Názory k článku V CZ je nejvíce domén chráněných DNSSEC na světě
-
Uplne prvni bylo Svedsko, celkem brzy jsme se pripojila treba Brazilie, Bulharsko a my. Nedavno podepsalo i Portugalsko a rada dalsich vetsich registru postupuje. Napriklad ted je podepsana domena .uk pomoci „falesnych“ klicu a radny podpis je naplanovan na pondeli.
To, ze Namibie (to jste asi myslel oznacenim „africka republika“) podepsala drive nez treba Holandani ma vice duvodu. Jednim z nich je, ze podpis a zavedeni celeho procesu DNSSECu ve velke domene je radove slozitejsi nez v male. A pak domenu .na spravuje velmi sympaticky a aktivni gynekolog E. Lisse, ktery o to africke prvenstvi hodne stal. :-)
-
No jde o vykon, protoze pokud podepisujete treba .com, tak s beznym PC byste to pocital mozna pul dne. Ale update zony se musi delat preci jen trochu casteji. Dalsim problemem je distribuce zony na „vzdalena“ mista. Musite posilat jen rozdily a chytre pouzivat starsi signatury, abyste dokazal vubec zonu distribuovat.
Malou zonu muzu podepisovat na beznem HW kazdych 15 minut a pres kompletni AXFR to posilat na slaves.
-
Honza (neregistrovaný)
1) Nic.cz bude u domény indikovat 3 stavy (podpis je a souhlasí s údaji, podpis je a nesouhlasí!!! s údaji, podpis není). Nyní svítí zelená fajfka i když podpis potvrzuje zcela jiné DNS záznamy (což člověka nijak nevaruje před možnými problémy).
2) Většina poskytovatelů připojení (když už ne všichni) budou tuto informaci využívat k ověření DNS záznamů a vrátí něco trochu jiného než prostou 404 (aby uživatel věděl, že má lišku v kurníku nebo problém u nastavení domény). Dle mých zkušeností je dnes DNSSEC policistou, který kontroluje papíry řidičům autobusu, jenže téměř žádný autobus mu nezastavuje – a oproti realitě, postihnout jej za to nelze.
3) Budou zcela vymýceny problémy, kdy doména s platným DNSSEC k aktuálním DNS záznamům nevracela žádný obsah, protože provider měl nějaký problém (viz http://webtrh.cz/23598-problemy-zavedenim-dnssec?p=168462) – možná již není aktuální – byl bych za to rád!
-
Honza (neregistrovaný)
Ano, zabývám se převážně webem a na výše uvedené problémy jsem nedávno narazil. Věřím, že můj pohled na problematiku je jen malou výsečí možností, které DNSSEC nabízí. Přesto mi DNSSEC nadělal v době nedávné pár problémů (nedostupnost webu skrze konkrétního providera, nedoručitelnost mailu na určité schránky) – a nikdo netušil, v čem je problém (NIC.cz svítí zeleně, jinde web funguje…)A pak jsme zjistili, že „za to může“ právě DNSSEC, o který se klient neprosil a který mu byl v dobré víře přidělen.
-
1) Vypis ve whois u domeny, tedy treba http://www.nic.cz/whois/?d=nic.cz , pouze indikuje, ze domena ma v registru ulozeny verejnou cast klice. Pokud chcete vice informaci o validaci domen, doporucuji Vam treba tento doplne pro firefox. http://labs.nic.cz/page/691/dnssec-doplnek-pro-firefox/
2) 404 je pojem z HTTP sveta, to s DNS nema nic spolecneho.
3) Pokud ma nejaky ISP spatne nastavene DNS at uz s nebo bez podpory DNSSEC, je potreba kontaktovat jej. S tim nema DNSSEC nic do cineni. Je to podobne, jako kdybyste argumentoval, ze by se nemelo zavadet DNS vubec, protoze resolvery nejakeho ISP nefunguji spolehlive (a mimochodem nedavno k takove veci u velkeho ISP doslo).
-
Honza (neregistrovaný)
1) díky za info, zkusím.
2) Ano, nicméně, jak má člověk poznat, že mu nefunguje nějaká stránka kvůli chybě u providera/na doméně? Kdyby provider na takové stránce upozornil – nesouhlasí DNSSEC – člověk by přišel na problém hned a ne až po užití anonymizéru, testu přes mobilní operátory a telefonáty k provideru, že je někde chyba. Je tu technika pro lidi, nebo lidé pro techniku? Možná to jen nešikovně vysvětluji, sám nejsem v této oblasti technikem…
3) Tím chci říci, že já domény svých klientů nechám podepsat rád, až nebudou takovéto dětské nemoci tak časté, jak jsem se s nimi měl tu čest seznámit. Vysvětlovat klientovi, že mu nejede web u jeho zákazníků proto, že je nějaký nedostatek v implementaci poskytovatele připojení již opravdu nechci. Nechápou to a právem pak ze svého pohledu argumentují, že než takové problémy, tak to raději žádný DNSSEC ani jiný bazmek nechtějí.
