Jaké jsou perspektivy DNS?

Poměrně široká skupina expertů, zahrnující odborníky z komerčních firem i akademické sféry, vypracovala dokument nazvaný Signposts in Cyberspace: The Domain Name System and Internet Navigation. Zabývá se DNS (domain name system), jeho bezpečnostními slabinami i jeho budoucností. Jaké nás tedy u DNS čekají změny?

Cílem dokumentu Signposts in Cyberspace: The Domain Name System and Internet Navigation je analyzovat současný stav DNS a jeho vztah k navigaci v Internetu, identifikovat možné hrozby pro jeho další vývoj a přinést doporučení, jak jim čelit. Nedá se říci, že by dokument byl nějak mimořádně skeptický, ale jeho čtení není zrovna veselé.

Text totiž nejprve konstatuje, že uplynulých dvacet let jednoznačně prokázalo, že DNS je službou spolehlivou a efektivní, která se velmi dobře vyrovnala s mohutným růstem sítě. Z hlediska technického navíc může držet krok s růstem potřeb docela dlouho. To ale bohužel není zárukou úspěšného pokračování DNS, jehož budoucnost ohrožuje celá řada faktorů. Většina z nich není technického rázu, jedná se především o různé mocenské a ekonomické tlaky. Podívejme se podrobněji na nejvýznamnější témata zmiňovaného dokumentu.

Bezpečnost

Jedna z mála technických hrozeb, čemuž odpovídají i celkem přímočará doporučení. Jakákoli veřejná infrastruktura, mezi něž DNS nepochybně patří, se může stát cílem útoku. Nejvážnější dosavadní hrozbu představují DOS útoky usilující o přetížení kořenových serverů haldou dotazů. Kořenových serverů je poměrně málo a bez nich celý systém DNS přestane pracovat, takže představují lákavý cíl.

Doporučené protiopatření je jednoznačné: v širší míře nasadit anycastově adresované klíčové servery. Anycastová (výběrová) adresa je přiřazena skupině serverů a směrovací mechanismy zajistí, že dotaz bude doručen jejímu nejbližšímu členovi. Již dnes je několik kořenových serverů ve skutečnosti realizováno skupinami spolupracujících počítačů opatřených společnou anycastovou adresou. To znamená, že kořenových serverů ve skutečnosti není třináct, jak naznačuje DNS, ale několik desítek, z nichž některé nemusí být pro útočníka vůbec dosažitelné.

Druhou slabinu představuje fyzická napadnutelnost, protože pro funkci anycastu je třeba, aby pracovaly alespoň některé z oněch 13 klíčových serverů. A ty se dnes až příliš koncentrují v oblasti New Yorku a Los Angeles. Experti je doporučují více rozptýlit, aby se omezily jejich společné závislosti na infrastruktuře. Zároveň se přiklánějí k systematickému sledování výkonu kořenových serverů a systému včasného varování.

Poslední téma bezpečnostní kapitoly představuje možná změna obsahu přenášených zpráv nehodným vetřelcem. Tento neduh má vyléčit DNSSEC, čili rozšířené záznamy poskytující ověřené informace. Rodí se dlouho a v bolestech, nicméně nedávno vyšla sada RFC (4033 až 4035) definující novou verzi DNSSEC, na níž snad konečně panuje všeobecná shoda. Stav ale zatím rozhodně není uspokojivý. Zpráva apeluje na nasazení DNSSEC především v horních patrech doménové hierarchie, kde jeho neexistence má nejširší dopad.

Politika

Čím důležitější roli hraje Internet v běžném životě lidí, tím silnější jsou tlaky na politické ovládnutí DNS. Především velký vliv USA na kořenovou doménu (zavádění nových domén první úrovně formálně podléhá americkému ministerstvu obchodu) je trnem v nejednom oku. Usilují o to jak různé mezinárodní organizace, tak vlády některých zemí, jež se tak snaží omezit vliv USA.

Zpráva považuje stávající relativní nezávislost DNS na politických tlacích za jednu z jeho významných předností a velmi důrazně nedoporučuje zatahovat DNS do mocenských, právních či ekonomických hrátek různých subjektů, jejichž podstata se DNS ve skutečnosti netýká.

Naopak doporučuje udělat DNS ještě politicky nezávislejším tím, že ministerstvo obchodu převede své pravomoci na vhodný neutrální orgán. Přirozeným kandidátem je ICANN, mezinárodní nezisková společnost zodpovídající za přidělování adresního prostoru IP a správu kořenové domény. ICANN hraje již dnes v této oblasti významnou roli a de facto rozhoduje, takže by v podstatě došlo jen k potvrzení aktuálního stavu. Ministerstvo obchodu již oficiálně prohlásilo, že právě tento krok hodlá do příštího roku udělat.

Autoři ale upozorňují, že tím se ICANN ocitne pod značným politickým i ekonomickým tlakem. Apelují proto na ministerstvo, aby se snažilo vymyslet způsob, jimiž by ICANN byl před nimi chráněn.

ICANN

Samotnému ICANN je v materiálu věnován značný prostor. Vzhledem k jeho rozhodující roli pro DNS se není čemu divit. Od začátku je tato organizace předmětem řady sporů, svou činnost nezačala zrovna šťastně a v uplynulých letech se snažila reformovat tak, aby fungovala lépe a ke spokojenosti internetové komunity. Zpráva mu doporučuje zúžit záběr, jemuž se věnuje, a snažit se zlepšit používané procesy.

