1. V popisu zprovozneni DNSSEC je doporuceno se prihlasit k odberu aktualit na https://lists.nic.cz/mailman/listinfo/dnssec-announce . Pri nacitani stranky mi to pise upozorneni - "neplatny certifikat, nedoporucujeme pokracovat". Co si o tom mam myslet?
2. Na http://www.nic.cz/dnssec/ je nejaky obrazek (rozlomeny klic) s napisem "Test ochrany pomoci DNSSEC". Mam to chapat tak, ze pokud budu mit spravne nastavene DNSSEC, tak se zmeni obrazek? Tj. je to realtime test?
DNSSEC chrání 245 českých domén
4. 11. 2008 7:52
Petr Krčmář
Od konce září je česká doména podepsaná a provozovatelé webů tak mohou k zabezpečení svých DNS záznamů využít technologii DNSSEC. Správce domén CZ.NIC nyní vydal zprávu, ve které bilancuje první měsíc provozu tohoto bezpečnostního rozšíření DNS. Celkem je podepsáno 245 domén od 93 různých držitelů. Podrobné informace naleznete na webu DNSSEC.cz.
aura:95
4. 11. 2008 16:53
Nový
Re: chybny certifikat
celé vlákno
ad 1) zajimave :) ze by meli self-signed certifikat?
ad 2) ano, je to realtime test, pokud mate aktivni DNSSEC na vasem rekurzivnim DNS serveru, klic se zobrazi zelene. Funguje to tak, ze existuje domena rhybar.cz, ktera je umyslne upravena tak, aby jeji data nesla overit pomoci DNSSEC. Z teto domeny se pak na nic.cz/dnssec/ nacita css soubor, ktery skryje zeleny klic a zobrazi klic cerveny.
Jinak tech domen uz je o par kusu vic, sam jsem si na jedne sve domene DNSSEC zprovoznil vcera a dalsi domeny budou nasledovat. Musim ale rict, ze dokumentace je zalostna a v ceskem prekladu DNS HOWTO jsem se misty ztracel natolik, az jsem nakonec radeji otevrel originalni anglickou verzi.
Naopak hodne pri zavadeni DNSSEC pomuze dokument DNSSEC za 6 minut, ktery je k nalezeni na podpora.nic.cz. Ani ten vsak sam o sobe nerekne vsechno a tak je potreba se zahloubat do internetu a hledat, co a jak presne nakonfigurovat, nastavit a jak pripadne podepisovat zony (napr. dulezita rotace klicu neni nikde v prikladech k nalezeni).
Nicmene 250 domen ze 480 tisic je porad zalostne malo. Otazkou je, jestli za to muze nedostatek kompatibilniho softwaru, dokumentace, absence technickych prostredku pro realizaci nebo lenost spravcu.
O DNSSEC se aktivne zajimam par tydnu a za tu dobu me prekvapilo dost veci, napr. ze jeden z nejvetsich ceskych registratoru (IGNUM) DNSSEC nepodporuje, cimz vysachovava ze hry moznost, ze by DNSSEC v dohledne dobe zprovoznily nejvetsi hraci na ceskem portalovem trhu (Seznam, Centrum, Atlas). V tomto takrikajic vede MAFRA, jejiz mfd.cz a lidovky.cz uz DNSSEC zavedeno maji.
ad 2) ano, je to realtime test, pokud mate aktivni DNSSEC na vasem rekurzivnim DNS serveru, klic se zobrazi zelene. Funguje to tak, ze existuje domena rhybar.cz, ktera je umyslne upravena tak, aby jeji data nesla overit pomoci DNSSEC. Z teto domeny se pak na nic.cz/dnssec/ nacita css soubor, ktery skryje zeleny klic a zobrazi klic cerveny.
Jinak tech domen uz je o par kusu vic, sam jsem si na jedne sve domene DNSSEC zprovoznil vcera a dalsi domeny budou nasledovat. Musim ale rict, ze dokumentace je zalostna a v ceskem prekladu DNS HOWTO jsem se misty ztracel natolik, az jsem nakonec radeji otevrel originalni anglickou verzi.
Naopak hodne pri zavadeni DNSSEC pomuze dokument DNSSEC za 6 minut, ktery je k nalezeni na podpora.nic.cz. Ani ten vsak sam o sobe nerekne vsechno a tak je potreba se zahloubat do internetu a hledat, co a jak presne nakonfigurovat, nastavit a jak pripadne podepisovat zony (napr. dulezita rotace klicu neni nikde v prikladech k nalezeni).
Nicmene 250 domen ze 480 tisic je porad zalostne malo. Otazkou je, jestli za to muze nedostatek kompatibilniho softwaru, dokumentace, absence technickych prostredku pro realizaci nebo lenost spravcu.
O DNSSEC se aktivne zajimam par tydnu a za tu dobu me prekvapilo dost veci, napr. ze jeden z nejvetsich ceskych registratoru (IGNUM) DNSSEC nepodporuje, cimz vysachovava ze hry moznost, ze by DNSSEC v dohledne dobe zprovoznily nejvetsi hraci na ceskem portalovem trhu (Seznam, Centrum, Atlas). V tomto takrikajic vede MAFRA, jejiz mfd.cz a lidovky.cz uz DNSSEC zavedeno maji.
Sten (neregistrovaný)
4. 11. 2008 16:55
Nový
Re: chybny certifikat
celé vlákno
1. To, že nemáte nainstalován veřejný klíč certifikační autority CZ.NIC.
2. Pravděpodobně jde o test, jestli je reverzní záznam pro IP adresu návštěvníka podepsán pomocí DNSSEC.
2. Pravděpodobně jde o test, jestli je reverzní záznam pro IP adresu návštěvníka podepsán pomocí DNSSEC.
lol (neregistrovaný)
4. 11. 2008 18:24
Nový
Re: chybny certifikat
celé vlákno
nuz taka organizacia by mohla mat certifikat od trusted ca a nie self-signed - cele ssl by bolo onicom, keby neexistoval institut trusted ca
mmm (neregistrovaný)
6. 11. 2008 9:53
Nový
Re: chybny certifikat
celé vlákno
Mnohem raději budu věřit certifikátu přímo od nic.cz, než od nějaké pochybné "trusted" CA. Význam "trusted" CA je dosti přeceňován a už nejednou nás historie naučila, že se jim nedá důvěřovat na 100%. Pokud vím ani sám velký Google nepoužívá certifikáty podepsané "trusted" CA, ale vlastní autoritou.
Sten (neregistrovaný)
7. 11. 2008 14:55
Nový
Re: chybny certifikat
celé vlákno
Ten certifikát není self-signed, jen není podepsán certifikační autoritou, jejíž veřejný klíč máte nainstalován v prohlížeči. To je totiž jeden z velkých problémů certifickátů: nelze vytvořit podpisový řetěz.
