přes mobilní operátory a telefonáty k provideru, že je někde chyba. Je tu technika pro lidi, nebo lidé pro techniku? Možná to jen nešikovně vysvětluji, sám nejsem v této oblasti technikem…

3) Tím chci říci, že já domény svých klientů nechám podepsat rád, až nebudou takovéto dětské nemoci tak časté, jak jsem se s nimi měl tu čest seznámit. Vysvětlovat klientovi, že mu nejede web u jeho zákazníků proto, že je nějaký nedostatek v implementaci poskytovatele připojení již opravdu nechci. Nechápou to a právem pak ze svého pohledu argumentují, že než takové problémy, tak to raději žádný DNSSEC ani jiný bazmek nechtějí.

2) Obecne lze rict, ze pokud je chyba v DNS resolvingu u ISP, poznava se to pro laika obtizne. Nicmene to DNSSEC az tak zasadne nemeni. Je to dobry namet k zamysleni, mozna by se nejaky jednoduchy nastroj hodil.

3) Tezko Vam radit, doufal bych, ze klient pochopi, ze nektery ISP ma ve sve siti neco chybne, ale neznam podrobnosti. Kazdopadne diky postupu DNSSECu si myslim, ze podobne prehmaty budou mit stale vetsi dopad a proto takovy ISP bude na tyto veci mnohem peclivejsi.

3) Klient nepochopil (a já se mu nedivím), proč by měl pro hypotetickou vyšší zabezpečenost (která, jak vidno, moc nefungovala) přicházet o reálné zákazníky – když to není nutné. Rád mu nechám doménu znovu podepsat, až ISP budou v tomto ohledu obecně pečlivější, ale do té doby si dávám pozor…

Ad 2) Tento problém také řeší doplněk DNSSEC Validátor. V případě stránky, u které selhala validace se zobrazí červený klíček s hláškou o selhání validace.

a v Nemecku je nejvic DE domen chranenych DNSSEC na svete ......

V Nemecku zatim DNSSEC nefunguje, byt na tom Nemci jiz pracuji. Kazdopadne titulek rika, ze v .cz je nejvice podepasnych domen na svete. Tedy vice nez v jakemkoliv jinem registru.

DNSSEC je super vec, ale bohuzel ne vsichni registratori tuto moznost podporuji. Par vlastovek jako active24 tu sice je, ale podsatne jako Ignum (domena.cz) bohuzel stale otaleji :(
viz oficialni forum Ignum:
ignum.cz/forum/re­ad.php?6,2027

Nunak – Karel Peran

centralni zprava, procesy, administrace + prace navic kterou nikdo nezaplati .. mam pokracovat ? :)
Ale ano mate pravdu nic mi nebrani prejit tam kde to nabizi … bohuzel ..

Nunak – Karel Peran

A jakou informaci obsahovala ta „centrální zpráva“? ;-)

Naprosto se pripojuji, nedavno jsem Ignum telefonicky poptaval, ale ledy se nepohnuly a minimalne v dalsim pulroce nepohnou. :-(.

Pomuze nam DNSSEC k eliminovani utoku typu man-in-the-middle, pokud bude utocnik mezi nameserverem a klientem, ktery tento nameserver pouziva tj. utocnik se bude vydavat za tento nameserver a vracet klientovi jine zaznamy, nez jsou ve skutecnosti ?
Diky !

Nepomůže, proto existuje DNS server Unbound, který bude ověřovat data došlá do počítače. Obsahuje klíč k serveru, přes který se kontroluje pravost adres. Tento program se dá používat i jako DNS forwarder.

Dokud nebude validace primo na klientske stanici, tak ne. Ale to je v zasade mozne udelat (alespon na Unixech).

Opravdu je nutné podepisovat domény, když tu máme kryptografické protokoly? Na stránky banky snad všichni přistupují přes https, takže se podvržení dns snadno odhalí. Tam kde jde o bezpečnost se prostě použije šifrování a je po problému.

