abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 02:22 | Nová verze

Byla vydána verze 4.5 linuxové distribuce Parrot (Wikipedie). Jedná se o linuxovou distribuci založenou na Debianu a zaměřenou na penetrační testování, digitální forenzní analýzu, reverzní inženýrství, hacking, anonymitu nebo kryptografii.

Ladislav Hagara | Komentářů: 1
včera 17:22 | Pozvánky

V sobotu 23. února se uskuteční 6. ročník WordCampu – největší konferenci o WordPressu v ČR. Ke konferenci probíhá i soutěž typu CTF (Capture The Flag) o volné vstupenky, kde si lze zkusit zneužít běžné bezpečnostní chyby.

smíťa | Komentářů: 0
včera 17:11 | Pozvánky

Letošní ročník konference Prague PostgreSQL Developer Day se bude konat 13. a 14. února v prostorách FIT ČVUT. Program konference najdete na stránkách konference, stejně jako registrační formulář.

TomasVondra | Komentářů: 0
včera 16:55 | Bezpečnostní upozornění

Byly zveřejněny informace o bezpečnostní chybě v nástroji pro správu databází v jednom PHP souboru Adminer. Chyba je už půl roku opravena. Stačí Adminer aktualizovat.

Ladislav Hagara | Komentářů: 3
20.1. 18:33 | Nová verze

Byla vydána nová stabilní verze 2.7 svobodné decentralizované mikroblogovací platformy a sociální sítě podobné Twitteru Mastodon (Wikipedie). Detailní přehled novinek na GitHubu.

Ladislav Hagara | Komentářů: 0
20.1. 00:22 | Nová verze

Byla vydána nová vývojová verze datového formátu a souvisejících nástrojů Relational pipes. Verze v0.9 obsahuje vstupní moduly pro fstab, CSV, XML a příkazový řádek; výstupní moduly pro CSV, XML, ODS (ODF), GUI (Qt), hodnoty oddělené nulovým bajtem a tabulkový výstup do konzole. Relační data lze upravovat relačními příkazy grep, cut a sed.

xkucf03 | Komentářů: 61
19.1. 18:33 | Zajímavý software

Podman dospěl do verze 1.0.0. Jedná se o nástroj umožňující vytvářet a provozovat kontejnery, aniž by uživatel potřeboval práva roota.

Ladislav Hagara | Komentářů: 1
18.1. 16:44 | Zajímavý software

Na Kickstarteru lze podpořit vývoj svobodného softwarového nástroje Akira, jenž by měl umožnit designérům designování aplikací v Linuxu. Mělo by se jednat o alternativu k proprietárním nástrojům Sketch, Figma nebo Adobe XD.

Ladislav Hagara | Komentářů: 0
18.1. 12:11 | Zajímavý článek

V Edici CZ.NIC vyšla kniha CyberSecurity věnovaná problematice kybernetické bezpečnosti, a to především jejím základním principům, které by měl respektovat každý, kdo využívá informační a komunikační technologie. Kniha je ke stažení zcela zdarma pod licenci Creative Commons (CC BY-ND 3.0 CZ) (pdf, epub, mobi).

Ladislav Hagara | Komentářů: 0
18.1. 02:00 | Nová verze

Byla vydána nová stabilní verze 0.92.4 a první alfa verze verze 1.0 svobodného multiplatformního vektorového grafického editoru Inkscape. Přehled novinek v poznámkách k vydání (0.92.4 a 1.0alpha0). Obě verze jsou k dispozici také jako balíčky ve formátu AppImage. Stačí je stáhnout, nastavit právo ke spuštění a spustit.

Ladislav Hagara | Komentářů: 6
Používáte USB Type-C?
 (20%)
 (16%)
 (11%)
 (12%)
 (37%)
 (4%)
 (43%)
Celkem 451 hlasů
 Komentářů: 0
Rozcestník

Občas není od věci vyslovit něco, za co se upaluje nebo ukamenovává. Nic není totiž tak jednoduché, aby byla pravda vždy jediná a na první pohled zřejmá.


NAVRCHOLU.cz
Aktuální zápisy

Proč rozšíření DNSSEC klesá?

