Vlákno názorů k článku
Správa domény gov.cz byla předána do rukou úřadů od Mintaka - Záměr asi dobrý, ale s ohledem na to,...

Záměr asi dobrý, ale s ohledem na to, jaké s tím bývaly (a místy stále jsou) problémy, tak bych jim spíš doporučil, aby správu domény centralizovali u někoho, kdo tomu skutečně rozumí a ne to roztříštili napříč všemi podorganizacemi.

Oni na to možná, po pár trapasech, přijdou sami, a budou potichu, za drahý peníz, "outsourcovat".

Přál bych nám, aby to bylo funkční (včetně té IPV6) a dobře zabezpečené.

Budoucí "historie" ukáže.

Jake s tim jsou problemy? DNS fakt nemuze za to, ze si nekdo treba i po par tydnech rozbije nastaveni IPv6 na sve strane. Sprava fakticky centralizovana je - pod DIA a nastroj, ktery dnes urady maji jim jen umoznuje editaci vlastni zony - s tim, ze i vite kdo co presne rozbil, pokud jde o udaje v DNS. Jak si to "bezpecne" reseni predstavujete vy? ;-) I to MK je ukazkou toho, ze ani kontrola v case editace zony neni zarukou toho, ze po par tydnech nekdo nerozbije nastaveni zarizeni s DNS nikterak nesouvisejicimi.

Ano, muze se lepe prubezne testovat. Testy, ktere pouziva MPO ad vyse v zasade automatizovatelne jsou. A k tomu, aby se vedelo "komu napsat" se naopak soucasne reseni s registrem docela hodi, ne? :-)

RE: Jake s tim jsou problemy?
Jaké jsou problémy s nastavením DNS napříč státní správou, na to jsme tu na Rootovi naráželi nejednou. I v této diskuzi se několik problematických věcí řeší, takže moc nechápu, že se ptáte.

RE: Jak si to "bezpecne" reseni predstavujete vy?

Takové řešení, že ti, kteří to budou správcovat budou dobře vědět co dělají.

A to je složitější zajistit, pokud to bude:
- rozprostřeno mezi větší skupinu lidí s velmi variabilní úrovní technických znalostí
- lidi s horšími komunikačním vazbami mezi sebou
- lidi kteří takovou akci budou dělat velmi zřídka

Ale jak říkám, rád se nechám i pozitivně překvapit.

Ty problémy s nastavením DNS byly buď 1) chybnou konfigurací DNS serveru nebo infrastruktury – tu nyní provozuje CZ.NIC, takže tyhle problémy budou minimalizované (v ČR není moc subjektů, které by měli s provozem DNS takové zkušenosti, jako CZ.NIC). Nebo 2) chybnými hodnotami DNS záznamů nebo chybějícím DNS záznamy – to žádná centralizace nespraví, protože provozovatel domény gov.cz vždy jenom do domény nastaví to, co mu oprávněná osoba z příslušného úřadu řekne. Kontrolovat to třeba ani nemá jak. Ta decentralizace naopak umožňuje rychlejší řešení chyb – až se Ministerstvo kultury o té chybě dozví (jistě každý, kdo ji hlásil do diskuse, ji také oznámil Ministerstvu kultury), bude ji moci rychle samo opravit. A ne že bude posílat datovou zprávu s žádostí o změnu na DIA, kde někdo v úředních hodinách podatelny tu zprávu přepošle na příslušný odbor a ten v úředních hodinách zajistí úpravu DNS záznamu.

Pokud jde o kontrolu veřejných DNS záznamů, tu je možné dělat nezávisle na možnosti správy té domény.

Ostatně, celé to funguje stejně, jako v komerčním světě. CZ.NIC funguje jako registrátor domény a jednotlivé instituce jako její vlastníci. Když si vy „koupíte“ jakoukoli doménu, také považujete za normální, že její obsah můžete upravovat vy a ne jen registrátor.

Problemy s (technickym) nastavenim DNS soucasny system kolem gov.cz prave resi. Dnes nejen ze nemate oba DNS servery v jedne siti (nedejboze v jednom kamrdliku), bonusove je mate jako geograficky distribuovany anycast - coz z pohledu moznych utoku cini cely system naopak dosti robustni. Aneb ano, srovnavam drivejsi problemy s resenim, ktere je provozovane dnes. DNSSEC se resi instatne, centralne a automaticky a nastaveni je vcelku pricetne - a ne bastly, ktere tam dodal buhvikdo v zavislosti na uradu. Takze ano, ptam se vcelku relevantne, co vam na dnesnim technickem reseni gov.cz prijde "spatne"? A vypadato, ze vas nazor je spise z kategorie "otrok minulosti" - aniz byste podival, jakze to funguje dnes.

To, ze vam nekdo vlozi do DNS konkretni obsahove nesmyslny (technicky nefunkcni A, AAAA, MX... atp) zaznam sebegenialnejsi system nevyresi. A ani centralizace (obsahove) spravy zony nevyresi problem s tim, ze vlozeny zaznam prestane po nekolika mesicich fungovat tak jak ma - coz je presne ten pripad mk.gov.cz. Naopak vidim jako nesmysl, aby byl "centralni" urad, kteremu by vsichni posilali supliku kvuli kazde zmene... jen by to generovalo spoustu byrokracie okolo :)