Vlákno názorů ke zprávičce DNSSEC chrání 245 českých domén od uzivatel - 1. V popisu zprovozneni DNSSEC je doporuceno se...
-
uzivatel (neregistrovaný)1. V popisu zprovozneni DNSSEC je doporuceno se prihlasit k odberu aktualit na https://lists.nic.cz/mailman/listinfo/dnssec-announce . Pri nacitani stranky mi to pise upozorneni - "neplatny certifikat, nedoporucujeme pokracovat". Co si o tom mam myslet?
2. Na http://www.nic.cz/dnssec/ je nejaky obrazek (rozlomeny klic) s napisem "Test ochrany pomoci DNSSEC". Mam to chapat tak, ze pokud budu mit spravne nastavene DNSSEC, tak se zmeni obrazek? Tj. je to realtime test? -
ad 1) zajimave :) ze by meli self-signed certifikat?
ad 2) ano, je to realtime test, pokud mate aktivni DNSSEC na vasem rekurzivnim DNS serveru, klic se zobrazi zelene. Funguje to tak, ze existuje domena rhybar.cz, ktera je umyslne upravena tak, aby jeji data nesla overit pomoci DNSSEC. Z teto domeny se pak na nic.cz/dnssec/ nacita css soubor, ktery skryje zeleny klic a zobrazi klic cerveny.
Jinak tech domen uz je o par kusu vic, sam jsem si na jedne sve domene DNSSEC zprovoznil vcera a dalsi domeny budou nasledovat. Musim ale rict, ze dokumentace je zalostna a v ceskem prekladu DNS HOWTO jsem se misty ztracel natolik, az jsem nakonec radeji otevrel originalni anglickou verzi.
Naopak hodne pri zavadeni DNSSEC pomuze dokument DNSSEC za 6 minut, ktery je k nalezeni na podpora.nic.cz. Ani ten vsak sam o sobe nerekne vsechno a tak je potreba se zahloubat do internetu a hledat, co a jak presne nakonfigurovat, nastavit a jak pripadne podepisovat zony (napr. dulezita rotace klicu neni nikde v prikladech k nalezeni).
Nicmene 250 domen ze 480 tisic je porad zalostne malo. Otazkou je, jestli za to muze nedostatek kompatibilniho softwaru, dokumentace, absence technickych prostredku pro realizaci nebo lenost spravcu.
O DNSSEC se aktivne zajimam par tydnu a za tu dobu me prekvapilo dost veci, napr. ze jeden z nejvetsich ceskych registratoru (IGNUM) DNSSEC nepodporuje, cimz vysachovava ze hry moznost, ze by DNSSEC v dohledne dobe zprovoznily nejvetsi hraci na ceskem portalovem trhu (Seznam, Centrum, Atlas). V tomto takrikajic vede MAFRA, jejiz mfd.cz a lidovky.cz uz DNSSEC zavedeno maji. -
mmm (neregistrovaný)Mnohem raději budu věřit certifikátu přímo od nic.cz, než od nějaké pochybné "trusted" CA. Význam "trusted" CA je dosti přeceňován a už nejednou nás historie naučila, že se jim nedá důvěřovat na 100%. Pokud vím ani sám velký Google nepoužívá certifikáty podepsané "trusted" CA, ale vlastní autoritou.
