Portál AbcLinuxu, 6. května 2025 14:17

Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6

Vláda na svém včerejším zasedání přijala usnesení (bod 31), podle kterého musí do 30. června 2015 orgány veřejné správy zabezpečit všechny jimi držené domény technologií DNSSEC. Tato povinnost se bude vztahovat rovněž na všechny webové prezentace financované ze strukturálních fondů v novém programovém období 2014+. Tyto prezentace budou muset také podporovat IPv6, dochází tedy k rozšíření podpory IPv6 rovněž na vybrané prezentace soukromého sektoru.

V případě DNSSEC se Česká republika stala pravděpodobně první zemí na světě, která se rozhodla pro povinné zabezpečení všech domén veřejné správy.

19.12.2013 10:19 | Vilem Sladek | Upozornění


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

19.12.2013 10:56 hjkgkjhg
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
Odpovědět | Sbalit | Link | Blokovat | Admin
Sou to prece zli komunisti, tydle pozitivni zpravy tady radsi vubec nepostujte, jeste to by to nekomu mohlo zkazit slozite vystaveny svetonazor
19.12.2013 11:12 boar | skóre: 25 | Praha
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
Odpovědět | Sbalit | Link | Blokovat | Admin
to jsem zvedav, kolik to bude stat, a kdo se na tom napakuje.
19.12.2013 13:49 kolcon | skóre: 15 | blog: kolcon
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
idealni by bylo nejake proprietarni reseni od 602. organizace Svazarmu...
19.12.2013 11:21 danysek
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
Odpovědět | Sbalit | Link | Blokovat | Admin
Doposud neni ani naplneno usneseni vlady 727/2009 tykajici se IPv6, prestoze by uz par let byt melo... je zajimave, ze se nad tim nikdo nepozastavuje :) Takze hadam, ze to dopadne stejne...
19.12.2013 11:53 jj
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
Ano, chtěl jsem se o tom zmínit. Požadavek na podporu IPv6 podepsala už Fischerova vláda a podle zběžného průzkumu ji dva roky po deadlinu podporovala sotva polovina webů, kterým to bylo uloženo...
21.12.2013 10:37 Petr Ježek | skóre: 10
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
Kdo se diví, když nasyslené IPv4 adresy nejen že stačí doposud, ale hlavně nikdo nechtěl kupovat nová IPv6 kompatibilní síťová zařízení namísto těch starších stále dobře funkčních. Ostatně lidi od Drayteku sami tuhle dobu perfektně charakterizovali jako "když to umíte se bezpečně starým, proč pořizovat v krizi nové?"
Archlinux for your comps, faster running guaranted!
20.12.2013 08:10 melkors | skóre: 13 | blog: kdo_chce_kam
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
Ted je k dispozici klacek: Bud bude IPv6 a DNSSEC nebo nebudou penize :-)
Petr Tomášek avatar 22.12.2013 21:34 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
Kdyby radši vláda dělala něco pořádného a neztrácela čas takovýma zmetkama jako je IPv6 :-)
multicult.fm | monokultura je zlo | welcome refugees!
Jendа avatar 22.12.2013 23:47 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
Co je na IPv6 zmetkovitého a jak bys to řešil lépe?
Jardík avatar 19.12.2013 13:49 Jardík | skóre: 40 | blog: jarda_bloguje
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
Odpovědět | Sbalit | Link | Blokovat | Admin
DNSSEC je jen podraz na ovčany, aby se cítili více bezpečně. Je to stejně nebezpečné, jako obyčejné DNS, stejně nebezpečné jako SSL/TLS. Proč? Třeba z wiki:
DNSSEC works by digitally signing records for DNS lookup using public-key cryptography. The correct DNSKEY record is authenticated via a chain of trust, starting with a set of verified public keys for the DNS root zone which is the trusted third party.
A DNS root:
The US Department of Commerce NTIA exercises the ultimate authority over the DNS root zone of the Internet.
Dokud bude večkerá moc měnit a přidělovat domény v rukous US, nedá se tomu věřit, ať už je tam nějakej certifikát, nebo ne. Aby DNSSEC mohl správně fungovat, musel by každý mít doma vlastní bezpečnou databázu s vlastním DNS.