4.5.2014 19:39 | Přečteno: 2661× | Ze života | Výběrový blog

Leckdo má ještě v živé paměti, jak se s velkou slávou podepisovala kořenová zóna DNS. U nás se pak hovořilo o tom, jak jsme ohledně zavádění DNSSEC vpředu. Jenže celé se to nějak zadrhlo. Již od začátku loňského roku podíl domén s DNSSEC klesá, v posledních měsících jde dokonce o absolutní pokles. Co se děje?

Asi není třeba příliš vysvětlovat, k čemu slouží DNSSEC a proč se používá. Zkrátka, klasické DNS odpovědi nijak nezaručují, že přišly od správného původce a že obsahují to, co tam jejich původce vložil. Někdo může stát na cestě (man in the middle), posílat zfalšované odpovědi nebo modifikovat ty původní. DNSSEC umožňuje ověřit jak identitu odesílatele odpovědi, tak i neporušenost obsahu.

S DNSSEC souvisí ještě další bezpečnostní zlepšovák, a sice DANE. Tato technologie je asi ještě významnější než samotné DNSSEC, protože umožňuje chránit uživatele před certifikáty, které by případně podepsala zkompromitovaná certifikační autorita. Rozšíření DANE je ale zatím mizivé, ze serverového softwaru ho podporuje asi jen nejnovější verze Postfixu.

I přes mohutnou propagaci DNSSEC ze strany sdružení CZ.NIC a přes aktivity typu Zlatý erb se ale nasazování v praxi u nás nějak zadrhlo. Ze statistiky je patrné, že vrcholu v podílu na všech českých doménách (37,9 %) bylo dosaženo v lednu 2013 a potom znovu v červnu, od té doby ale podíl klesal a nyní už je jen 35,9 %.

Další graf dokonce prozradí, že DNSSEC klesá už i absolutně - tedy nejen z hlediska podílu na počtu domén, ale i z hlediska absolutního počtu domén s podporou DNSSEC. Vrchol byl dosažen v prosinci 2013, od té doby počet klesl o více než 2 000 domén. Při cílovém počtu 405 954 domén to samozřejmě není nic drastického, ale může to něco naznačovat.

Jedním z důvodů může být, že s mění podíl webhosterů, kteří pro své zákazníky provozují i DNS servery a v drtivé většině případů se pro domény využívají právě DNS servery příslušných webhosterů. Hlavním propagátorem a implementátorem DNSSEC mezi hostery byla firma Active24, ta ale na trhu dost výrazně ztrácí. Nejvíc naopak roste Wedos, kde podpora DNSSEC sice k dispozici je, ale zřejmě není tak aktivně prosazována.

Co vidím ale jako hlavní příčinu, která s tou předchozí souvisí: o DNSSEC prostě není zájem. V situaci, kdy je potřeba pro podepsání domény udělat nějakou operaci navíc (byť by to bylo jediné kliknutí), málokdo to udělá. Nebude totiž vědět, co tím získá, resp. co uživatelům hrozí, pokud to neudělá. Tedy kampaň na podporu DNSSEC zjevně u běžných držitelů domén selhává.

Zřejmě se to nezmění do doby, než se objeví aféra rozsahu Heartbleed, aby se o záležitosti začalo psát i v mainstreamových médiích. Je ale otázkou, jestli se něco takového stane. DNSSEC chrání proti útokům, které obvykle nebudou mít nijak masový rozsah, ale mohou být o to nepříjemnější. A má-li se hovořit o DANE, to už je úplně hudba budoucnosti, kdy při případném strašení aférami typu DigiNotar nebude možné nabídnout okamžitě použitelné řešení.

Byla by škoda, kdyby technologie DNSSEC vymřela. Jakkoli není samospasitelná, může být dobrým příspěvkem k posílení internetové bezpečnosti. Nástroje jsou, služby jsou, jen to skutečné nasazení chybí. A je to velmi jednoduché, s nasazováním IPv6 se to naprosto nedá srovnat.

       

Hodnocení: 100 %

        špatnédobré        

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

4.5.2014 20:35 goldenfish | skóre: 38 | blog: aqarium | Praha
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
zdravim,

na to je jednoducha odpoved. Kdyz jsem si daval podepsat domenu, tak to nebylo uplne zadarmo. A nejaky rok se cekalo, az to registrator zavede.

