Názory k článku
Počet domén .CZ zabezpečených pomocí DNSSEC překročil jeden milión

Nabizi se otazka, kolik DNS zon je bez povedomi drzitele fakticky otevrena jednoduchemu "zonetransferu" :-) Aneb zbrkle nasazeny DNSSEC je nekdy horsi, nez zadny DNSSEC. Samozrejme, ze by v zone nemelo byt nic tajneho - na druhou stranu usnadnovat utocnikovi mapovani infrastrukury tim, ze zapnu NSEC bez white lies zrovna optimalni neni.... a klidne tam dotycny muze mit moderni krivky.

Používání NSEC je Best Current Practice, to není žádný zbrkle nasazený DNSSEC.

Jasne, a ze se lidem rovnou neradi povolit AXFR, aneb kdyz obsah zverejnovat, tak proc to komplikovat ;-) Ale preskocil jsi v RFC9276 jedno velmi dulezite "kdyz". Cituji, doslova "if the operational or security features of NSEC3 are not needed". A tam je zakopany pes...

Jak tohle muze poskytovatel sluzeb pro desitky tisic domen (a to je realny pripad, nikoliv ma fabulace) u kazde domeny vedet, ze opravdu ty bezpecnostni vlastnosti NSEC3 nepotrebuje, aby si tim ospravedlnil plosne (a vychozi) pouziti NSEC? A vedi to opravdu koncovi uzivatele danych sluzeb, ze svou zonu nikoliv o sve vuli vystavuji do internetu? Informovany souhlas tam od tech koncaku asi mit nebudes, zeano. To je hodne low-level detail. A bez detailni analyzy skutecnych dopadu jen proto, aby se nahnalo co mozna nejvetsi cislo podepsanych domen zbrkle proste je. Registrator si honi hvezdicky, CZNIC se honi za cislicky... ale ze si realne i tebou odkazovanym RFC9276 vytreli vsichni zadek a bezpecnost, ktera se tam neopomiji proste a jednoduse neresi. Na to, abys mohl s klidnim svedomim u vsech hostovanych domen zapnout NSEC musis mit 100% jistotu, ze u zadne bezpecnostni duvod opravdu neni.

Pokud si někdo platí hosting, dělá to nejspíš proto, že chce data vystavovat do internetu. Pokud někdo zavádí jména do DNS, dělá to nejspíš proto, že chce aby ta jména byla z internetu přeložitelná. DNSSEC bez online podepisování nedokáže seznam jmen zabezpečit, ani s NSEC3, zvláště v dnešní době hardwaru pro těžbu kryptoměn a LLM.

Tato domnělá nevýhoda (veřejný seznam je veřejný) je vyvážena výhodami ověřitelnosti validity dat. Je to ostatně podobné jako třeba v případě Certificate Transparency, kde vyzrazení všech doménových jmen s vydanými certifikáty je cena za transparenci procesu vydávání certifikátů, což je mnohem důležitější hodnota.

Realita trhu je ovsem takova, ze registrator a provozovatel DNS k dane zone nutne nemusi byt stejny jako provozovatel dalsich sluzeb. Vsak nepisu o poskytovateli hostingu (to sis dosadil ty sam), pisu obecne o poskytovateli sluzeb. Protoze realne trzni prostredi kolem nas je samo o sobe je trosku slozitejsi. Nevis, co v tech zonach kdo ma... a samozrejme ne kazdy tam ma jen www a MX.

Tak znovu, proc se rovnou v ramci te tve tzv. "transparentnosti" rovnou nerekne, at se necha povolene AXFR? :-) Protoze enumerace NSEC zony bez online podepisovani (ktere nema skoro nikdo z tech, ktere vyse zminuji) je z pohledu naroku na zdroje fakticky obdobna. Na louskani NSEC3 clovek porad musi nejake zdroje obetovat. A v pripade zdroju naa LLM se nebavime o nejakych drobnych castkach... zatimco ty to pojimas systemem "nejak to jde, tak proc to utocnikum komplikovat".