Na druhou stranu nic mi nezakazuje mít vlastní root DNS. Já prohlašuji, že mám absolutní autoritu kořenové zóny DNS, já přiděluji domény prvního řádu. Kdo chce, může si u mě zaregistrovat doménu třeba i .gay, rád mu ji věnuju. A je to zdarma!
Věřím v jednoho Boha.
19.12.2013 13:58 potato
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
Ťřebaže nemám nic proti tomu, co pak věcně píšeš, nebylo by od věci podívat se do slovníku na význam slova stejně. Útok vedný americkými trojpísmemmnými agenturami není jediný threat model, který je zapotřebí brát v úvahu.
Jardík avatar 19.12.2013 14:03 Jardík | skóre: 40 | blog: jarda_bloguje
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
Slovo stejně má takový význam, jaký mu dám v kontextu své věty, která je mým autorským dílem. Žádné slovníky neuznávám, lžou vám tam a vnucují vám tam své pravdy nepravdy.
Věřím v jednoho Boha.
19.12.2013 14:09 kolcon | skóre: 15 | blog: kolcon
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
Jardiku pozor, jeste 2 slova a prispevek by mel 32 slov, tj. by z nej byla 32bitova smejdarna!

(P.S. definici bitu z nejakeho slovniku neuznavam)
19.12.2013 15:41 potato
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
Aha, takže když píšeš bláboly, tak ony to jsou ve skutečnosti rozumné věci, akorát nepoužíváš slova v jejich obvyklých významech. Takže děkuji za velmi poučný příspěvek o šlechtění špenátu v období první republiky, bolívijské literatuře magického realismu, mytologii vesnických fotbalových týmů, nebo o čem to vlastně bylo...
Jardík avatar 19.12.2013 15:50 Jardík | skóre: 40 | blog: jarda_bloguje
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
Pokud zapátráš, tak zjistíš, že lidé otupěli. Museli si pojmenovat každou věc extra slovem, aby si rozuměli. Při tom zapomněli, že důležitá nejsou slova, ale význam jejich sdělení, co je důležité. Chytají se pak každé "chybičky", což vlastně není nic jiného než odlišnost od jakéhosi pravidla určeného ňákým nadčlověkem, kterým vám už od školky vymívají mozky, abyste se naučili pošlusnosti nadlidem a běda, jak jim budete oponovat.
Věřím v jednoho Boha.
Jardík avatar 19.12.2013 16:02 Jardík | skóre: 40 | blog: jarda_bloguje
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
Jinak k tématu, pokud mi někdo chce vysvětlit, proč je DNSSEC "bezpečnější" než obyčejný DNS, tak se rád poučím. Z toho, co jsem se zadím dozvěděl, žádné zabezpečení nepřináší, jen větší pocit bezpečnosti, přesvědčí vás, že s DNSSEC je vše bezpečné, aby vás pak mohli nachytat, když nedáváte pozor. Příklad budiž ... nějaká vláda USA se rozhodne zabavit (čti ukradnout) doménu "obamaisterrorist.com" (podobnost s Obamovým jménem je čistě náhodná a nemusí odpovídat zkutečnosti). Jak mě DNSSEC ochrání před tímto ukradením domény, když mu vlastně ICANN (nebo jak se to píše) cucá z prstu, musí poslouchat TAJNÉ příkazy TAJNÉHO soudu a podřizovat se TAJNÝM americkým zákonům, jež vydal TAJNÝ soud v TAJNÉM rozhodnutí. Co jim zabrání pak poslat odpověď s nějakým mým podpisem, že je daný DNS záznam v pořádku? ... Nic. Žádná bezpečnost navíc. Navíc je to další zbytečná vrstva, absolutně toho samého (čti mizerného) zabezpečení dosáhnete použitím TLS. Možná dokonce i lepšího, protože podstrčený veřejný certifikát někým, kdo danou doménu ukradl může být k ničemu, když nemají soukromý pro dašifrování vaší zprávy. Samozřejmě, že soukromý certifikát US vláda může od US společností dostat snadno během TAJNÉHO rozhodnutí TAJNÉHO soudu (viz např. nedávný případ tý mailový služby, jak musel předat soukromý klíč a nakonec to udělal, takže si NSA mohla zpětně rozšifrovat všechnu uloženou komunikaci).
Věřím v jednoho Boha.
pavlix avatar 19.12.2013 16:10 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
Pokud jsi do teď nepochopil žádnou z bezpečnostních vlastností DNSSEC, tak to nejspíš znamená, že ji pochopit nechceš. Tím, neříkám, že kritika technologie nebo jejího použití není na místě, ale to by se muselo jednat o informovanou kritiku, ne o plané kecy.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
21.12.2013 10:45 Petr Ježek | skóre: 10
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
No, plané kecy by byly, kdyby se právěm nezpochybňovala autorita, na níž a její libovůli celé DNSSEC stojí a padá. Namísto atomizace se tu vesele centralizuje, aniž kdo z bezpečnostnch expertů hne brvou. Každý sebechráněnější hrad bylo možné dobýt ať již silou nebo zradou (resp. cizí politikou) zevnitř... Je po o principech, milý kolego, technologie to jen celé zamlžuje...
Archlinux for your comps, faster running guaranted!
pavlix avatar 21.12.2013 14:56 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
No, plané kecy by byly, kdyby se právěm nezpochybňovala autorita, na níž a její libovůli celé DNSSEC stojí a padá.
To je tak, když se do hodnocení techonologie pouští někdo, kdo si o ní nezjistí ani ty nejzákladnější informace a pak vykřikuje v diskuzích na čem stojí a padá.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
21.12.2013 11:16 Martin Mareš
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
Mno, předvším bych doporučil si přečíst, jak DNSSEC doopravdy funguje :) Ne řeči z třetí ruky, ale skutečný standard.
pavlix avatar 19.12.2013 15:56 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
Já nevidím problém v tom, aby softwarové distribuce obsahovaly i další klíče na přísnější zabezpečení například národních domén. Na úrovni organizací je samozřejmě vhodné přidat i zabezpečení těch samotných organizací.