Az to bude v cene registrace/prodlouzeni domeny nebo za 'pivo', tak to bude mit smysl. Kdyby se NIC.CZ radeji vykaslal na televizni reklamy na CT1 a dal DNSSEC zadarmo, tak to bude lepsi.

gf
Luk avatar 4.5.2014 21:33 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
Řada registrátorů už to zadarmo má, a to i poměrně dlouho. Často dokonce titíž, kteří mají i levné domény (a hosting).
Kdyby se NIC.CZ radeji vykaslal na televizni reklamy na CT1 a dal DNSSEC zadarmo, tak to bude lepsi.

CZ.NIC dát DNSSEC zadarmo nemůže, protože je to věcí provozovatelů DNS serverů (tj. obvykle registrátorů). Resp. CZ.NIC na svých serverech DNSSEC má a je to již v ceně domén pro registrátory; zbývá tedy ten článek, co je u registrátorů.
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
5.5.2014 00:43 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
Formulace "dával podepisovat doménu" je mi nějaká podezřelá. Nepletete si DNSSEC se SSL certifikáty pro HTTPS/SMTPS/XMPP/...? Nevím o tom, že by se někdy někde za DNSSEC platilo, prostě ho registrátor buď podporuje a pak ho poskytuje jako součást služby, nebo ne. A pokud máte vlastní DNS servery, stojí vás to jen váš čas...
Luk avatar 5.5.2014 01:13 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
Nevím o tom, že by se někdy někde za DNSSEC platilo, prostě ho registrátor buď podporuje a pak ho poskytuje jako součást služby, nebo ne.
Nelze vyloučit, že někde se za to platí. Nebo spíš dříve platilo, dnes už to asi bude jen úplně výjimečné.
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
5.5.2014 01:38 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
Vyloučit to samozřejmě nelze. Každopádně u .cz domén vím, že Subreg od začátku jede zdarma, u Active24 to dokonce snad při uvedení zapínali automaticky, při převádění domény jednoho zákazníka od Forpsi jinam jsem nedávno na zapnuté DNSSEC narazil taky (a při úrovni znalostí toho zákazníka pochybuju, že by si to sám zapínal, natož si za to připlácel). Docela by mě překvapilo, kdyby jejich - obvykle méně významná - konkurence za to něco chtěla.

Horší je to s cizími doménami, ale tam podle všeho většinou hraje/hrála roli spíš absence potřebného API pro automatizované úpravy DS záznamů. Tam by mě poplatek za ruční úpravy zase tolik nepřekvapil.

Každopádně ta formulace mi s DNSSEC fakt nejde dohromady, "dát podepsat doménu" je něco jiného než vložit někam vlastní otisk klíče a zajistit si obnovování podpisů v zónovém souboru.
5.5.2014 01:54 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
Týjo, přestřelil jsem. Zkusil jsem Googla a co na mě nevypadne:

Ochrana domény pomocí DNSSEC - 100 Kč jednorázově.

Zajímalo by mě, kolik zákazníků jim to zaplatí. Převod .cz domény jinam je obvykle zdarma a pro jiné DNSSEC neposkytují. Osobně bych hlasoval nohama, ani ceny za samotnou doménu nemají nic extra...

Mimochodem, nezdražili u Active 24 .cz domény? Koukal jsem do jejich ceníku a mám pocit, že tolik peněz to za české domény nebývalo. Subreg za to chce 145,- Kč bez DPH a u Forpsi to momentálně prodávají dokonce za 125,- Kč...
Luk avatar 5.5.2014 02:44 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
Zajímalo by mě, kolik zákazníků jim to zaplatí.
Asi dost. Tak jako stále platí za české domény třeba 300 Kč ročně. Nebo jako platí za domain-validated certifikáty 2000 Kč za kus ročně a při reissue to zaplatí znovu. Často totiž vůbec nevědí, že to lze mít levněji (protože si to třeba pořídili před lety a pak každoročně vždycky jen zaplatí fakturu, která přijde).
Mimochodem, nezdražili u Active 24 .cz domény?
Nevím, u Active24 jsem pořizoval domény jen v té jejich vypečené akci (15 Kč/ks), na které za pár hodin prodělali kalhoty :-D Za rok jsem je pak samozřejmě převedl jinam, protože není důvod platit o desítky procent víc.
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
Luk avatar 5.5.2014 02:51 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
Docela by mě překvapilo, kdyby jejich - obvykle méně významná - konkurence za to něco chtěla.

