DNSSEC se blíží: zóna .CZ je nyní podepsaná
2. 9. 2008 16:27
Petr Krčmář
Sdružení CZ.NIC včera podepsalo zónu .CZ, čímž učinilo jeden z posledních kroků nutných k ostrému spuštění technologie DNSSEC. K tomu dojde na konci září tohoto roku. Příprava zavedení technologie DNSSEC probíhá podle scénáře, který sdružení představilo letos v březnu. V průběhu dubna došlo k podepsání domén 0.2.4.e164.arpa a zároveň ke zveřejnění podepisovacího klíče do nadřazené domény e164.arpa, kterou spravuje organizace RIPE. Díky této události se Česká republika stala první zemí, která zavedla DNSSEC pro ENUM. DNSSEC klíč, které je potřeba pro využití technologie DNSSEC v doméně .CZ, je k dispozici na internetové adrese www.nic.cz/dnssec.
(Zdroj: Tisková zpráva)
nerad (neregistrovaný)
2. 9. 2008 18:03
Nový
ach jo
celé vlákno
Nutno dodat, že díky DNSSEC, které spustila CZ.NIC bez diskuze, nám nejspíše *a*erou cz zónu diakritikou nepropojenou na původní domény. Takže zive.cz bude něco jiného než živě.cz a něco jiného než zíve.cz a něco jiného než žive.cz a ...
aura:99
nerad (neregistrovaný)
2. 9. 2008 20:39
Nový
Re: ach jo
celé vlákno
Ne, CZ.NIC používá existenci DNSSEC jako argumentaci proti jakémukoliv neparazitnímu a užitečnému nasazení IDN. Takže zbývá už jen to parazitní a to se naopak neustále snaží protlačit.
aura:99
2. 9. 2008 21:03
Nový
Re: ach jo
celé vlákno
Čím? Tím, že dělá pravidelné průzkumy mezi lidmi nebo tím, že vytváří informační weby, na kterých upozorňuje především na problémy spojené s IDN?
LENIN POWER! (neregistrovaný)
2. 9. 2008 22:00
Nový
IDN
celé vlákno
ja nechapu proc se cznic pta nejakych 400 nahodnych pablbu z ulice. co do toho nemaji co kecat?
Verisign se vzdycky pta registratoru (a o dulezitych vecich hlasujeme) protoze ti verisignu plati. Zbytek do toho proste nema co kecat, no mozna trochu icann. Je to nas byznys a jsou v nem nase nemale prachy a soudni spory musime resit my a ne Verisign, ten na to zvysoka kasle a pocka si jen na vyrok soudu.
Asi fakt nema cenu delat cesky domeny, akorat je na nich lakave to, ze jsou narozdil od verisignu prakticky zadarmo a pouzivaji stejny protokol. Takze investice do infrastruktury minimalni, zato se je potreba pripravit ze Cesi budou asi delat dost problemy, coz je jedine v cem cesky narod ve srovnani se svetem vynika. Cesi jsou strasne tupej a zbabelej narod.
tohleto to je fakt hruza cist, od kdy ma mi sebranka z ulice kecat do byznisu. Neverim vlastnim ocim. Kdyz maji nejake pripominky necht se obrati na soud, nas pravnik se tomu bude venovat. Vlada lidu, tzv. demokracie se taky nepraktikuje tak ze se ptate pablbu na ulici jaka vyse dani by jim asi tak vyhovovala.
http://www.xn--hkyrky-ptac70bc.cz/files/nic/doc/IDN_individuals_02_2006.pdf
netreba panikarit, trh to jako vzdy vyresi. Pokud budou registratori dostavat prilis zalob, zvednou u IDN domen cenu pripadne je nebudou nabizet.
Verisign se vzdycky pta registratoru (a o dulezitych vecich hlasujeme) protoze ti verisignu plati. Zbytek do toho proste nema co kecat, no mozna trochu icann. Je to nas byznys a jsou v nem nase nemale prachy a soudni spory musime resit my a ne Verisign, ten na to zvysoka kasle a pocka si jen na vyrok soudu.
