Již řadu let provozuje CZ.NIC Otevřené DNSSEC Validující Resolvery (ODVR). V dobách, kdy byl DNSSEC v plenkách, jsme měli za to, že je třeba přijít s alternativou DNS resolverů poskytovatelů připojení.
Již řadu let provozuje CZ.NIC Otevřené DNSSEC Validující Resolvery (ODVR). V dobách, kdy byl DNSSEC v plenkách, jsme měli za to, že je třeba přijít s alternativou DNS resolverů poskytovatelů připojení.
Poskytovatelé připojení totiž zaváděli podporu validace DNSSEC velmi pozvolna. Od té doby tedy nabízíme veřejně dostupnou službu, která umožňuje validace domén používajících zabezpečení DNSSEC i v těch sítích, jejichž výchozí DNS resolvery toto nepodporují.
Podpora technologie DNSSEC postupně roste a stává se standardem. V roce 2008 nebyla takto zabezpečena ani jedna .cz doména, na konci roku 2016 pak již každá druhá. Na straně provozovatelů DNS resolverů, tedy převážně poskytovatelů připojení, je situace obdobná, i když vždy byli o něco „pozadu“. Jak lze vyčíst ze statistik Geoffa Hustona (APNIC), přesahuje dnes podpora DNSSEC na DNS resolverech poskytujících služby pro Českou republiku 40 %.
Toto číslo platí konkrétně pro šifrovací algoritmus RSA, který je předchůdcem modernějšího algoritmu ECDSA, na který se postupně přechází. Jeho podpora je nižší (viz mapka níže), ale i zde je trend podpory rostoucí. Od listopadu 2016 vzrostla podpora validace pomocí ECDSA v ČR o 6 % na dnešních téměř 36 %.
Přesto, že se dostupnost DNSSECu od poskytovatelů připojení zlepšuje, stále platí, že většina uživatelů internetu pomocí DNSSECu nevaliduje. ODVR je tu právě pro ně, dokonce jim umožní využívat i již zmíněné ECDSA.
Validace na našem ODVR je zajištěna rekurzivním DNS serverem Unbound. Provozujeme jej již delší dobu bez zásadnějších změn s doporučeným nastavením. Nejzajímavějšími body naší konfigurace jsou:
ODVR může ale sloužit nejen validaci. Jak jsme dlouhodobě upozorňovali v rámci aktivity Přichází cenzor, DNS resolver si může každý uživatel internetu svobodně změnit a pokud budou zákony přirozenou funkci DNS pro poskytovatele připojení omezovat, bude přirozeně obliba otevřených resolverů růst.
Tak jako roste i obliba a využívání našeho ODVR, které dnes ve špičkách odbavuje přes 6 000 dotazů za sekundu. A jsou okamžiky, kdy je zájem o naše ODVR dokonce výrazně vyšší. Například při loňském výpadku Google, viz následující graf.
(Původně vyšlo na blogu CZ.NIC.)
Pracuje v CZ.NIC jako technický ředitel a je odpovědný zejména za provoz a rozvoj registru doménových jmen a mojeID.
Informace nejen ze světa Linuxu. ISSN 1212-8309
Copyright © 1998 – 2018 Internet Info, s.r.o. Všechna práva vyhrazena. Powered by Linux.
Při poskytování služeb nám pomáhají cookies. Používáním webu s tím vyjadřujete souhlas.