Hlavní navigace

Ondřej Filip, CZ.NIC: OpenID ještě nikdo nechytil za správný konec

Petr Krčmář 16. 8. 2010

Rozhovor s ředitelem sdružení CZ.NIC. První část dvoudílného rozhovoru, který se zabývá činností CZ.NIC i tématy, které zajímají českého uživatele internetu. Jak probíhá implementace DNSSEC v Česku? Proč překvapila celý svět? Proč by mělo být české OpenID úspěšné a jak to vypadá s diakritikou v doménách?

Na začátek trochu netradiční otázka: Jak se čte CZ.NIC?

My jsme nikdy nezavedli firemní standard. Myslím, že většina techniků to čte [cé zet nyk], což je zřejmě špatně, protože mísíme češtinu a angličtinu. Ale vychází to z toho, že většina registrů to čte jako [nyk] třeba InterNIC a další. Jen na to [sí zet] jsme si ještě nezvykli. Takže asi [cé zet nyk].

Kdo je Ondřej Filip?

Ondřej Filip vystudoval Matematicko-fyzikální fakultu Univerzity Karlovy v Praze – obor Informatika, a University of Pittsburgh – Joseph M. Katz Graduate School of Business (MBA). Během studia na Karlově univerzitě začal pracovat ve společnosti IPEX a.s., kde později působil jako technický ředitel a člen představenstva. Od prosince 2004 je výkonným ředitelem sdružení. Vedle výkonu své funkce v CZ.NIC působí v představenstvu sdružení NIX.CZ a dalších organizací. Ve svém volném čase rád hraje basketbal, cestuje nebo programuje open-source software.

OpenID

Vašim nejzajímavějším současným projektem je mojeID, jaký je současný stav?

V současné době je spuštěné demo na demo.mojeid.cz a v nejbližší době budeme rozesílat dokumenty poskytovatelům obsahu, kterým vysvětlíme výhody a konkrétní postupy nasazení. Start je naplánován na poslední čtvrtletí letošního roku.

Je to úplně nový projekt a zaujali jsme jím řadu zahraničních registrů. Teď se čeká na to, jestli ten český projekt vůbec bude mít úspěch, jak se mu podaří prosadit a podobně. Je to vlastně takový experiment. Až provoz ale ukáže, co je všechno třeba ještě rozšířit a jak bude služba úspěšná.

Máte už nějaké konkrétní signály od poskytovatelů obsahu?

Právě teď jsme ve fázi, kdy komunikujeme s velkými poskytovateli, zjišťujeme zpětnou vazbu a snažíme se s nimi dohodnout na konkrétní spolupráci. Ta může mít dvě úrovně. Buď se jednoduše spustí podpora mojeID a poskytovatel jen vyhlásí, že to podporuje, nebo bude chtít určité garance, a v tom případě s námi podepíše smlouvu, která bude mimo jiné řešit ochranu osobních údajů a podobně. To od nás vyžaduje přípravu celé řady právních dokumentů, aby bylo všechno v pořádku.

OpenID je vlastně hodně stará technologie, ale zatím je neúspěšná. Proč si myslíte, že to tak je?

Protože to nikdo ještě nevzal za ten konec, za který to bereme my. Pokud si někdo může vytvořit stovky tisíc OpenID kontaktů za minutu, pak celý ten systém neřeší žádný problém. Poskytovatelům to nepomáhá, protože nemají stejně žádnou jistotu ani kontrolu nad jednotlivými registracemi a z hlediska bezpečnosti jsme zase na úrovní kontrolního mailu.

OpenID není neúspěšné kvůli technologii, ta je dobře navržená a shodla se na ní řada odborníků. My jsme tedy vzali stabilní a prověřenou technologii a přidáváme k ní důvěryhodnost, řád a jasné podmínky používání. To by měla být ta zásadní změna, ale až budoucnost ukáže, jestli to k úspěšnému nasazení mojeID stačí.

Budou vůbec lidé ochotní o sobě někomu prozradit ověřené osobní údaje a „odanonymizovat se“?

