[ Zavřít ] 


 

RSS Kanál

 

Původní DNS CZ.NIC definitivně končí

Původní DNS servery validující DNSSEC už skutečně končí. Datum ukončení bylo odsunuto z důvodů situace zapříčiněné koronavirem COVID-19. Nicméně nyní přichází moment přesunu na nové DNSSEC validující resolvery. Rozhodným datem je čtvrtek 25. června 2020.

 

Staré otevřené DNSSEC validující resolvery CZ.NIC končí (Zdroj: CZ.NIC)

„Velice rád bych ještě jednou vyzval všechny, kteří dosud nezměnili nastavení svých systémů, aby tak učinili co nejdříve. Zkontrolujte si prosím, zda jako DNS resolver nevyužíváte IP adresy starého ODVR unicastu 217.31.204.130, 2001:1488:800:400::130,“ upozorňuje uživatele Zdeněk Brůna, CTO sdružení CZ.NIC.

Původní DNS resolvery provozovalo CZ.NIC přes deset let na IP adresách 1) protokolu IPv4: 217.31.204.130 a 193.29.206.206; 2) protokolu IPv6: 2001:1488:800:400::130 a 2001:678:1::206. Tyto DNS servery využívají a znovu budou využívat technologie DNSSEC, která poskytuje uživatelům jistotu, že informace, které z DNS získal, byly poskytnuty správným zdrojem, jsou úplné a jejich integrita nebyla při přenosu narušena, říká CZ.NIC.

Jak funguje ověřování DNS pomocí technologie DNSSEC (Zdroj: CZ.NIC)

DNSSEC

DNSSEC zabezpečuje komunikací pomocí opakované výměny šifrovacích klíčů a pomocí šifrování mezi poskytovatelem DNS a doménou. CZ.NIC to rozvádí: 

„DNSSEC zavádí DNS asymetrickou kryptografii – tedy používání jednoho klíče na zašifrování a jiného klíče na dešifrování obsahu. Obdobný princip je základem známějšího šifrování zpráv pomocí PGP či podepisování e-mailů elektronickým podpisem. V případě DNSSEC si držitel domény vygeneruje dvojici soukromého a veřejného klíče. Svým soukromým klíčem pak elektronicky podepíše technické údaje, které o své doméně do DNS vkládá. Pomocí veřejného klíče je pak možné ověřit pravost tohoto podpisu.

Aby byl tento klíč dostupný všem, publikuje jej držitel ke své doméně u nadřazené autority, kterou je pro všechny domény .cz registr domén .cz. I na úrovni registru domén .cz jsou technická data v DNS podepsána a veřejný klíč k tomuto podpisu je opět správcem registru předán nadřazené autoritě. Vytváří se tak řetěz, který zajistí důvěryhodnost údajů, pokud není v žádném svém článku porušen, a všechny elektronické podpisy souhlasí.“

Nové otevřené DNSSEC validující resolvery

Šifrování DNS: DNS-over-TLS a DNS-over-HTTPS

ODVR (otevřené DNSSEC validující resolvery), které nahradí ty stávající, poskytnou krom DNSSEC zabezpečení i možnost zabezpečení samotného procesu překladu domén šifrováním, a to sice technologiemi DNS-over-TLS a DNS-over-HTTPS. 

DNS-over-HTTPS se aktuálně dostává hodně pozornosti široké internetové komunity, což ústí v to, že běží přímo v prohlížečích, testuje se v přípravných buildech Windows a k jejímu zprovoznění není třeba žádného třetího nástroje. Běží na portu TCP/443 a fakticky funguje tak, jak její jméno napovídá: veškerá komunikaci v systému překladu názvu domén se odehrává přes zašifrovaný HTTPS protokol. DNS-over-TLS chrání komunikaci mezi klientem a DNS resolverem TLS šifrováním, naslouchá na portu TCP/835. Je ovšem třeba využít lokální instalace místního resolveru, kupř. softwaru Stubby.

Lokalizace na území České republiky

Nejen pár milisekund k dobru, ale třeba i stejný osud v rámci politických rozhodnutí budou důsledkem toho, že nové ODVR jsou umístěny pouze na území ČR. Situaci i její důvody komentuje Václav Steiner, vedoucí systémových administrátorů CZ.NIC:

„Nové servery jsou nyní umístěny “pouze“ ve všech našich datacentrech v České republice. Zahraniční instance jsme v této chvíli nezprovozňovali, protože objem provozu mimo ČR není příliš významný. Na následujícím grafu je navíc patrná klesající poptávka v posledních dvou letech (jedná se o procentuální zastoupení z celkového počtu požadavků) po ODVR resolverech ze zahraničních lokalit. Jakmile se tento trend podle našich statistik provozu otočí, jsme připraveni servery spustit i ve významných zahraničních lokalitách.“

Klesající tendence využití ODVR CZ.NIC ze zahraničních zdrojů (Zdroj: CZ.NIC)

Knot Resolver: nový software nových resolverů

Další výhodou nových ODVR je nový software použitý pro nové ODVR, a to sice KNOT Resolver vyvíjený sdružením CZ.NIC. Krom šifrováním DNS procesu podporuje např. technologii anycastu. 

IP adresy nových ODVR CZ.NIC

Které IP adresy máte nově použít?

  1. IP adresy DNS resolverů pro protokol IPv4
    • 193.17.47.1
    • 185.43.135.1
  2. IP adresy DNS resolverů pro protokol IPv6
    • 2001:148f:ffff::1
    • 2001:148f:fffe::1

Zdroje: CZ.NIC

 

 

 

 

 

Notebook s Chrome 86 pojede o pár hodin déle

Vývojáři Chrome právě testují fičuru, která by měla významně snížit energetickou náročnost prohlížeče. Týká se JavaScriptu, a to konkrétně toho běžícího v panelech na pozadí. Jeho časovače, které neustále probouzí k aktivitě...

Microsoft rozdává Penbook

Penbook, poznámkový náčrtník, co snese dotykové pero, prst i myš, je až do 4. července 2020 zdarma. Stačí zamířit do aplikačního obchodu Microsoft Store a nainstalovat si jej právě touto cestou. Získáte tak elektronickou tabuli k zápisu všeho...

Květnový update sníží spotřebu RAM Chromií

Google Chrome, Microsoft Edge a všechny prohlížeče běžící na jádru Chromium čeká významné snížení potřeby operační paměti, a to díky nové fičuře Windows 10 uvolňované s květnovým povýšením. Jde o SegmentHeap, funkcionalitu...

Microsoft končí s kamennými prodejnami

Koronavirus zpečetil osud kamenných prodejen Microsoftu. Znovu se už neotevřou. Ze všech poboček zůstanou zachovány jen čtyři provozovny na prestižních adresách. Ani ty ovšem nebudou sloužit maloobchodnímu prodeji, nýbrž reprezentačním účelům.  ...


 
© 2005-2020 PS Media s.r.o. - digital world
 

reklama