Asi fakt nema cenu delat cesky domeny, akorat je na nich lakave to, ze jsou narozdil od verisignu prakticky zadarmo a pouzivaji stejny protokol. Takze investice do infrastruktury minimalni, zato se je potreba pripravit ze Cesi budou asi delat dost problemy, coz je jedine v cem cesky narod ve srovnani se svetem vynika. Cesi jsou strasne tupej a zbabelej narod.
tohleto to je fakt hruza cist, od kdy ma mi sebranka z ulice kecat do byznisu. Neverim vlastnim ocim. Kdyz maji nejake pripominky necht se obrati na soud, nas pravnik se tomu bude venovat. Vlada lidu, tzv. demokracie se taky nepraktikuje tak ze se ptate pablbu na ulici jaka vyse dani by jim asi tak vyhovovala.
http://www.xn--hkyrky-ptac70bc.cz/files/nic/doc/IDN_individuals_02_2006.pdf
netreba panikarit, trh to jako vzdy vyresi. Pokud budou registratori dostavat prilis zalob, zvednou u IDN domen cenu pripadne je nebudou nabizet.
uživatel si přál zůstat v anonymitě
3. 9. 2008 19:06
Nový
Re: IDN
celé vlákno
Teď nemám na hlavě žádnou čepici, je to jen můj soukromý názor.
Vzhledem k povaze poskytované služby se nemůže jednat nikdy čistě o čistý byznys. Proto se CZ.NIC snaží přihlížet k názorům těch, kdo služby využívají. A pak je tady samozřejmě valná hromada (resp. je to trochu složitější, viz. stanovy), kde jsou jak zástupci ISP, registrátorů a držitelů domén - tedy pokud by představenstvo dostalo na valné hromadě zadání implementovat IDN, tak by se IDN implementovalo. Žádné takové zadání ze strany členské základny nevzešlo. Proč se dělají průzkumy vám vysvětlovat nemusím.
CZ.NIC čepice nasazena:
Pokud máte potřebu ovlivnit, kam sdružení CZ.NIC směřuje a jste právnická osoba, tak vstupte do sdružení, buď do komory držitelů domén nebo se můžete stát registrátorem (a ano, máme i zahraniční registrátory) a vstoupit do komory registrátorů.
Vzhledem k povaze poskytované služby se nemůže jednat nikdy čistě o čistý byznys. Proto se CZ.NIC snaží přihlížet k názorům těch, kdo služby využívají. A pak je tady samozřejmě valná hromada (resp. je to trochu složitější, viz. stanovy), kde jsou jak zástupci ISP, registrátorů a držitelů domén - tedy pokud by představenstvo dostalo na valné hromadě zadání implementovat IDN, tak by se IDN implementovalo. Žádné takové zadání ze strany členské základny nevzešlo. Proč se dělají průzkumy vám vysvětlovat nemusím.
CZ.NIC čepice nasazena:
Pokud máte potřebu ovlivnit, kam sdružení CZ.NIC směřuje a jste právnická osoba, tak vstupte do sdružení, buď do komory držitelů domén nebo se můžete stát registrátorem (a ano, máme i zahraniční registrátory) a vstoupit do komory registrátorů.
aura:75
3. 9. 2008 19:14
Nový
Re: IDN
celé vlákno
Nějak jsem si nevšiml, že jsem odhlášený. Tak přidávám svou identifikaci ;)
LENIN POWER! (neregistrovaný)
5. 9. 2008 12:37
Nový
Re: IDN
celé vlákno
No jak jsem si zjistoval tak nas soft (verisign core akreditovany) by s vasim divadlem fred stejne bez modifikaci nefungoval protoze jako spousta jinych top level registatoru nepouzivate standardni EPP (rfc 4930, 4931, 4932, 4933, 4934). Zaukoloval jsem admina at ten vas system stahne a nainstali a opravdu to s nim nefuguje.
nejdou delat domain transfery mezi registratory (no to bych jeste chapal) ale to ze nejdou vytvaret nameserver pairs. Ja vim realita je takova, ze to u vas neopravíte nikdy, proc taky, ostatní se vam holt musi přizpůsobit a s jinym regstrem komunikovat nemusite, takze vas kompatibilita netrapi.
modules loaded:
EU EPP
GR EPP
SWITCH EPP
LU EPP
COCCA EPP
[....]