Některé firmy fungují tak, že jejich obchodníci obvolávají firmy a okecávají to tak, že jim leckdo sedne na lep, pokud věci nerozumí (teď nemluvím o skutečných podvodnících, jen o firmách prodávajících "leštěný prd"). Proto za to mohou klidně peníze chtít a také je dostanou. Od někoho.
Horší je to s cizími doménami, ale tam podle všeho většinou hraje/hrála roli spíš absence potřebného API pro automatizované úpravy DS záznamů. Tam by mě poplatek za ruční úpravy zase tolik nepřekvapil.

Po různorodých zkušenost každému radím, ať si pořízení nějaké cizí (nebo generické) domény stokrát rozmyslí. Takové ty situace, kdy se po 5 pokusech nepovede z neznámých důvodů změnit registrátora (a pokaždé to jen stojí peníze), bohužel nejsou vůbec řídké. Subregistrátor se vymlouvá na registrátora, ten zase na druhého registrátora, ten na subregistrátora ... nikdo za nic nemůže, peníze mizí a operace neprobíhá. Plus další problémy, například ty mé oblíbené s doménou .name. Tohle za to fakt nestojí. Pokud někdo chce cizí doménu jen proto, že příslušná česká je obsazená, ať si raději vybere nějakou jinou českou.
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
9.5.2014 16:07 j AM | skóre: 2 | blog: skeptik
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
např. subreg ke pro hodně generických a zahraničních domén přímo registrátorem.
Luk avatar 10.5.2014 13:26 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
Prosím znovu a česky ;-)
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
11.5.2014 08:44 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
Tipuji, že třetí slovo mělo být "je", pak to dává smysl... :-)
Luk avatar 11.5.2014 12:45 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
Aha. No, může být. Ale v praxi jsem to snad ještě neviděl - čeští registrátoři nebyli přímo registrátory zahraničních domén. Leda si ty domény registrovat přímo u zahraničních registrátorů, tím odpadne část problémů.
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
11.5.2014 15:26 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
Pokud vím, skutečně je tomu tak, Subreg opravdu má akreditaci i pro další zahraniční a generické domény (např. pro .org, .info, .com a .net od roku 2010). Viz jejich novinky.
5.5.2014 09:21 goldenfish | skóre: 38 | blog: aqarium | Praha
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
ne, skutecne si nepletu pojmy. Zrovna se jedna o tu domenu, co mam v paticce, coz si muzete online overit. Certifikacnim autoritam se par let uz venuju, donedavna jsem delal spravce CA.

gf
5.5.2014 10:12 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
V tom případě jen tak pro informaci - který registrátor za to ty prachy teda vybíral?
5.5.2014 10:24 goldenfish | skóre: 38 | blog: aqarium | Praha
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
Prikaz "whois -H linuxsoft.cz" Vam rekne, ze jsem u Ignum.
5.5.2014 10:41 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
Teď ano. Ale IGNUM od začátku za DNSSEC nic nechtěl...
10.5.2014 10:30 CH
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
V te zprave se ale nepise, ze to plati jenom pro jejich DNS hosting. Za externi server a nastaveni jeho klice chteli (a chteji stale) platit.
11.5.2014 08:48 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
Jo takhle. Hmm, v jejich ceníku se o tom pro jistotu nepíše. Tak to bych opět asi hlasoval nohama... :-/
saly avatar 4.5.2014 21:13 saly | skóre: 22 | blog: odi_et_amo
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
Já jsem DNSSEC vypnul například kvůli nějaké chybě / špatnému nastavení BINDu u ISP jednoho klienta / možná registrátora, která způsobovala finálně nedostupnost firemního webu. Řešení toho nebyla zrovna trivialitka, nepřišel jsem, kde vlastně chyba byla a bylo jednoduší to vypnout, než se s tím patlat, s tím, že to zkusím znovu zapnout, až si ISP updatují svoje servery.
Jardík avatar 4.5.2014 21:52 Jardík | skóre: 40 | blog: jarda_bloguje
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
Dokud bude root server v usraeli, tak to nemá šancu.
Věřím v jednoho Boha.
4.5.2014 23:19 Sten
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
Kde je ten Usrael? Ve Švédsku? V Německu? V Číně? Nebo v Jižní Korei? Tam všude jsou taky root name servery.
Bedňa avatar 4.5.2014 23:05 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
Pokiaľ budú webové technológie spravené tak idiotsky ako sú, neviem čomu sa čuduješ.