Bylo by docela fajn odlišovat míru zabezpečení dle toho, zda ověřujeme podle méně důvěryhodného kořene nebo více důvěryhodné vlastní organizační domény. Samozřejmě je potřeba řešit interní distribuci a obnovu klíčů jako se to děje s DNSSECem.

Samotná technologie nemusí být nutně špatná, záleží na tom, jak se použije a jaké bezpečnostní důsledky se z toho vyvodí.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
Jardík avatar 19.12.2013 16:04 Jardík | skóre: 40 | blog: jarda_bloguje
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
BTW jak se uvádí na wiki, celá komunikace je nezašifrovaná a tak je náchylná k MITM útoku. Pokud jsem informován o něčem špatně, rád se poučím.
Věřím v jednoho Boha.
Jardík avatar 19.12.2013 16:07 Jardík | skóre: 40 | blog: jarda_bloguje
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
Jinak je mi vcelku jedno, ať si to používá, kdo chce, ale právě v tom nařízení vlády, že se prostě musí nasadit, a že musí být IPv6, to je jen byrokracie, aby se někdo mohl přiživit. Na co nasazovat zbytečně IPv6? Ano, pochopím na nových serverech, protože není nová IPv4, ale na starých? Přece stávající IPv4 adresu jim nikdo neukradne (i když dneska je možný vše), tak si mohou nadále používat IPv4 adresu.
Věřím v jednoho Boha.
19.12.2013 16:12 SPM | skóre: 28
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
A to ti nevadí, že IPv4 je 32bitová šmejďárna? ;)
19.12.2013 17:46 j
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
Zeby proto, ze klient jaksi IPv4 adresu nedostane stejne jako ten srv => na IPv4 srv se jaksi nepodiva? Jiste, muzeme mit vsude desitinasobnej NAT ... mozna to cas od casu i bude par vterin fungovat.
Jardík avatar 19.12.2013 18:27 Jardík | skóre: 40 | blog: jarda_bloguje
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
Proč? Při "resolvování" domény prostě dostanu buď IPv4 nebo IPv6 (popř. obě), podle toho vytvořím socket a jedu.
Věřím v jednoho Boha.
19.12.2013 19:05 SPM | skóre: 28
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
Protože na svém IPv6 only PC dostaneš jen IPv4 adresu a pak seš bez NATů, tunelů a kdovíčeho nahranej.
pavlix avatar 19.12.2013 16:12 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
Tak se uč. Nevím, kterou wiki máš namysli. Ale až budeš mít základní povědomí a budeš schopný rozlišovat útoky na ty, pro které DNSSEC představuje zábranu, komplikaci, nic, podporu nebo umožnění, tak se o tom můžeme dál bavit.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
19.12.2013 17:48 j
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
Zatim je to ve stadiu, ze DNSSEC je uzasnej nastroj pro vygenerovani DOSu. To je tak vsechno.
pavlix avatar 19.12.2013 17:54 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
Nějak mi chybí ve tvém komentáři ta informace, kterou jsi chtěl asi sdělit.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
Jardík avatar 19.12.2013 18:36 Jardík | skóre: 40 | blog: jarda_bloguje
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