43 modules ....
K cemu se pisi RFC o EPP, kdyz je kazdy registr kompatibilni jen sam ze sebou. Vlastne ted jim krivdim litva a svycari pouzivaji stejny protokol.
Kdyby nekoho zajimal byznis registratora, tak ma cenu delat jen org.net.com a .de. Se vsim ostatnim je vice starosti nez zisku, nicmene delat se to holt musi, protoze zakaznici chteji mit vsechny domeny na jednom miste.
nejdou delat domain transfery mezi registratory (no to bych jeste chapal) ale to ze nejdou vytvaret nameserver pairs. Ja vim realita je takova, ze to u vas neopravíte nikdy, proc taky, ostatní se vam holt musi přizpůsobit a s jinym regstrem komunikovat nemusite, takze vas kompatibilita netrapi.
modules loaded:
EU EPP
GR EPP
SWITCH EPP
LU EPP
COCCA EPP
[....]
43 modules ....
K cemu se pisi RFC o EPP, kdyz je kazdy registr kompatibilni jen sam ze sebou. Vlastne ted jim krivdim litva a svycari pouzivaji stejny protokol.
Kdyby nekoho zajimal byznis registratora, tak ma cenu delat jen org.net.com a .de. Se vsim ostatnim je vice starosti nez zisku, nicmene delat se to holt musi, protoze zakaznici chteji mit vsechny domeny na jednom miste.
aura:75
5. 9. 2008 13:06
Nový
Re: IDN
celé vlákno
Jestli to nebude tím, že ty standardní EPP moc nereflektují realitu a potřeby registrů a registrátorů.
AFAIK se od RFC 4930 neodchylujeme (čisté EPP). A RFC 4934 taky používáme (EPP over TCP). Nicméně objekty domén, kontaktů a nameserverů jsme navrhli vlastní.
AFAIK se od RFC 4930 neodchylujeme (čisté EPP). A RFC 4934 taky používáme (EPP over TCP). Nicméně objekty domén, kontaktů a nameserverů jsme navrhli vlastní.
LENIN POWER! (neregistrovaný)
6. 9. 2008 22:23
Nový
Re: IDN
celé vlákno
no zrovna vas zpusob prevodu domen rozhodne nereflektuje potreby registratoru. Ja jako registrator musim mit moznost zrusit uzivateli prechod jinam nebo prodani domeny pokud ma u nas nejake nevyrizene ucty.
umoznujete menit vlastnika bez prodlouzeni na dalsi rok?
typicky scenar: zaregistrujete si par tisic domen, prevedete je jinam, udelate chargeback.
Registrator se pak tezko muze s uzivatelem soudit protoze telefon byl na mobil s predplacenou kartou a kreditka byla kradena. Proto je potreba aby domeny byly majetkem registratora dokud uzivatel muze delat chargeback (2-6 mesicu podle karty).
Proto je v rizikovych zemich s nefunkcnim soudnim systemem (kam patri i ceska republika) nejlepsi domeny registrovat na registratora pokud to tamejsi system umoznuje.
http://www.nic.cz/whois/publicrequest/ K cemu ty blokace jsou, kdyz to vlastniku umoznite oblokovat. Vy nedokazete pochopit ze kdyz za domeny plati registrator a ne vlastnik, tak vlasnik se musi jit domahat o sva prava k soudu protoze s vami nema zadny smluvni vztah a proto do toho nema co kecat. Krom toho stiznosti na registratora resi icann. Bezpecnost nechavam stranou, umoznuje komukoliv kdo ma pristup k emailu ukradnout domenu, coz ma admin systemu treba na webhostingu bezne.