Teda nečakaj že tu teraz zázračne ponúknem alternatívu, ale viem si predstaviť že by to mohlo fungovať inak ako odklikaním certifikátu o ktorom viem kulové.
KERNEL ULTRAS video channel >>>
4.5.2014 23:35 Xerces
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
DJB v době zavádění navrhnul alternativu DNSCurve, která se bohužel v odborných kruzích neujala. Ale mne osobně byla sympatická. Viz. cr.yp.to.
5.5.2014 00:43 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
Co mají s DNSSEC společného webové technologie? :-)
Luk avatar 5.5.2014 01:15 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
Třeba to, že k aktivaci DNSSEC pro doménu je potřeba v nějakém webovém klikátku něco zakliknout ;-)
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
5.5.2014 01:42 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
To leda. Ale v tom případě netuším, co je na tom - obecného hlediska webových technologií - udělaného idiotsky... :-)
5.5.2014 01:43 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
Před slovem "obecného" má být samozřejmě ještě "z".
Bedňa avatar 6.5.2014 21:44 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
Tak som to zobecnil, je to katastrofa, cez zabezpečenie sietí, domén, implementácia štandartov, prehliadače, všetky zemáky dojebaté, aj tí kurwy hasiči zhoreté.
KERNEL ULTRAS video channel >>>
6.5.2014 21:49 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
Tak to pak jo. :-)
pavlix avatar 5.5.2014 07:33 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
Že je náš podíl webů zabezpečených DNSSECem značně ovlivněný rozložením uživatelů komerčních webhostingů, je celkem známé, takže tím bych se nějak netrápil.

Mně by spíše zajímalo, když už se tu tak teoretizuje o přínosu DNSSEC a jeho (ne)používání, jak moc jsi se zamýšlel nad praktickými problémy s DNSSEC na klientské straně. Na straně infrastruktury se DNSSEC neustále zlepšoval, ale z mých posledních zkušeností z linuxového laptopu není DNSSEC ještě zdaleka hotový.

I z toho důvodu jsme navrhli lokální DNS(SEC) server (až) pro Fedoru 22. Docela bych se nechal poučit, jak jsou na tom s DNSSECem Windows nebo OS X.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
pavlix avatar 5.5.2014 07:42 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
A je to velmi jednoduché, s nasazováním IPv6 se to naprosto nedá srovnat.
Na straně provozovatele webu je podle mě IPv6 a DNSSEC úplně stejně jednoduché, případně se dá říct, že složitost závisí jen na tom, jak moc to provozovatel hostingu komplikuje. V roli webhostingu je IPv6 podle mě jednodušší, ale ani DNSSEC nevidím jako nějakou krizi. Obě dvě technologie trpí na klientské straně. Nejvýraznější rozdíl mezi nimi vidím v tom, že DNSSEC lze provozovat bez podpory ISP.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
Luk avatar 5.5.2014 10:17 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
V roli webhostingu je IPv6 podle mě jednodušší
V roli webhostingu je jednodušší DNSSEC, protože ho webhoster vůbec řešit nemusí - pokud neprovozuje vlastní DNS servery a nechává vše na svém registrátorovi (což může být mnohem snazší a levnější - ve svém nástroji pro registraci domén prostě přidá pár funkcí k API registrátora navíc).
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
pavlix avatar 5.5.2014 10:30 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
Počítal jsem s možností, že vlastní DNS provozovat bude, protože je to vcelku obvyklé. Pokud ne, musel bych uvádět ještě registrátora, pro kterého je zase zadarmo IPv6.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
Heron avatar 5.5.2014 09:57 Heron | skóre: 51 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
A je to velmi jednoduché, s nasazováním IPv6 se to naprosto nedá srovnat.