Mně pořád chybí ta informace, jak DNSSEC zabrání americké vládě vydat TAJNÝ soudní příkaz k TAJNÉMU přesměrování domény na jinou IP adresu s tím, že ten DNS root mi prostě k tomu hodí platný podpis, který by měl, kdyby nebyl přesměrován. Je to nějaká americká společnost, a podléhá americkým totalitním zákonům, kdy je možné vydávat tajné zákony, tajným soudem, tajným nařízením a tyto tajné zákony a příkazy se musí tajně respektovat a nelze proti nim bojovat, protože defacto nesmíte ani soudci říct, proti čemu bojujete, protože je to tajné.
Věřím v jednoho Boha.
19.12.2013 19:08 SPM | skóre: 28
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
Asi tak, jako zámek na dveřích auta zabrání odtahovce to auto odtáhnout. Prostě DNSSEC řeší něco jiného, než ty po tom chceš.
19.12.2013 19:31 ewew | skóre: 40 | blog: ewewov_blog
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6

Vypracuj iný systém prekladu doménových mien a hierarchiu domén.

Root v linuxe : "Root povedal, linux vykona."
Jardík avatar 19.12.2013 21:04 Jardík | skóre: 40 | blog: jarda_bloguje
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
No prostě se stanu registrátorem domén prvního řádu. Momentálně mám k volnou doménu .gay, nějaký zájemce?
Věřím v jednoho Boha.
Jardík avatar 19.12.2013 21:05 Jardík | skóre: 40 | blog: jarda_bloguje
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
BTW jaký zákon mi zakazuje být registrátorem domén? Můžu si tu pustit vlastní DNS server a prodávat domény prvního řádu?
Věřím v jednoho Boha.
19.12.2013 21:21 ewew | skóre: 40 | blog: ewewov_blog
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6

Podrobne som to neskúmal ale musíš mať akreditáciu ICANN. Môžeš si to vyhladať, ak ťa to zaujíma.

Root v linuxe : "Root povedal, linux vykona."
pavlix avatar 19.12.2013 21:26 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
To aby žalovali správce domény .czf ;).
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
Jardík avatar 20.12.2013 03:32 Jardík | skóre: 40 | blog: jarda_bloguje
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
Který český zákon mi nařizuje mít akreditaci ICANNu k provozování vlastního DNS serveru, kde budu (třeba zdarma) dávat domény prvního řádu jako .gay, .us, .cz, ... nezávisle na tom, jaký prodává ICANN či kdo. Prostě konkurenca ne?
Věřím v jednoho Boha.
20.12.2013 09:44 bigBRAMBOR | skóre: 37
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
To je zajimavej napad, vznikl by DNS paralelni internet. Pokud by se to hodne rozsirilo, muselo by se to zacit nejak globalne resit. Jdeme do toho?
pavlix avatar 20.12.2013 09:50 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
Doporučuju začít zde.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
Luk avatar 20.12.2013 23:18 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
Myslím, že by to dopadlo velmi podobně jako třeba Diaspora*.
Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly
Jendа avatar 20.12.2013 06:02 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
.onion
pavlix avatar 19.12.2013 20:09 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
A jak si ten útok představuješ. Jako cílený útok na rekurzivní nameserver toho, koho chceš přesměrovat? Tedy podstrčit postupně všechny úrovně DNS stromu?