RFC nedodrzujete, XSD schemata mate pod GPL licenci, takze je nemuzeme pouzit, popis protokolu (slovni) neni, zonefiles davate jen pres AXFR ktere navic nesmime dal sirit takze to je to samy jako kdyby nebyly k dispozici vubec, export registru asi vubec, ten si holt budeme muset stahovat pres EPP, coz bude z USA vzhledem RTT kde proleze tak maximalne 6 requestu/sec trvat vecne, denni zmeny registru asi taky k dispozici nedavate, vlasti whois mit nemuzeme, query logy z vaseho na nase domeny taky tezko z vas dostaneme. Statistika .cz domen drzenych zahranicnimy subjekty nevypada ze by o ne byl nejaky extra velky zajem, takze se da cekat jen ze ty sve prevedou k nam coz je tak 2.5 tisice domen, rekneme 10 dolaru za kus to si rocne nevydelame ani na jeden soudni spor v CR. No ja porad ty vyhody proc delat CZ domeny nevidim. Odsouvam na rok 2009.
V aplikaci fred mate mraky db races, zprasena kupodivu neni. Doporucuji si nastudovat neco o tom jak funguji MVCC databaze, pan Stehule vam to jiste rad vysvetli.
umoznujete menit vlastnika bez prodlouzeni na dalsi rok?
typicky scenar: zaregistrujete si par tisic domen, prevedete je jinam, udelate chargeback.
Registrator se pak tezko muze s uzivatelem soudit protoze telefon byl na mobil s predplacenou kartou a kreditka byla kradena. Proto je potreba aby domeny byly majetkem registratora dokud uzivatel muze delat chargeback (2-6 mesicu podle karty).
Proto je v rizikovych zemich s nefunkcnim soudnim systemem (kam patri i ceska republika) nejlepsi domeny registrovat na registratora pokud to tamejsi system umoznuje.
http://www.nic.cz/whois/publicrequest/ K cemu ty blokace jsou, kdyz to vlastniku umoznite oblokovat. Vy nedokazete pochopit ze kdyz za domeny plati registrator a ne vlastnik, tak vlasnik se musi jit domahat o sva prava k soudu protoze s vami nema zadny smluvni vztah a proto do toho nema co kecat. Krom toho stiznosti na registratora resi icann. Bezpecnost nechavam stranou, umoznuje komukoliv kdo ma pristup k emailu ukradnout domenu, coz ma admin systemu treba na webhostingu bezne.
RFC nedodrzujete, XSD schemata mate pod GPL licenci, takze je nemuzeme pouzit, popis protokolu (slovni) neni, zonefiles davate jen pres AXFR ktere navic nesmime dal sirit takze to je to samy jako kdyby nebyly k dispozici vubec, export registru asi vubec, ten si holt budeme muset stahovat pres EPP, coz bude z USA vzhledem RTT kde proleze tak maximalne 6 requestu/sec trvat vecne, denni zmeny registru asi taky k dispozici nedavate, vlasti whois mit nemuzeme, query logy z vaseho na nase domeny taky tezko z vas dostaneme. Statistika .cz domen drzenych zahranicnimy subjekty nevypada ze by o ne byl nejaky extra velky zajem, takze se da cekat jen ze ty sve prevedou k nam coz je tak 2.5 tisice domen, rekneme 10 dolaru za kus to si rocne nevydelame ani na jeden soudni spor v CR. No ja porad ty vyhody proc delat CZ domeny nevidim. Odsouvam na rok 2009.
V aplikaci fred mate mraky db races, zprasena kupodivu neni. Doporucuji si nastudovat neco o tom jak funguji MVCC databaze, pan Stehule vam to jiste rad vysvetli.
uživatel si přál zůstat v anonymitě
2. 9. 2008 23:36
Nový
Re: ach jo
celé vlákno
Mě osobně tedy více zajímá DNSSEC - dle dnešních měřítek bezpečný překlad adres, něžli celé IDN, které je podle mě jen zbytečně nafukovaná bublina. Osobně hodnotím činost CZ.NIC velice kladně.
uživatel si přál zůstat v anonymitě
3. 9. 2008 18:57
Nový
Re: ach jo
celé vlákno
Prosím o uvedení zdroje, ze kterého čerpáte (Hint: žádný takový neexistuje). Jinak je to pouze hloupé tlachání anonyma do větru.