Tak s tím bych s dovolením polemizoval. Zatímco u IPv6 prostě dostaneš rozsah "a je to", tak u DNSSEC musíš pro každou zónu: podepsat, odeslat podpisový klíč správci vyšší domény a dále pravidelně znovu podepisovat všechny zónové soubory.

Ano, dneska už jsou lepší nástroje na údržbu podepsaných zónových souborů, ale ty zbývající úkony, zejména nutnost kontaktovat správce nadražené domény, je docela velká komplikace.

Celkem by mě zajímalo, jak kdo má tohle řešené, předpokládám, že velcí správci záznamů (jako například Active24) mají se správcem domény .cz domluvené nějaké nadstandardní API, ale co v případě malého správce s několika stovkami zónových souborů? Zkrátka nějaké best practice. :-)

Luk avatar 5.5.2014 10:21 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
Zatímco u IPv6 prostě dostaneš rozsah "a je to"
Není to. Musí ho podporovat všechny serverové aplikace, což u těch běžných samozřejmě není problém, ale u těch exotičtějších se to někdy musí řešit přesměrováním portů nebo jinými technikami, protože tam nativní podpora IPv6 prostě není.
Celkem by mě zajímalo, jak kdo má tohle řešené, předpokládám, že velcí správci záznamů (jako například Active24) mají se správcem domény .cz domluvené nějaké nadstandardní API, ale co v případě malého správce s několika stovkami zónových souborů?
Velcí správci bývají zároveň registrátoři a se správcem domény .cz komunikují přes API. Malý správce může využít místo svých DNS serverů využití servery svého registrátora a nemusí tedy tuto problematiku vůbec řešit.
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
Heron avatar 5.5.2014 10:36 Heron | skóre: 51 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
Malý správce může využít místo svých DNS serverů využití servery svého registrátora a nemusí tedy tuto problematiku vůbec řešit.

Hmm, v tom případě muže i další služby využívat jinde čímž by tito malí poskytovatelé zanikli a zbyl by pouze jeden globální velký. Takže ano může, ale co když si chce vše spravovat sám?

Luk avatar 5.5.2014 10:59 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
v tom případě muže i další služby využívat jinde čímž by tito malí poskytovatelé zanikli a zbyl by pouze jeden globální velký
Není pravda. Je na zvážení pro každou konkrétní službu, zda je z různých aspektů výhodnější ji brát od někoho jiného nebo ji řešit interně. Není to rozhodně černobílé.
Takže ano může, ale co když si chce vše spravovat sám?
Pak se ale musí stát i registrátorem (protože jinak ho na mezi sebou a správcem bude stejně mít) a tedy splnit všechny podmínky pro to, aby registrátorem mohl být (tj. včetně složení příslušné zálohy na úhradu poplatků). Je otázka, zda je výhodnější mít DNS servery zdarma (resp. již v ceně domén) u zvoleného registrátora a nemuset se téměř o nic starat nebo na vlastní náklady tyto servery provozovat a zajišťovat si všechno vlastními silami.
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
pavlix avatar 5.5.2014 11:08 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
Mezi ponecháním všeho na registrátorovi a bytím registrátorem je docela velký prostor.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
5.5.2014 11:45 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
Malý správce může využít místo svých DNS serverů využití servery svého registrátora a nemusí tedy tuto problematiku vůbec řešit.
A rozcilovat se pokazde s pitomym webovym rozhranim registratora kdyz chci zmenit libovolny DNS zaznam. Dekuji nechci.
Luk avatar 5.5.2014 12:06 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
Lze také změnit registrátora nebo měnit záznamy přes API (anebo obojí).
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
5.5.2014 10:28 Marv-CZ | skóre: 21
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
Navíc je IPv6 dnes už podporováno skoro v každé aplikaci. O DNSSEC se to říct nedá.
pavlix avatar 5.5.2014 10:31 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
O DNSSEC se to říct nedá.

