Názory k článku
Finská doména nejvyšší úrovně deaktivovala DNSSEC

Žádné takové oznámení ale k nalezení není.

Rozhodně se to hodně diskutovalo dlouho dopředu, ve veřejných kanálech. Všichni vlastníci .fi domén snad i dostali zprávu.

A byl na .fi tlak z DNS komunity, aby tu rotaci udělali bez takového přechodného období, nebo ho alespoň zkrátili. Je smutné, že se argumentuje tím, že se tímto přístupem skoro nic nerozbije... (jen jaksi v protokolu vypneme ověřování a umožníme tak řadu útoků)

https://lists.dns-oarc.net/pipermail/dns-operations/2024-December/022744.html

Díky za odkaz, mně se žádný veřejně přístupný informační zdroj nalézt nepodařilo. Otázka zní, jestli takovéto oznámení (které ani není od provozovatele) lze požadovat veřejné oznámení podle DPS. Když to srovnám s množstvím informací, které o každé změně na registru oznamuje CZ.NIC… Holt jiný kraj, jiný mrav.

Chápu to tak, že provozovatel .fi poslal všem držitelům e-mail. Ale nechci je v žádném případě obhajovat.

Doplnění: nejde o první případ, kdy doména nejvyšší úrovně vypíná DNSSEC, ale ostatní všechny ostatní případy se týkají extrémně malých domén nejvyšší úrovně, jejichž spolehlivost je obecně nesrovnatelná se spolehlivostí domén evropských států.

Takže tím teď rozbili všem DANE?

Možná slovo rozbili není úplně přesné. Například pošta chráněná pomocí DANE se nepřestane doručovat, jen přestane být chráněna proti podvržení DNS nebo útoku typu odstranění STARTTLS. Kdyby se bylo používalo DANE i pro ověřování důvěryhodnosti webových certifikátů, pak by se skutečně dalo mluvit o rozbití, protože bez funkčního DNSSEC by se certifikáty staly nedůvěryhodné.

Rozbijí se také třeba SSH spojení s ověřením klíče serveru pomocí SSHFP záznamu. Pokud jde o neinteraktivní použítí SSH, třeba v rámci CI/CD, spojení skončí s chybou Host verification failed, při interaktivním použití se klient zeptá, zda má klíči protistrany důvěřovat.

Ano, rozbili DANE na všechny jména končící .fi. Viz třeba výstup programu delv +vtrace traficom.fi nebo unbound-host -rvD traficom.fi. Prostě jména se překládají a mají i signatury, ale nejsou chráněná proti modifikaci. Chovají se jako nepodepsané i přesto, že podpis mají.

Teoreticky si to můžete dočasně vylepšit ručním přidáním trust anchor záznamu pro fi. doménu, ale asi by vám to brzy přestalo fungovat. Pravděpodobně brzy budou změny klíčů i podpisů.

OT, nicméně se to týká domén: nevíte co se stalo, že (minimálně) Active24 a Subreg dost nehorázně zvedly ceny za českou doménu? Subreg to má na 250 Kč za registraci a dokonce na 329 Kč bez DPH za obnovení, Active24 má levnou registraci, ale obnovení je taky za 329.

Na začátku března se to zvedalo obecně, protože CZ.NIC zdražil, tehdy měl Subreg za oboje 210 Kč a podle Archive.org to tak bylo ještě 24. března, ale teď jsem si otevřela ceník a málem mi vypadly oči z důlků. A na dotazy, jestli jde o omyl, nějaký krátkodobý jev, nebo to tak hodlají mít na furt, minimálně u Subregu jaksi nereagují - a Google taky nijak nepomohl. Kdyby se jednalo o jednu nebo dvě domény, asi bych to neřešila, ale jeden zákazník podniká ve výstavnictví a má jich registrovaných několik stovek, bohužel aktuálně právě u Subregu, takže se snažím zjistit o co jde, než od nich začnu zdrhat...

