Bohuzel ITAR neni vhodne pro produkcni nasazeni, protoze nuti spravce DNS serveru spolehat na _jediny_ korenovy nameserver, namisto beznych deseti (v realu, diky anycastu, jeste vicero) korenovych serveru.
Je nejaky racionalni duvod, proc tech "ITAR" nameserveru neni provozovano vice, pokud mozno i geografickych distribuovanych (tak aby v "." hints jich mohlo byt vice nez jeden)? Necekam, ze by byla vybudovana 1:1 infrastruktura dnesnich rootu, ale par geograficky rozmistenych sekundaru s podepsanou korenovou zonou by prece nemusel byt az takovy problem. Ono politikareni kolem podpisu se asi jeste chvili potahne :(
Vlákno názorů k článku
Ondřej Filip: podpisu kořenové zóny brání mezinárodní politika
Danny (neregistrovaný)
---.jups.junix.cz
18. 3. 2009 7:32
RE: Ondřej Filip: podpisu kořenové zóny brání mezinárodní politika
Bobrnautus (neregistrovaný)
88.86.108.---
18. 3. 2009 10:44
RE: Ondřej Filip: podpisu kořenové zóny brání mezinárodní politika
Osobně si také myslím, že ITAR není všespasitelný. Osobně mám raději DLV, funkčně je to naprosto stejné (DLV si z itaru beztak všechny klíče stahuje a kromě nich obsahuje i další, takže možnosti validace jsou zde lepší), navíc je to jednodušší na udržování. I když stejně se nemůžu ubránit malému rejpanci: Proč to vlastně všechno děláme (my vyměnili všechny resolvery za unbound), když ani jedna česká banka v rámci ochrany svých klientů DNSSEC doposud nezavedla a domény nepodepsala? Nehrajeme si tak jen s další zbytečnou hračkou na písečku?
aura:92
18. 3. 2009 11:38
RE: Ondřej Filip: podpisu kořenové zóny brání mezinárodní politika
Prave jste presne vystihl vyznam ITAR. Dokud nebyl ITAR, DLV neobsahovalo klice pro domenu .se ani .bg. Tamni spravci totiz ISC neverili a sve klice jim neposlali. Ted ma ISC pro tato data konecne zdroj - ITAR.
Jinak technicky je DLV asi elegantnejsi, ale to v bezpecnosti neni to nejdulezitejsi.
K Vasi druhe casti otazky - pocet podepsanych domen roste, nedavno se pridal prvni e-shop a mame signaly, ze se pripoji dalsi e-shopy, zpravodajske portaly a brzy i nejaka banka. Jako kazda technologicka zmena i zavedeni DNSSEC nejaky cas trva.
Jinak technicky je DLV asi elegantnejsi, ale to v bezpecnosti neni to nejdulezitejsi.
K Vasi druhe casti otazky - pocet podepsanych domen roste, nedavno se pridal prvni e-shop a mame signaly, ze se pripoji dalsi e-shopy, zpravodajske portaly a brzy i nejaka banka. Jako kazda technologicka zmena i zavedeni DNSSEC nejaky cas trva.
Bobrnautus (neregistrovaný)
88.86.108.---
18. 3. 2009 17:45
RE: Ondřej Filip: podpisu kořenové zóny brání mezinárodní politika
Mohu-li mít ještě připomínku, bylo by možné na dnssec.cz přidat návod pro DLV taky pro unbound, ať nemusí správci zbytečně tápat? http://www.unbound.net/documentation/howto_itar.html Jinak když už se tu bavíme o DNS, copak se to s nimi děje na Lupě? 3 ze 4 dns resolverů mi hlásí servfail, výsledky na intodns.com pro lupa.cz se krásně červenají, to někdo škodí, nebo se v tom kluci šťourají? :-)
aura:92
19. 3. 2009 1:07
RE: Ondřej Filip: podpisu kořenové zóny brání mezinárodní politika
Diky za pripominku k dnssec.cz, zapracujeme.
aura:96
25. 3. 2009 12:40
RE: Ondřej Filip: podpisu kořenové zóny brání mezinárodní politika
Asi uz se dostourali ;-) Neni to ted lepsi?
aura:92
25. 3. 2009 17:14
RE: Ondřej Filip: podpisu kořenové zóny brání mezinárodní politika
Poznamka pro zasvecene: Tenhle rok je vyjimecny, ma 3 patky 13. :-D
Kazdopadne, Dane, dekuji moc.
Kazdopadne, Dane, dekuji moc.
aura:96
25. 3. 2009 17:19
RE: Ondřej Filip: podpisu kořenové zóny brání mezinárodní politika
Fakt jsem chtel, ale nebylo to v me moci. Ale on i v pondeli byl hezky patek ;-) Udelame neoficialni statni svatek, patek 13. a bude se slavit trochu jindy. Kdyz to slo s VRSR.
Dalsi jsou v procesu.