To záleží na tom, jak důvěryhodní budeme my. Pokud budeme působit jako stabilní a bezpečná základna, které budou uživatelé věřit, pak to bude fungovat. Navíc to lidem pomůže. Každého obtěžují registrace, vymýšlení hesel, vkládání mailu a stejných údajů. Výsledkem by mělo být zjednodušení pro uživatele i poskytovatele služby.

DNSSEC

V poslední době se i v masmédiích hovoří o DNSSEC, Česko má sto tisíc podepsaných domén.

Ano, to je světový unikát, a to především díky dvěma českým registrátorům: WEB4U a ACTIVE24.

A čekali jste takto rychlý rozjezd?

Překvapili jsme tím svět. Dokonce i lidé ze Švédska, kteří jako první začali s DNSSEC, se k nám přijeli podívat a diskutovat s námi, jak celý DNSSEC propagujeme a co všechno pro něj děláme. Rozhodně tak rychlý nástup nikdo neočekával a dostáváme za to ze světa hodně chvály. Je vidět, že Češi jsou technologický národ, jsou hodně hraví a bezpečnost je zajímá. Navíc máme signály od dalších registrátorů, kteří chtějí domény podepsat.

Poslední novinkou je NSEC3, co bude následovat?

Teď nás čeká další rozšiřování na nové domény. To, že máme sto tisíc, je hezké, ale ještě to není ideální. Potřebujeme, aby bylo podepsáno co nejvíce důležitých domén. Například všechny zpravodajské portály ani všechny banky ještě nemají podepsáno. Druhou slabinou pak je, že ne všichni poskytovatelé připojení DNSSEC validují. Například víme, že Telefónica O2 a UPC domény nevalidují. Další z překážek je podpora DNSSEC u domácích zařízení pro připojení k internetu. To je možné ověřit pomocí našeho DNSSEC testeru.

Technicky nám ještě chybí uživatelská stránka věci. Mnoho lidí si stěžuje, že se vlastně koncová aplikace vůbec nedozví, jestli byla doména validována a jak to dopadlo. Diskutujeme tedy o tom, zda nenabídnout nějaké řešení, které by to umožňovalo. Dnes je zatím možné použít naše rozšíření do Firefoxu, které je také známé po celém světě.

V neposlední řadě je pak problémem validace na koncové stanici. V tuhle chvíli, i když můj poskytovatel validovat umí, tak informace od něj ke mě jdou bez podpisu. V Linuxu je to řešitelné poměrně snadno, je možné si nainstalovat na stanici vlastní resolver. Ve Windows už je to ale větší problém. Tohle chceme také nějak v budoucnu řešit.

Diakritika v doménách

O diakritice v doménách se před několika lety hovořilo hodně, v poslední době už spíš jen nárazově. Jaký je aktuální stav IDN u nás?

CZ.NIC dělá průběžně průzkumy, brzy budou zveřejněna data z toho nejnovějšího a jedná se opravdu o téma, které zvedá uživatele ze židle. Jak skalní odpůrci, tak i zastánci nás neustále podezřívají z toho, že chceme za každou cenu prosadit svůj názor. Na jedné straně nás lidé kritizují, že se jedná o účelové průzkumy, které mají jen potvrdit české IDN, na druhé straně ale slyším i názory, že stavíme průzkumy tak, aby vyšly negativně. Z toho všeho mi plyne, že to asi děláme dobře (smích).

Stále ale platí, to, co jsme slíbili kdysi: rozhodnou o tom uživatelé v pravidelných průzkumech. Tedy za předpokladu, že nepřijde nějaká zásadní technologická novinka, která by úplně změnila situaci.

To znamená, že se budete ptát donekonečna? Nebo se jednoho dne definitivně řekne ‚už to dělat nebudeme‘?

Pokud by trend byl dlouhodobě klesající a zájem o IDN by i nadále zcela zřetelně klesal, pak se samozřejmě můžeme rozhodnout to ukončit a nevyhazovat peníze za zbytečné průzkumy. V dohledné době ale máme v plánu je zachovat, protože se během nich ptáme i na další názory, které nesouvisejí s IDN.