Možná jsi měla zmínit explicitně v tom mailu s dotazem, že tam máš několik stovek domén, a pokud to není jen nějaký přechodný výkyv, že s nimi odejdeš jinam. Třeba by se pak víc starali.

To jsem samozřejmě udělala. S podotknutím, že takto zvýšenou cenu za situace, kdy totéž u Forpsi stojí 170 Kč bez DPH, už těžko obhájím. Těch 210 Kč bych ještě dala, Subreg se svým API umí věci co jiní ne, ale 329, s tím mě už fakt pošlou kam slunce nesvítí.

To je cca 400 domén, že?
Škoda, že tu není na Tebe kontakt, máme tam dost dobrou cenu jako subreg dealer.

No a víte - jako subreg dealer - co to je za úlet, s tou obnovou?

Od active24 jsem zdrhnul take. Mam mizerne 3 domeny i s hostingem a najednou jsem mel platit temer 2x tolik.

Navíc je to jejich nové rozhraní o dost horší než to staré, a ještě k tomu používají dark pattern k propagaci svých služeb (To červené varování u domény "Nemáte připojený náš hosting" mě vždycky vyleká že je něco blbě).

A korunu tomu nasazuje to, že mi (Přinejmenším u EU a tuším COM) domén nefungovalo správně generování kódu pro převod, vyplivlo neplatný kód, musela jsem pro něj jít přímo k EURid. Podpora mě pokaždé odbyla s tím že jim vše funguje a dělám to blbě.

Jsem jediný, komu tento způsob přechodu na jiný algoritmus připadá naprosto zvrácený?

Připadá to zvrácené všem, co rozumí DNSSECu. Tedy skoro nikomu :)

Lol. Výstižné, leč velmi smutné.

Z podobneho soudku. Kdyz VeriSign (z duvodu impulsu blize nespecifikovaneho individua) nepodepise DS zaznam pro .cz domenu, tak jaky by byl postup?

V takovém případě by v podstatě přestala existovat jedna globální kořenová zóna a nejspíš by velká část internetu časem dokonvergovala k nějaké alternativní kořenové zóně.

no a ta konvergence me zajima. kdyz dnes ve 3:42 rano prestane dnssec validovat domeny v evropskych ccTLD, .eu atd., tak jake jsou nasledujici kroky? Rekneme v 6:30 kdyz se zacne rozjizdet vyroba a najednou systemy nefunguji?
Kdo nevaliduje je v pohode, ale to je asi neco, co nechceme podporovat.
Je pripravena jina cesta nez proste vypinat validator na vsech validujicich resolverech na kontinentu? Protoze uz vidim jak to bajecne funguje takovahle akce. Zajima me proste alternativa k prvotnimu chaosu.

Validace funguje jinak, než si představujete. Publikování DNSSEC klíčů není povinné. Takže validuje se pouze tehdy, pokud se z nadřazené zóny zjistí, že daná doména má být podepsaná. Pokud by tedy z nadřazené zóny klíč zmizel, bude se to chovat úplně stejně, jako kdyby ta doména nikdy podepsaná nebyla.

Horší by bylo, pokud by se v nadřazené zóně publikovaly špatné klíče, nebo pokud by v nadřazené zóně klíče byly, ale doména by podepsaná nebyla. To by znamenalo, že by se podepsané domény nepřeložily.

Teoreticky by někde někdo mohl mít konfiguraci, že u některých domén je validace DNSSEC povinná. Nicméně to moc nedává smysl a bez znalosti toho speciálního systému se nedá říct, jak by se choval.

Tyhle procesy ale už nejsou ani pod nepřímou kontrolou vlády USA. (tak jak to chápu) Přestože jde o USA organizace/firmy. Trochu podobně jako .cz není pod kontrolou české vlády/státu.

Jinak, obsah root zóny spíš rozhoduje IANA+ICANN, ne Verisign, ale tak jako tak se bavíme o nějakém hypotetickém puči, v podstatě...