LENIN POWER! (neregistrovaný)
2. 9. 2008 19:34
Nový
Re: ach jo
celé vlákno
cesi uz podporuji hacky carky v DNS? Jestli jo, tak se regnu jako registrator pro .cz. Nekdo mi sem dokonce psal do diskuze pred par mesici na koho se mam obratit jako zahranicni spolecnost.
uživatel si přál zůstat v anonymitě
3. 9. 2008 18:55
Nový
Re: ach jo
celé vlákno
Obávám se, že kauzální souvislost mezi spuštěním DNSSECu a implementací IDN vidíte pouze vy.
lol (neregistrovaný)
3. 9. 2008 1:05
Nový
RE: DNSSEC se blíží: zóna .CZ je nyní podepsaná
celé vlákno
D. J. Bernstein-ov nazor na dnssec aj s vysvetlenim ake ma ten system muchy a preco dnssec nechrani pred dns forgery sa da najst na http://cr.yp.to/djbdns/forgery.html
Predpokladam ze predstavovat mierne paranoidneho DJB netreba, ale v paranoidnom svete kde uz treba podpisovat dns zaznamy je jeho paranoia na mieste... a ked uz sa ma nieco riesit tak poriadne a nie zavadzat systemy nechraniace pred tym, koli comu boli zavadzane ... pride mi to ako cisty microsoftizmus
Predpokladam ze predstavovat mierne paranoidneho DJB netreba, ale v paranoidnom svete kde uz treba podpisovat dns zaznamy je jeho paranoia na mieste... a ked uz sa ma nieco riesit tak poriadne a nie zavadzat systemy nechraniace pred tym, koli comu boli zavadzane ... pride mi to ako cisty microsoftizmus
LENIN POWER! (neregistrovaný)
3. 9. 2008 7:51
Nový
RE: DNSSEC se blíží: zóna .CZ je nyní podepsaná
celé vlákno
DJB prece nemuzete brat vazne. Vzdyt v te odkazovane strance pise se kdyz umite vycrackovat dns tak muzete smirovat SSL transakce. Sance ze utocnik ziska SSL certifikat od Verisignu pro paypal.com jsou ehm. minimalni.
Vladki (neregistrovaný)
3. 9. 2008 14:01
Nový
RE: DNSSEC se blíží: zóna .CZ je nyní podepsaná
celé vlákno
verisign uz jednou vydal certifikat pro Microsoft.com nejakemu podvodnikovi
me (neregistrovaný)
---.36.broadband5.iol.cz
24. 2. 2010 1:13
Nový
Re: RE: DNSSEC se blíží: zóna .CZ je nyní podepsaná
celé vláknoopenDNS nasadila DNSCurve, s DNSSEC zatim vyckava… Proc vzala tato firma DJB vazne? Neni to kontraverzni? DJB opet boduje, sam proti vsem… ;-)
http://blog.opendns.com/2010/02/23/opendns-dnscurve/
http://en.wikipedia.org/wiki/DNSCurve
uživatel si přál zůstat v anonymitě
3. 9. 2008 18:54
Nový
RE: DNSSEC se blíží: zóna .CZ je nyní podepsaná
celé vlákno
Ach jo. Kdybyste alespoň přišel s tím, že DJB navrhl alternativu k DNSSEC, která se jmenuje DNSCurve, ale vy opět papouškujete tu jednu stránku, která je minimálně 5 let stará :-(.
aura:75
3. 9. 2008 19:15
Nový
RE: DNSSEC se blíží: zóna .CZ je nyní podepsaná
celé vlákno
Tady taky ještě připojuji svůj podpis...
A jen tak na okraj, ještě jsem ten zápisek v blogu zaktualizoval.