Mimochodem, ani sam CZNIC se k nicemu z tebou doporucovaneho neuchyluje. Ostatne ani ty sam se nedrzis tech doporuceni a i svou privatni zonu mas s NSEC3. TLD zrovnatak je podepsana s NSEC3, obsah zony se "tutla" - i kdyz samozrejme existuji neoficialni seznamy obsahu zony (i kdyz jsou TLD, co jeji obsah transparentne publikuji). A samozrejme, nejake online podepisovani se tam neprekvapive nekona - ono taky v prostredi anycastu to neni vubec zadna legrace vyresit.

Musím říct, ze už nějakou docela delší dobu přemýšlím, Danny, kdy se z tebe stal odborník na úplně všechno, máš na úplně všechno názor, jsi přesvědčený, že ten tvůj je ten jediný správný, a kde bereš čas úplně všechno komentovat. Myslím si, že by tobě i ostatním pomohlo, kdyby jsi polevil…

Cum desunt argumenta ad rem, ad hominem confugiunt :-)

Když dojdou argumenty, tak se začneme povyšovat nad ostatní...

To mas marny, to je jako s filipem. Kdyby tady byla diskuse o vcelarstvi tak tady budou psat sve moudra, kdyby tady byla diskuse o kvantove fyzice tak to dopadne stejne. Podle me je to nekolik diagnoz ala Ustavni 91.

9.10.2025 v 9:13 - 998 598 domén s DNSSECem - nějak se to propadlo...

Kolikpak asi z těch 1M domén má svoje vlastní klíče a kolik používá keyset registrátora?

Tahle statistika už dnes nebude moc vypovídající. Díky automatické správě keysetů může registrátor klidně pro každou doménu používat samostatný klíč. To je ostatně výchozí chování snad všech systémů na správu DNSSEC.

Viz vyse. Tvoje znalosti realii na ceskem trhu vubec nekoresponduji s tvymi teoriemi. I ten registrator, ktereho vyse mam na mysli ohledne zbrkleho zapinani DNSSEC kvuli honbe za hvezdickami pouziva jeden klic pro vsechny....

Pokud to tak jako tak všechno podepisuje stejná entita, stejná sada strojů, tak je jeden klíč nějaký bezpečností problém? Dokonce takový, že to je horší než nepodepisovat vůbec?

9. 10. 2025, 20:31 editováno autorem komentáře

Jo, a ktera BCP teda rika, ze tohle je "cajk" pocinani? :-) Nikdy tomu tak nebylo. Unik jednoho privatniho klice, co fakticky zabezpecuje tisice domen je vzdy - z logiky veci vetsi prusvih.

A mimochodem primarni jadro diskuze neni o tom, jestli nepodepisovat vubec a nebo podepisovat jen jednim klicem. Diskuze se vede o tom, jestli zbrkle zapinat DNSSEC za cenu vytvareni novych der, kterych si drzitele domen casto nemusi byt vedomi - a soucasne si obcas do DNS pisou i veci, ktere by ve verejne dostupne zone proste a jednoduse byt vubec nemely (smutna realita). Takze znovu, pokud nekdo ma NSEC v modelu ala Cloudflare, neni s tim problem.... ale tak jak se to nasazuje v Cesku to je proste fail. Jiste, je to "jednodussi"... ale v realu spise pyrrhovo vitezstvi - aneb sice to mame hezku podepsane, ale treba nevedomky vystavujeme do celeho sveta veci, ktere jsme nezamysleli. A usnadnujeme tak pohyb utocniku - mj. ze zemi, odkud za normalnich okolnosti by by ten dotaz ani neprisel (tudiz nemohl byt odchycen).

Nabizi se otazka, proc mate potrebu obhajovat prostedi, ktere mj. treba i rusakum usnadnuje jejich zaskodnickou cinnost? ;-) Protoze tak to proste je. No tak se na to vykasleme, muzem teda vsecko krasne podepsat, abysme se mohli placat po ramenou co se cisel tyce, vedle toho nechat povolene AXFR, protoze proc ne...
_{PS: Kdy ze nam povolite AXFR na gov.cz? ;-)}