Pro ICANN jsou klíčové vztahy s provozovateli kořenových serverů a správci domén 1. úrovně. Pokud se provozovatelů kořenových serverů týče, zpráva konstatuje velmi dobré dosavadní zkušenosti, a tudíž doporučuje příliš do nich nevrtat. Jen převést jejich vztahy s ICANN na formálnější bázi (smlouvy) a vypracovat mechanismy, jak nahradit provozovatele, který by se rozhodl svou činnost ukončit.

Vztahy se správci domén první úrovně jsou daleko dobrodružnější. Pokud se generických domén týče, hlavním jablkem sváru je zavádění nových domén první úrovně. Zpráva konstatuje, že rozumné argumenty lze nalézt pro rozšiřování počtu tématických domén i proti němu a že tento problém nelze objektivně vyřešit. Pochopitelně tlaky tím či oním směrem jsou značné. Autoři zároveň konstatují, že z hlediska technického by nebyl velký problém, kdyby přibylo několik desítek tématických domén první úrovně ročně (ale pokud by se tak mělo stát, doporučují změny po skupinách a v delších časových odstupech).

Kritizují postup použitý v předchozích letech při rozhodování o nových tématických doménách. Posuzující komise jsou náchylné k ovlivňování a zbytečně vyvolávají hektické diskuse. Doporučují opřít se spíše o jasně daná technická a ekonomická kritéria, a pokud nerozhodnou, potenciální domény vydražit.

Pokud se národních domén týče, zpráva konstatuje značnou různorodost jejich správců - od vládou pověřených organizací až po nezávislé, od nadšeneckých neziskových až po ryze komerční subjekty. V tomto směru chybí nějaká jednoznačná doporučení, spíše jen obecné na zlepšování vztahů a hlubší zapojení těchto správců do činnosti ICANN.

Další rizika

Dvě další tématické oblasti ve zprávě se týkají komerčních tlaků na DNS a problematiky národních jazyků. Autoři především kritizují prosakování komerčních zájmů do funkční roviny DNS, jehož příklady se již vyskytly. Konstatují také, že se dost osvědčila v roce 1999 přijatá politika Uniform Domain Name Dispute Resolution Policy řešící spory o domény formou arbitráže místo soudů. Doporučují některá její dílčí zlepšení.

IDN, čili používání národních jazyků v doménových jménech, zpráva považuje za důležité a prosazuje jeho zavádění do praxe. Zároveň ale upozorňuje, že vedle technických existuje i celá řada provozních či kompetenčních problémů, jež je třeba řešit (např. spory o domény s podobnými jmény) a vypracovat příslušná pravidla.

Internetová navigace

Vedle DNS se věnuje značná pozornost i navigaci v Internetu. Na rozdíl od DNS se nejedná o technicky ucelený systém klíčový pro vlastní činnost sítě. Navigační systémy (mezi nimiž hrají první housle vyhledávací WWW služby) jsou soustavou různorodých prostředků, jejichž použití není fundamentální, ale využívání sítě podstatně usnadňuje.

Průzkumy ukazují, že uživatelé jsou se stávajícím stavem těchto technologií spokojeni a čile je využívají. Například podle statistiky z června 2004 v USA připadalo v průměru více než jedno hledání na každého uživatele denně. Zároveň lze očekávat, že s rostoucím objemem informací v Internetu i jeho významem porostou i nároky na vyhledávací služby.

Zpráva konstatuje, že tyto služby se typicky pohybují v oblasti volného trhu. Jejich provozovatelům se daří financovat vývoj systémů, jež odpovídají potřebám uživatelů a zároveň nabízejí inzerentům efektivní způsob pro oslovení potenciálních inzerentů. Protože (cílená) inzerce přibalovaná k výsledkům hledání představuje hlavní zdroj jejich příjmů.

Je vyjádřena určitá obava, aby některé servery nepodlehly vábení za úplatu postrkovat některé stránky ve výsledcích výše, aniž by o tom byl uživatel informován. Sice píše, že ostré konkurenční prostředí tlačí provozovatele služeb do férových výsledků (jinak hrozí odliv uživatelů), nicméně doporučuje, aby objektivita výsledků byla předmětem sledování všelijakých regulačních orgánů.

Podle názoru autorů zlepšování internetové navigace zůstane lukrativní oblastí a nemusí se obávat o nezájem investorů. Zároveň se přimlouvá za podporu akademického výzkumu v této oblasti, jako zdroje nových přístupů a myšlenek. Autoři dále předpovídají, že se v dohledné době dočkáme sporů o výsledky vyhledávání a že by bylo záhodno připravovat podobná pravidla jako při tahanicích o domény.

EBF16

Shrnutí

Pokud bych měl shrnout základní motto, jež se jako červená nit vine celou zprávou, znělo by:

Politici, právníci, obchodníci a podobní - ruce pryč od DNS!

Celou zprávu [PDF, 3,4 MB] (přesněji její předpublikační podobu, téměř 300 stran) můžete získat na webu The National Academies. Základní myšlenky koncentruje třicetistránkový stručný souhrn [PDF, 575 kB].

Anketa

Jste pro zavádění nových domén první úrovně?

21 názorů Vstoupit do diskuse
poslední názor přidán 27. 5. 2005 16:42

Školení UX: Jak zapojit uživatele do designu

  •  
    Jak dostat ono tajemné UX do designu.
  • Ve kterých fázích zapojit uživatele, abyste dostali nejvíc muziky za nejmíň peněz.
  • Jak vytvářet jednoduché a srozumitelné persony

Detailní informace o školení UX »