Hlavní navigace

DNSSEC chrání 245 českých domén

Sdílet

Petr Krčmář 4. 11. 2008

Od konce září je česká doména podepsaná a provozovatelé webů tak mohou k zabezpečení svých DNS záznamů využít technologii DNSSEC. Správce domén CZ.NIC nyní vydal zprávu, ve které bilancuje první měsíc provozu tohoto bezpečnostního rozšíření DNS. Celkem je podepsáno 245 domén od 93 různých držitelů. Podrobné informace naleznete na webu DNSSEC.cz.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 4. 11. 2008 16:00

    uzivatel (neregistrovaný)
    1. V popisu zprovozneni DNSSEC je doporuceno se prihlasit k odberu aktualit na https://lists.nic.cz/mailman/listinfo/dnssec-announce . Pri nacitani stranky mi to pise upozorneni - "neplatny certifikat, nedoporucujeme pokracovat". Co si o tom mam myslet?

    2. Na http://www.nic.cz/dnssec/ je nejaky obrazek (rozlomeny klic) s napisem "Test ochrany pomoci DNSSEC". Mam to chapat tak, ze pokud budu mit spravne nastavene DNSSEC, tak se zmeni obrazek? Tj. je to realtime test?
  • 4. 11. 2008 16:53

    Radek Zajíc
    ad 1) zajimave :) ze by meli self-signed certifikat?
    ad 2) ano, je to realtime test, pokud mate aktivni DNSSEC na vasem rekurzivnim DNS serveru, klic se zobrazi zelene. Funguje to tak, ze existuje domena rhybar.cz, ktera je umyslne upravena tak, aby jeji data nesla overit pomoci DNSSEC. Z teto domeny se pak na nic.cz/dnssec/ nacita css soubor, ktery skryje zeleny klic a zobrazi klic cerveny.

    Jinak tech domen uz je o par kusu vic, sam jsem si na jedne sve domene DNSSEC zprovoznil vcera a dalsi domeny budou nasledovat. Musim ale rict, ze dokumentace je zalostna a v ceskem prekladu DNS HOWTO jsem se misty ztracel natolik, az jsem nakonec radeji otevrel originalni anglickou verzi.

    Naopak hodne pri zavadeni DNSSEC pomuze dokument DNSSEC za 6 minut, ktery je k nalezeni na podpora.nic.cz. Ani ten vsak sam o sobe nerekne vsechno a tak je potreba se zahloubat do internetu a hledat, co a jak presne nakonfigurovat, nastavit a jak pripadne podepisovat zony (napr. dulezita rotace klicu neni nikde v prikladech k nalezeni).

    Nicmene 250 domen ze 480 tisic je porad zalostne malo. Otazkou je, jestli za to muze nedostatek kompatibilniho softwaru, dokumentace, absence technickych prostredku pro realizaci nebo lenost spravcu.

    O DNSSEC se aktivne zajimam par tydnu a za tu dobu me prekvapilo dost veci, napr. ze jeden z nejvetsich ceskych registratoru (IGNUM) DNSSEC nepodporuje, cimz vysachovava ze hry moznost, ze by DNSSEC v dohledne dobe zprovoznily nejvetsi hraci na ceskem portalovem trhu (Seznam, Centrum, Atlas). V tomto takrikajic vede MAFRA, jejiz mfd.cz a lidovky.cz uz DNSSEC zavedeno maji.
  • 4. 11. 2008 16:55

    Sten (neregistrovaný)
    1. To, že nemáte nainstalován veřejný klíč certifikační autority CZ.NIC.

    2. Pravděpodobně jde o test, jestli je reverzní záznam pro IP adresu návštěvníka podepsán pomocí DNSSEC.
  • 4. 11. 2008 18:24

    lol (neregistrovaný)
    nuz taka organizacia by mohla mat certifikat od trusted ca a nie self-signed - cele ssl by bolo onicom, keby neexistoval institut trusted ca
  • 6. 11. 2008 9:53

    mmm (neregistrovaný)
    Mnohem raději budu věřit certifikátu přímo od nic.cz, než od nějaké pochybné "trusted" CA. Význam "trusted" CA je dosti přeceňován a už nejednou nás historie naučila, že se jim nedá důvěřovat na 100%. Pokud vím ani sám velký Google nepoužívá certifikáty podepsané "trusted" CA, ale vlastní autoritou.
  • 7. 11. 2008 14:55

    Sten (neregistrovaný)
    Ten certifikát není self-signed, jen není podepsán certifikační autoritou, jejíž veřejný klíč máte nainstalován v prohlížeči. To je totiž jeden z velkých problémů certifickátů: nelze vytvořit podpisový řetěz.