Názory k článku
Správa domény gov.cz byla předána do rukou úřadů

Pekne, pekne... jen teda k slibovanym informacim se pomoci (sic obstarozniho) protokolu WHOIS nedostanete...

$ whois -h whois.gov.cz ctu.gov.cz
connect: Connection timed out

TCP/43 je bedlive ochranen firewallem, takze na TCP/SYN svorne po IPv4 i IPv6 nic neprijde :-)

RDAP je na tom lepe... ale take to bude chtit (i co do spravnosti obsahu) doladit :)

$ curl -s https://rdap.gov.cz/domain/ctu.gov.cz | jq .port43
"whois.nic.cz"

...(vraceny udaj je v principu nesmysl, tam ta informace neni) - a rovnez vsechny links.value ve vracenem json response maji http:// ...takze vse beztak konci na http/301 redirect na https://... proc se tam nevrati rovnou https:// v roce 2025 asi taky nechapu :-)

"links": [
  {
    "value": "http://rdap.gov.cz/entity/CESKY-TELEKOMUNIKACNI-URAD",
    "rel": "self",
    "href": "http://rdap.gov.cz/entity/CESKY-TELEKOMUNIKACNI-URAD",
    "type": "application/rdap+json"
  }
]

Zabavnou obsahovou perlickou (co asi ma puvod primo v DIA) je skutecnost, ze dle overeneho vypisu je identifikacni cislo pry neverejny udaj, dle webu stejnou vlastnosti "trpi" i DIC... :-)

Hlavně aby jim ta doména neexpirovala, protože ji nějaký ouředník neprodloužil.

Ta doména běží ve velmi zvláštním režimu, má samostatný registr a její zóna je odbavována ze stejných serverů jako zóna pro .cz. Řekl bych, že problém expirace bude také ošetřen. Alespoň v to doufám.

jako, že bychom mohli zažít aukci na gov.cz? Uvidíme příští rok...

Podle whois https://www.nic.cz/whois/domain/gov.cz/ to vypadá jako běžná doména a nikde jsem nezaznamenal to, že by měla mít extra režim.

No uplne "bezna" neni - je to pokryte smlouvou, ostatne jsme se o tom bavili jinde. Vc. toho "rezimu".

díky za kontext, ale kde se v té smlouvě řešila samotná registrace domény? Tam přece šlo o registrátora? Teď rychle koukám a nevidím nic o registraci a expiraci domény.

Ani z toho whoisu mi nepřijde jako běžná doména.

vidím tam jedinou věc a to "Není povolena změna určeného registrátora", což je ochrana proti neoprávněným změnám, kterou mají i jiné domény. Podle čeho ti nepříjde jako běžná? Ptám se vážně, nevidím to.

Ne že by to nebyla legrace. Pak už by chyběla jen cola a popcorn.

"podle zadání DIA pak bylo upraveno i uživatelské rozhraní.....
Kromě webového rozhraní..."

Jestli jsem to pochopil správně tak borci z nic.cz dělali všechno v CLI. Ale BFU z DIA na to potřebují GUI.

Oni ten registr hlavně budou používat lidé z různých úřadů a organizací, kterým budou přiděleny jednotlivé subdomény. Proto bylo potřeba vytvořit tak robustní systém včetně rolí a oprávnění. K dispozici je kromě webového rozhraní taky API, takže další automatizaci nic nebrání.

Správu těch záznamů budou dělat přímo jednotlivé úřady – tedy třeba jednotlivá ministerstva, ČÚZK, ČTÚ atd. Plyne to i z nadpisu zprávičky, a v textu je to pak explicitně napsané.

A z ceho jste to dovodil? :-) Uz leta existuje Ferda, coz je webove rozhrani pro spravu FREDa.

Soudím podle sebe :-)

Už ten název: "Webové rozhraní" ve mě vzbuzuje nedůvěru. No snad to neběží na portu:80
Koukám že mají 2FA. Tak snad vědí co dělají.

Podle sebe soudim ostatni? :-) Webova rozhrani jsou dnes vsudypritomna, na tom neni nic zvlastniho. A asi nikdo pricetny to na te osmdesatce (bez TLS) vystavene nema... vy to tak stale delate? 🤣

Právě že jsou všudy přítomná.
Útočníci se na ně zaměřují.
Něco tak důležitého jako gov.cz by mělo být o level lépe zabezpečený než tiskárna nebo pračka.
2FA bych vyžadoval bez výjimky.

Ani TLS není zárukou bezpečí. Verze 1.0 a 1.1 jsou děravé jak ústa staré ženy. A je jen otázka času než prolomí 1.3. Kterou používám.
S 80 to byla nadsázka.

10. 12. 2025, 07:53 editováno autorem komentáře

No, koukám, že web Ministerstva kultury nám pod tou státní adresou "mk.gov.cz" ukazuje jen krásné "Tento web není dostupný. Webové stránky na adrese https://mk.gov.cz/ jsou možná dočasně nedostupné nebo mohly být přemístěny na novou webovou adresu.
ERR_SSL_KEY_U­SAGE_INCOMPATIB­LE"

To "jen" nefunguje varianta bez "www.". To je casty nesvar, ktery se nevyhyba ani privatnimu sektoru :)

Jo bacha, ono je to jeste lepsejsi... ona funguje... ale jen na IPv4 :D Na IPv6 to hodi self-signed certifikat - zjevne z Barracuda firewallu...

To ale není problém domény, ta je v pořádku. Stejně tak je v pořádku webový server na adrese www.mk.gov.cz. Rozbitá je ovšem konfigurace webového serveru pro variantu bez www, který po IPv6 vrací self-signed certifikát se špatným obsahem.

A www.mk.gov.cz je taky uz tak nejak "tradicne" bez IPv6... aneb asi si nekdo potreboval udelat carku (nejak mit v testu 100 bodiku) a moc neresil, jak to realne (ne)funguje... minimalne ne z dlouhodobeho pohledu.