Tady je potřeba rozlišovat formální podporu DNSSEC na straně serveru a reálnou podporu na DNSSEC postavených technologiích.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
5.5.2014 13:45 Filip Jirsák
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
Zatímco pro využití IPv6 je alespoň minimální podpora na straně aplikace nutná, pro DNSSEC to potřeba není – aplikace může s DNSSEC fungovat, aniž by o něm něco věděla. Aplikace buď dostane název přeložený na IP adresu (pokud je DNSSEC v pořádku), nebo dostane odpověď, že doména neexistuje (pokud validace selže).
pavlix avatar 5.5.2014 14:19 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
Zatímco pro využití IPv6 je alespoň minimální podpora na straně aplikace nutná
To není tak úplně pravda. Mnoho (serverových) aplikací lze používat tak, že si ani nevytvářejí vlastní komunikační kanál, ale dostanou ho již vytvořený. A nebo používají výstupy z getaddrinfo(), které sice vzniklo s IPv6, ale umí být zcela neutrální.
pro DNSSEC to potřeba není
Ideální samozřejmě je, aby aplikace DNSSEC používala jen prostřednictvím knihoven, což ve většině případů platí i pro IPv6.
nebo dostane odpověď, že doména neexistuje (pokud validace selže).
To je pravda. Nepodporující aplikace dostane tuto nepravdivou/neúplnou informaci.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
5.5.2014 16:07 Filip Jirsák
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
Tou podporou jsem nemyslel, že by bylo nutné aplikaci upravovat – ale že musí určitým způsobem s IPv6 počítat (rozbít to může úplná prkotina, třeba výpis IP adresy do logu). Nebo-li u IPv6 aplikace musíte vždy alespoň ověřit, že s IPv6 funguje. Pro DNSSEC tohle neplatí, tam máte jistotu, že ji DNSSEC nijak negativně neovlivní.
Luk avatar 5.5.2014 16:43 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
Ono pokud se aplikaci předává už vytvořené spojení, tak aplikace opravdu často nemusí o IPv6 nic vědět. Ale pak může být problém právě s logováním, protože aplikace už tím pádem IP adresy logovat nemůže a musí se o to postarat (x)inetd nebo jiný program, který aplikaci předává ona vytvořená spojení.
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
5.5.2014 18:20 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
protože aplikace už tím pádem IP adresy logovat nemůže
I aplikace, ktera dostava jiz vytvorena spojeni, muze logovat jejich adresy. Viz funkce getpeername() a getsockname().
Luk avatar 5.5.2014 19:04 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
Ale pak už musí být připravena na IPv6 (aspoň genericky), aby se s tím mohla korektně popasovat.
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
pavlix avatar 5.5.2014 20:27 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
To by znamenalo, že aplikace může spoléhat na to, že dostává síťové sockety, což pokud vím taky neplatí vždy.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
vencour avatar 5.5.2014 20:02 vencour | skóre: 55 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
Přidal jsem do výběru.
Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
Luk avatar 5.5.2014 20:12 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
Díky ;-)
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
6.5.2014 08:24 stulda
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
Z mého pohledu má DNSSEC smysl hlavně u webů, u kterých adminům stálo za to nasazovat SSL. DNSSEC má nemalou režii a vyplatí se ho aplikovat tam, kde jsou přenášena nějaká citlivá data atd. Hromadné nasazování na všechny domény hostingu je celkem zbytečné.
Petr Tomášek avatar 7.5.2014 09:55 Petr Tomášek | skóre: 38 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
I přes mohutnou propagaci DNSSEC ze strany sdružení CZ.NIC
Řekl bych, že právě v tom bude ten problém... :-)
multicult.fm | monokultura je zlo | welcome refugees!
Luboš Doležel (Doli) avatar 9.5.2014 09:37 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
I abclinuxu.cz bylo jednu dobu podepsané. Pak ale BIND při automatickém znovupodepisování (nebo jak se to označuje) podpisy nějak zvláštně poškodil a lidem s DNSSEC tak doména přestala fungovat. To mě prozatím odradilo od dalších experimentů, protože nechci, aby se fiasko opakovalo.
pavlix avatar 9.5.2014 10:56 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Proč rozšíření DNSSEC klesá?
Máš používat KnotDNS :).
Já už tu vlastně ani nejsem. Abclinuxu umřelo.

Založit nové vláknoNahoru

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.