Proč zrovna u IDN rozhodují uživatelé, když u jiných technologií rozhodne odborná veřejnost nebo úzká skupina odborníků z CZ.NIC?

Protože záleží na tom, jak jsou ty problémy odborně postavené. Například v případě DNSSEC se jedná o důležitou bezpečnostní otázku, která je navíc tak komplexní, že je velmi složité ji vysvětlit běžnému uživateli. Na druhou stranu na háčky a čárky v doménách má názor každý, kdo někdy použil internet.

Znamená to tedy, že IDN je proti DNSSEC nepodstatné téma?

To ani ne, ale je to jiné téma. DNSSEC se týká bezpečnosti a my nepřipouštíme žádné kompromisy. Když máme technologii umožňující zvýšit bezpečnost, tak je naší povinností ji nasadit. IDN je jen o komfortu a způsobu používání a o tomhle by si měli rozhodnout uživatelé sami.

Zaznamenáváte nějaký tlak od registrátorů směrem k IDN?

Jsou registrátoři, kteří dlouhodobě IDN podporují a na každém našem společném jednání otevřou otázku jeho spuštění. Jsou ale i registrátoři, kteří jsou proti. Je to podobně rozdělené jako zbytek společnosti. Nemám rozhodně pocit, že by se vyloženě třásli na IDN. Registrátoři jsou technicky založení lidé a chápou, že jedna věc je IDN zapnout, ale pak je třeba řešit řadu problémů, které tím vzniknou.

Navíc je třeba si uvědomit, že většina registrátorů nevydělává na doménách jako takových, ale na hostingových službách, které jsou s nimi spojené. Otázkou zůstává, jestli jim IDN vygeneruje i nový obsah a oni si myslí, že nevygeneruje. Většina z nich si myslí, že jim to prostě za tu námahu nestojí.

Potvrzují to i zkušenosti z okolních zemí, kde používají rozšířenou latinku podobně jako my. V Polsku například je IDN domén asi jedno procento, v Německu je to o maličko víc. Nejedná se ale rozhodně o nějaká ohromná čísla, kvůli kterým by se to mělo registrátorům nějak významně vyplatit.

Foto: Vilém Sládek, CZ.NIC

Našli jste v článku chybu?

16. 8. 2010 8:08

Jenda (neregistrovaný)

Chtěl bych se zeptat, zda bude možno nahrát si do (ověřeného) mojeID profilu veřejný PGP klíč, případně zda plánujete i PGP klíče podepisovat.

16. 8. 2010 16:10

Dobry den,
dekuji za dotazy. K tomu IDN muzu jen rict, ze udelat IDN varianty tak, aby byly zcela ekvivalentni s puvodnimi DNS zaznamy neni uplne jednoduche. V soucasne dobe se v IETF toto tema diskutuje. My prosazujeme umozneni CNAME i DNAME najednou, ale diskutuje se i o jinych navrzich. Mnohem urgentnejsi potrebu takoveho reseni maji predevsim lide z Cinskeho registru. Maji 2 domeny v cinskych znacich pro Cinu a potrebovali by, aby registrace v obou techto DNS stromech byly zcela ekvivalentni…

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Vitalia.cz: Pečete cukroví a zbyl vám bílek?

Pečete cukroví a zbyl vám bílek?

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Vitalia.cz: Proč vás každý zubař posílá na dentální hygienu

Proč vás každý zubař posílá na dentální hygienu

Lupa.cz: Seznam mění vedení. Pavel Zima v čele končí

Seznam mění vedení. Pavel Zima v čele končí

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

DigiZone.cz: Flix TV má set-top box s HEVC

Flix TV má set-top box s HEVC

Vitalia.cz: Baletky propagují zdravotní superpostel

Baletky propagují zdravotní superpostel

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

120na80.cz: Boreliózu nelze žádným testem prokázat

Boreliózu nelze žádným testem prokázat