Kompletni odpoved by byla pomerne dlouha, odpovim tedy jen v par bodech:

1) K elektronickemu bankovnictvi se skutecne obvykle pristupuje pomoci https, ale mimochodem mnoho uzivatelu tam chodi odkazem z homepage banky (ktera je obvykle bez https). Ale uvedomte si, ze pokud umite presmerovat DNS, dokazete casto i ziskat pro takovou domenu alespon nejaky certifikat, ktery Firefox/IE akceptuji. (Zkusenosti ukazuji, ze nekdy lze ziskat takovy certifikat i bez napadeni DNS. Bohuzel.)

2) Dale tu mate zpravodajske servery, u ktery je pouziti https pomerne zbytecne, ale asi by bylo dobre, aby bylo zaruceno, ze informace pochazeji prave od nich. Jiste si umite predstavit, co by se delo, pokud by na nejakem velkem zpravodajskem serveru objevila nejaka hodne poplasna zprava. Mohlo by to negativne ovlivnit chovani mnoha lidi.

3) Bohuzel porad jeste pouzivame protokol SMTP a presmerovavat maily je diky napadeni DNS velmi jednoduche. Plosne nasazeni SSL varianty se zatim bohuzel nekona.

4) Diky nasazeni DNSSEC se stava v DNS zabezpecena databaze. Tento maly detail umoznuje nasazeni zcela novych sluzeb/zaznamu. Jeden z nich je kuprikladu SSHFP. Pokud mate zkusenosti se ssh a take vzdycky automaticky akceptujete certifikat protistrany a rikate si, ze to asi neni dobre, tak jiste prave SSHFP ocenite.

A co udělá smtp server, když zjistí, že si vyresolvoval podvrženou ip adresu? Nedoručí e-mail a vrátí ho odesílateli?

Ad 1) Podle mne pořád hodně záleží na zkušenostech uživatele, jak moc se nechá oblbnout.

Ad 2) Pokud data nejsou digitálně podepsaná, tak nemůžu mít nikdy zaručeno, že jsou autentická. Uznávám, že se v tomto případě se potlačí alespoň jedna cesta jak data změnit.

Přesvědčen tímto článkem o masovém nasazení dnssec, jsem si zapnul na nameserveru ddnssec-validation.
Podle návodu na nic-cz a isc.org, jsem si nastavil lv.isc.org. Bohužel dnssec.cz pořád smutně zobrazoval černený klíč. Po chvíli laborování, nastavení statického trusted-key pro cz, pár reloadů a flush jsem uviděl na dnssec.cz vytoužený zelený klíč.
No a po pár hodinách surfování jsem raději ddnssec-validation zase vypnul. Spousta domén začala zlobit, mimo jiné mozilla.org a postgresql.org.

Další pokus snad za pár let, až to budou všichni podporovat.

musím říct, že mě DNSSEC přineslo jenom problémy. Převáděl jsem několik domén se zapnutým DNSSEC od Active24 k jinému registrátorovi + změna tecnického správce na vlastní NS servery. Všechno vypadalo normálně, žádná chyba a ejhle – někteří provideři najednou domény neznali. Ani ping,ani dig, ani lookup, jejich NS servery odmítali překládat, protože si mysleli že požadavek je „podvržený“. Ovšem že by mi nějaký systém ať už na NIC nebo u registrátora indikoval problém – ani náhodou. Ničím neošetřeno, bordel, bordel, musel jsem to nakonec nechat autorizvaným požadavkem vypnout. Nepomohla ani implementace nových keysetů na našem NS serveru – stejně u některých providerů docházelo k občasným výpadkům – prostě občas domény „neznali“. A zelená fajfčička na NIC svítila vesela dál. Když už k***va něco takovýho nasadím, tak to předtím musím otestovat ze všech možných stran, jinak bude celá slavná technologie na h***o. Navíc to teda dost zatěžuje NS server, blbý šifrování. Omlouvám se za poněkud ostřejší tón, ale strávil jsem s tím několik zcela zbytečných člověkohodin