[ Zavřít ] 


 

RSS Kanál

 

Původní DNS CZ.NIC definitivně končí

Původní DNS servery validující DNSSEC už skutečně končí. Datum ukončení bylo odsunuto z důvodů situace zapříčiněné koronavirem COVID-19. Nicméně nyní přichází moment přesunu na nové DNSSEC validující resolvery. Rozhodným datem je čtvrtek 25. června 2020.

 

Staré otevřené DNSSEC validující resolvery CZ.NIC končí (Zdroj: CZ.NIC)

„Velice rád bych ještě jednou vyzval všechny, kteří dosud nezměnili nastavení svých systémů, aby tak učinili co nejdříve. Zkontrolujte si prosím, zda jako DNS resolver nevyužíváte IP adresy starého ODVR unicastu 217.31.204.130, 2001:1488:800:400::130,“ upozorňuje uživatele Zdeněk Brůna, CTO sdružení CZ.NIC.

Původní DNS resolvery provozovalo CZ.NIC přes deset let na IP adresách 1) protokolu IPv4: 217.31.204.130 a 193.29.206.206; 2) protokolu IPv6: 2001:1488:800:400::130 a 2001:678:1::206. Tyto DNS servery využívají a znovu budou využívat technologie DNSSEC, která poskytuje uživatelům jistotu, že informace, které z DNS získal, byly poskytnuty správným zdrojem, jsou úplné a jejich integrita nebyla při přenosu narušena, říká CZ.NIC.

Jak funguje ověřování DNS pomocí technologie DNSSEC (Zdroj: CZ.NIC)

DNSSEC

DNSSEC zabezpečuje komunikací pomocí opakované výměny šifrovacích klíčů a pomocí šifrování mezi poskytovatelem DNS a doménou. CZ.NIC to rozvádí: 

„DNSSEC zavádí DNS asymetrickou kryptografii – tedy používání jednoho klíče na zašifrování a jiného klíče na dešifrování obsahu. Obdobný princip je základem známějšího šifrování zpráv pomocí PGP či podepisování e-mailů elektronickým podpisem. V případě DNSSEC si držitel domény vygeneruje dvojici soukromého a veřejného klíče. Svým soukromým klíčem pak elektronicky podepíše technické údaje, které o své doméně do DNS vkládá. Pomocí veřejného klíče je pak možné ověřit pravost tohoto podpisu.

Aby byl tento klíč dostupný všem, publikuje jej držitel ke své doméně u nadřazené autority, kterou je pro všechny domény .cz registr domén .cz. I na úrovni registru domén .cz jsou technická data v DNS podepsána a veřejný klíč k tomuto podpisu je opět správcem registru předán nadřazené autoritě. Vytváří se tak řetěz, který zajistí důvěryhodnost údajů, pokud není v žádném svém článku porušen, a všechny elektronické podpisy souhlasí.“

Nové otevřené DNSSEC validující resolvery

Šifrování DNS: DNS-over-TLS a DNS-over-HTTPS

ODVR (otevřené DNSSEC validující resolvery), které nahradí ty stávající, poskytnou krom DNSSEC zabezpečení i možnost zabezpečení samotného procesu překladu domén šifrováním, a to sice technologiemi DNS-over-TLS a DNS-over-HTTPS. 

DNS-over-HTTPS se aktuálně dostává hodně pozornosti široké internetové komunity, což ústí v to, že běží přímo v prohlížečích, testuje se v přípravných buildech Windows a k jejímu zprovoznění není třeba žádného třetího nástroje. Běží na portu TCP/443 a fakticky funguje tak, jak její jméno napovídá: veškerá komunikaci v systému překladu názvu domén se odehrává přes zašifrovaný HTTPS protokol. DNS-over-TLS chrání komunikaci mezi klientem a DNS resolverem TLS šifrováním, naslouchá na portu TCP/835. Je ovšem třeba využít lokální instalace místního resolveru, kupř. softwaru Stubby.

Lokalizace na území České republiky

Nejen pár milisekund k dobru, ale třeba i stejný osud v rámci politických rozhodnutí budou důsledkem toho, že nové ODVR jsou umístěny pouze na území ČR. Situaci i její důvody komentuje Václav Steiner, vedoucí systémových administrátorů CZ.NIC:

„Nové servery jsou nyní umístěny “pouze“ ve všech našich datacentrech v České republice. Zahraniční instance jsme v této chvíli nezprovozňovali, protože objem provozu mimo ČR není příliš významný. Na následujícím grafu je navíc patrná klesající poptávka v posledních dvou letech (jedná se o procentuální zastoupení z celkového počtu požadavků) po ODVR resolverech ze zahraničních lokalit. Jakmile se tento trend podle našich statistik provozu otočí, jsme připraveni servery spustit i ve významných zahraničních lokalitách.“

Klesající tendence využití ODVR CZ.NIC ze zahraničních zdrojů (Zdroj: CZ.NIC)

Knot Resolver: nový software nových resolverů

Další výhodou nových ODVR je nový software použitý pro nové ODVR, a to sice KNOT Resolver vyvíjený sdružením CZ.NIC. Krom šifrováním DNS procesu podporuje např. technologii anycastu. 

IP adresy nových ODVR CZ.NIC

Které IP adresy máte nově použít?

  1. IP adresy DNS resolverů pro protokol IPv4
    • 193.17.47.1
    • 185.43.135.1
  2. IP adresy DNS resolverů pro protokol IPv6
    • 2001:148f:ffff::1
    • 2001:148f:fffe::1

Zdroje: CZ.NIC

 

 

 

 

 

Microsoft odhalil, jak obejít kontrolu TPM 2.0

Microsoft opět zpestřuje příchod nového operačního systému Windows 11. Po obecně rozšířené nevůli vůči požadavku šifrovacího procesoru TPM ve verzi 2.0, se rozpoutala kritika Microsoftu. Navíc následovaly neoficiální postupy, jak obejít...

Antiviry velkých jmen jsou připraveny na Windows 11

Povyšování Windows se opakovaně potýká s rozličnými problémy. I při minoritních změnách se aktualizace dostávají do problémů s kompatibilitou - a ty se často týkají programů, jejichž dlouhé prsty sahají až do jádra...

Chrome 94: nové centrum sdílení a kontroverzní Idle Detection API

Google Chrome se už po necelých čtyřech týdnech hlásí s novou verzí číslo 94. Je to tak, protože prohlížeč přešel z šestitýdenního vývojového cyklu na cyklus čtyřtýdenní. A to především v rámci...

Microsoft bude varovat před instalací Windows 11 na nepodporovaném hardwaru

Microsoft se neustále zamotává ve svých prohlášeních ohledně Windows 11, ne úplně podporovaného hardwaru, možnosti instalace nového systému a možnostech příjmu následujících aktualizací a podpory vůbec. Nově nechává...


 
© 2005-2021 PS Media s.r.o. - digital world
 

reklama