A jen tak na okraj, ještě jsem ten zápisek v blogu zaktualizoval.
sartori (neregistrovaný)
3. 9. 2008 19:41
Nový
je to divne
celé vlákno
Čekal bych, že společnosti, kterou neustále šmírují tisíce kamer, které nevadí mizerně zabezpečené RFID čipy s biometrickými údaji v pasech ani snahy soukromých splečností cenzurovat internet bude nějaký DNSSEC víceméně ukradený.
No nic, asi si nic lepšího nezasloužíme, zabezpečíme DNS a budeme se cítit o kousek bezpečněji.
No nic, asi si nic lepšího nezasloužíme, zabezpečíme DNS a budeme se cítit o kousek bezpečněji.
aura:75
3. 9. 2008 19:49
Nový
Re: je to divne
celé vlákno
DNSSEC není o šifrování, ale o podpisech. Smyslem DNSSECu je poskytnout klientovi informaci o tom, že data, která získal z DNS nikdo nemodifikoval. Smyslem DNSSECu není ochrana soukromí.
sartori (neregistrovaný)
3. 9. 2008 20:35
Nový
Re: je to divne
celé vlákno
DNSSEC je o podpisech, v tom máte samozřejmě pravdu, na ochranu soukromí ale vliv mít může.
Určitě si pamatujete například dobu, kdy na certifikát podepsaný "nedůvěryhodnou" CA v prohlížeči upozorňovala decentní ikona. Dnes kdyz se chci podívat na svůj web podepsaný svým certifikátem, musím kliknout snad desetkrát než se přes různá upozornění na ten web dostanu.
Hádám časem někoho napadne další "skvělá inovace", že se bez deseti upozornění nepodíváte ani na web domény co nemá podepsanou zónu.
A to všechno v době kdy nás někdo - vláda, Vodafone, ... pod různými důvody neustále o soukromí obírá.
Určitě si pamatujete například dobu, kdy na certifikát podepsaný "nedůvěryhodnou" CA v prohlížeči upozorňovala decentní ikona. Dnes kdyz se chci podívat na svůj web podepsaný svým certifikátem, musím kliknout snad desetkrát než se přes různá upozornění na ten web dostanu.
Hádám časem někoho napadne další "skvělá inovace", že se bez deseti upozornění nepodíváte ani na web domény co nemá podepsanou zónu.
A to všechno v době kdy nás někdo - vláda, Vodafone, ... pod různými důvody neustále o soukromí obírá.
aura:75
3. 9. 2008 20:56
Nový
Re: je to divne
celé vlákno
Nemyslím si, že se v krátké době dostaneme do stavu, kdy bude více domén podepsaných než nepodepsaných, takže toho bych se zrovna nebál. A pokud budete mít na resolveru zapnutý dnssec, tak na špatně podepsanou doménu se nepodíváte vůbec - jeví se jako neexistující.
Nicméně chápu, co se snažíte říct. Bohužel ten trend ve společnosti je už takový, že i velké společnosti (napadá mě taková jedna, co každoročně pořádá C***o expo ;)) předhání v tom, jak navrhnout lepší a lepší zařízení na šmírování.
A člověka to pomalu a pomalu udolává a udolává... už ani nevím, kolik RFID kartiček mám v peněžence... doufám, že jich bude nakonec tolik, že nic přečíst nepůjde, protože se kartičky pobijou navzájem :)))).
Nicméně chápu, co se snažíte říct. Bohužel ten trend ve společnosti je už takový, že i velké společnosti (napadá mě taková jedna, co každoročně pořádá C***o expo ;)) předhání v tom, jak navrhnout lepší a lepší zařízení na šmírování.
A člověka to pomalu a pomalu udolává a udolává... už ani nevím, kolik RFID kartiček mám v peněžence... doufám, že jich bude nakonec tolik, že nic přečíst nepůjde, protože se kartičky pobijou navzájem :)))).
sartori (neregistrovaný)
4. 9. 2008 15:09
Nový
Re: je to divne
celé vlákno
Ano, ale ani ta nejmenovana velka spolecnost ty smirovaci masinky nedela dobrovolne, jen reaguje na poptavku. Nejdriv Cina, pak Ceska republika...