Tomu můžeš s pomocí DNSSEC v celku triviálně zabránit tím, že si od pro tebe důležitých subjektů necháš ověřit jejich veřejné klíče a svážeš je s jejich zónami. Pro ty konkrétní zóny tě pak root klíč nezajímá.

Toť teorie. V praxi ten útok bude pravděpodobně probíhat tak, že ti nepomůže ani svěcená voda ;).
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
21.12.2013 11:01 Petr Ježek | skóre: 10
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
Ten root key je pozoruhodný tím, že existuje pro daný účel jako jediný autorizovaný v gesci jediné autority (to je kodifikace nástrojů). Obecně lze autoritu zpochybnit (umožňuje-li to právo) třeba tím alternativním root klíčem, ale opět jde jen o konkrétní generování jediné (!) ověřovací rutiny. Přitom zde máme rostoucí asynchronní prostředí s nárůstem podílu mobilních zařízení a zařízení v cizí správě či majetku na smluvní bázi. Odtud je snad patrné, proč je celá koncepce DNS včetně DNSSEC postavená na písku navzdory zdání, že základy jsou rockstable... Takže nejen svěcená voda je poněkud naivní metodou obrany před překonáním DNSSEC... Lidi, začněte, prosím, uvažovat nezávisle na zvykové košili a reapektujte to, že se nám situace mění pod rukama stále rychleji na to, abychom to mohli ignorovat.
Archlinux for your comps, faster running guaranted!
pavlix avatar 21.12.2013 14:58 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
Pravděpodobně jsi si spletl příspěvek, na který reaguješ.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
21.12.2013 11:22 Martin Mareš
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
Mně pořád chybí ta informace, jak DNSSEC zabrání americké vládě vydat TAJNÝ soudní příkaz k TAJNÉMU přesměrování domény na jinou IP adresu s tím, že ten DNS root mi prostě k tomu hodí platný podpis, který by měl, kdyby nebyl přesměrován.

Ehm, DNS root především záznamy v doméně (řekněme) CZ nepodepisuje. Podepisuje pouze delegaci domény CZ na konkrétní nameservery spolu s klíči používanými těmito nameservery. Čili jediné, co by root mohl udělat, by bylo najednou doménu delegovat někam jinam (nebo případně na dotaz odpovědět přímo bez delegace) a na to by se setsakramentsky rychle přišlo.

Jinak samozřejmě není nutné u všech domén spoléhat na jejich podepsanou delegaci z rootu, pokud vám u některé obzvlášť záleží na bezpečnosti, můžete svůj nameserver nakrmit podpisy z nezávislého zdroje (viz trust anchors).

Jak už jsem psal výše, važně by bylo lepší, kdybyste si nejdřív pořádně přečetl, jak DNSSEC funguje. Ale chápu, že RFCčka jsou trochu nudnější čtení než konspirační teorie ;)
23.12.2013 10:57 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
na to by se setsakramentsky rychle přišlo
Jak? Root začne odpovídat bez delegace a nový cíl bude požadavky přeposílat na správný server (aby uživatelé nic nepoznali.) Služby fungují, kde se vezme ten podnět zkoumat DNS?
Quando omni flunkus moritati
23.12.2013 16:12 Martin Mareš
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
Zrovna v tomto případě by si toho rychle všiml provozovatel serveru, protože by mu všechny požadavky začaly chodit z jedné IP adresy :)

Ale jinak myslím nejsem jediný, kdo trochu podrobněji sleduje DNSkový provoz ve svých sítích, včetně analýzy toho, kdo na který dotaz odpovídá.
20.12.2013 10:25 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
Rozbalit Rozbalit vše Re: Vláda schválila povinnost zavedení DNSSEC a rozšířila podporu IPv6
Odpovědět | Sbalit | Link | Blokovat | Admin
Furt DNSSEC zde na abíčku a co abíčko a DNSSEC?
To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†

Založit nové vláknoNahoru


ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.