-
2) Obecne lze rict, ze pokud je chyba v DNS resolvingu u ISP, poznava se to pro laika obtizne. Nicmene to DNSSEC az tak zasadne nemeni. Je to dobry namet k zamysleni, mozna by se nejaky jednoduchy nastroj hodil.
3) Tezko Vam radit, doufal bych, ze klient pochopi, ze nektery ISP ma ve sve siti neco chybne, ale neznam podrobnosti. Kazdopadne diky postupu DNSSECu si myslim, ze podobne prehmaty budou mit stale vetsi dopad a proto takovy ISP bude na tyto veci mnohem peclivejsi.
-
Honza (neregistrovaný)
3) Klient nepochopil (a já se mu nedivím), proč by měl pro hypotetickou vyšší zabezpečenost (která, jak vidno, moc nefungovala) přicházet o reálné zákazníky – když to není nutné. Rád mu nechám doménu znovu podepsat, až ISP budou v tomto ohledu obecně pečlivější, ale do té doby si dávám pozor…
-
Kompletni odpoved by byla pomerne dlouha, odpovim tedy jen v par bodech:
1) K elektronickemu bankovnictvi se skutecne obvykle pristupuje pomoci https, ale mimochodem mnoho uzivatelu tam chodi odkazem z homepage banky (ktera je obvykle bez https). Ale uvedomte si, ze pokud umite presmerovat DNS, dokazete casto i ziskat pro takovou domenu alespon nejaky certifikat, ktery Firefox/IE akceptuji. (Zkusenosti ukazuji, ze nekdy lze ziskat takovy certifikat i bez napadeni DNS. Bohuzel.)
2) Dale tu mate zpravodajske servery, u ktery je pouziti https pomerne zbytecne, ale asi by bylo dobre, aby bylo zaruceno, ze informace pochazeji prave od nich. Jiste si umite predstavit, co by se delo, pokud by na nejakem velkem zpravodajskem serveru objevila nejaka hodne poplasna zprava. Mohlo by to negativne ovlivnit chovani mnoha lidi.
3) Bohuzel porad jeste pouzivame protokol SMTP a presmerovavat maily je diky napadeni DNS velmi jednoduche. Plosne nasazeni SSL varianty se zatim bohuzel nekona.
4) Diky nasazeni DNSSEC se stava v DNS zabezpecena databaze. Tento maly detail umoznuje nasazeni zcela novych sluzeb/zaznamu. Jeden z nich je kuprikladu SSHFP. Pokud mate zkusenosti se ssh a take vzdycky automaticky akceptujete certifikat protistrany a rikate si, ze to asi neni dobre, tak jiste prave SSHFP ocenite.
-
Petr (neregistrovaný)
A co udělá smtp server, když zjistí, že si vyresolvoval podvrženou ip adresu? Nedoručí e-mail a vrátí ho odesílateli?
Ad 1) Podle mne pořád hodně záleží na zkušenostech uživatele, jak moc se nechá oblbnout.
Ad 2) Pokud data nejsou digitálně podepsaná, tak nemůžu mít nikdy zaručeno, že jsou autentická. Uznávám, že se v tomto případě se potlačí alespoň jedna cesta jak data změnit.
-
Petr (neregistrovaný)
Přesvědčen tímto článkem o masovém nasazení dnssec, jsem si zapnul na nameserveru ddnssec-validation.
Podle návodu na nic-cz a isc.org, jsem si nastavil lv.isc.org. Bohužel dnssec.cz pořád smutně zobrazoval černený klíč. Po chvíli laborování, nastavení statického trusted-key pro cz, pár reloadů a flush jsem uviděl na dnssec.cz vytoužený zelený klíč.
No a po pár hodinách surfování jsem raději ddnssec-validation zase vypnul. Spousta domén začala zlobit, mimo jiné mozilla.org a postgresql.org.Další pokus snad za pár let, až to budou všichni podporovat.
-
ceza (neregistrovaný)
musím říct, že mě DNSSEC přineslo jenom problémy. Převáděl jsem několik domén se zapnutým DNSSEC od Active24 k jinému registrátorovi + změna tecnického správce na vlastní NS servery. Všechno vypadalo normálně, žádná chyba a ejhle – někteří provideři najednou domény neznali. Ani ping,ani dig, ani lookup, jejich NS servery odmítali překládat, protože si mysleli že požadavek je „podvržený“. Ovšem že by mi nějaký systém ať už na NIC nebo u registrátora indikoval problém – ani náhodou. Ničím neošetřeno, bordel, bordel, musel jsem to nakonec nechat autorizvaným požadavkem vypnout. Nepomohla ani implementace nových keysetů na našem NS serveru – stejně u některých providerů docházelo k občasným výpadkům – prostě občas domény „neznali“. A zelená fajfčička na NIC svítila vesela dál. Když už k***va něco takovýho nasadím, tak to předtím musím otestovat ze všech možných stran, jinak bude celá slavná technologie na h***o. Navíc to teda dost zatěžuje NS server, blbý šifrování. Omlouvám se za poněkud ostřejší tón, ale strávil jsem s tím několik zcela zbytečných člověkohodin