Dalsi jsou v procesu.
aura:58
18. 3. 2009 12:29
RE: Ondřej Filip: podpisu kořenové zóny brání mezinárodní politika
Osobne se domnivam, ze presvedcit ceske banky na to, aby podepsaly svoje zony, je bez papirove politicky zplnomocneneho trusted-rootu nad sily mistni komunity.
Dokazu si predstavit, ze po pulroce nejakeho usilovneho obrazeni bankovich vecirku a zvani ruznych CIO na obedy a vecere se ten problem dostane do nejakeho oficialniho schvalovaciho kolecka, ktere ten projekt zamitne.
Situace se muze zmenit druhy den pote, co nekdo unese DNSku nejake banky. Ale myslim, ze to neni cesta, kterou bychom se chteli vydat.
Dokazu si predstavit, ze po pulroce nejakeho usilovneho obrazeni bankovich vecirku a zvani ruznych CIO na obedy a vecere se ten problem dostane do nejakeho oficialniho schvalovaciho kolecka, ktere ten projekt zamitne.
Situace se muze zmenit druhy den pote, co nekdo unese DNSku nejake banky. Ale myslim, ze to neni cesta, kterou bychom se chteli vydat.
uživatel si přál zůstat v anonymitě
---.anonymouse.org
18. 3. 2009 12:33
RE: Ondřej Filip: podpisu kořenové zóny brání mezinárodní politika
Tak snad v tech bankach taky pracujou nejaci normalni administratori. A tim nejaci normlani myslim lidi schopne presvedcit vedeni, ze urcita technicka opatreni jsou prospesna.
aura:58
18. 3. 2009 13:07
RE: Ondřej Filip: podpisu kořenové zóny brání mezinárodní politika
Dobry den,
obavam se, ze vysvetlit top managementu, ze riziko je znacne, v pripade, ze takovy utok zatim nebyl zaznamenan, je docela problem. A neni to o kvalite administratoru v bankach.
MK
obavam se, ze vysvetlit top managementu, ze riziko je znacne, v pripade, ze takovy utok zatim nebyl zaznamenan, je docela problem. A neni to o kvalite administratoru v bankach.
MK
uživatel si přál zůstat v anonymitě
---.fabiankeil.de
18. 3. 2009 14:04
RE: Ondřej Filip: podpisu kořenové zóny brání mezinárodní politika
Obavam se ze administratori jsou az ti posledni kterych se na nazor nekdo pta (a presne podle toho to taky vypada). Daleko dulezitejsi jsou rozesmate ksichtiky stastnych uzivatelu na propagacnich letacich.
Navic cim vetsi moloch tim vetsi naklady na radek textu, takze vygenerovani a aplikovani podpisu muze takovou banku stat klidne desitky MKc :/, zcehoz skutecny realizator dane prace uvidi par Kc.
Vetsina padne samozrejme na odmeny managementu (zavedli preci uspesne tu novou uzasnou technologii), cast na marketing (musi se to zviditelnit v TV/...) ...
Navic cim vetsi moloch tim vetsi naklady na radek textu, takze vygenerovani a aplikovani podpisu muze takovou banku stat klidne desitky MKc :/, zcehoz skutecny realizator dane prace uvidi par Kc.
Vetsina padne samozrejme na odmeny managementu (zavedli preci uspesne tu novou uzasnou technologii), cast na marketing (musi se to zviditelnit v TV/...) ...
Ankel (neregistrovaný)
---.105.broadband.iol.cz
18. 3. 2009 16:03
RE: Ondřej Filip: podpisu kořenové zóny brání mezinárodní politika
Myslím, že ve většině firem, a to i velkých, je názor informatika to poslední, co management zajímá. Je to sice postavené na hlavu, ale z vlastní zkušenosti mohu řici, že jsem ještě nepracoval ve firmě, kde její vedení opravdu aktivně komunikuje a diskutuje s IT oddělením.
aura:92
18. 3. 2009 11:41
RE: Ondřej Filip: podpisu kořenové zóny brání mezinárodní politika
Ahoj Danny,
tady si uplne nerozumime, asi jsem to podrobne nevysvetlil. ITAR neni nameserver, ITAR je uloziste klicu. Klice si off-line stahujes na svuj DNS resolver a pak je pouzivas pro overovani. Takze pripadny _kratky_ vypadek ITARu Ti nezpusobuje zadny problem, proste si aktualni klice stahnes pozdeji.
tady si uplne nerozumime, asi jsem to podrobne nevysvetlil. ITAR neni nameserver, ITAR je uloziste klicu. Klice si off-line stahujes na svuj DNS resolver a pak je pouzivas pro overovani. Takze pripadny _kratky_ vypadek ITARu Ti nezpusobuje zadny problem, proste si aktualni klice stahnes pozdeji.
Danny (neregistrovaný)
---.jups.junix.cz
18. 3. 2009 23:06
RE: Ondřej Filip: podpisu kořenové zóny brání mezinárodní politika
Ano, mas pravdu. Nektere veci jsem si historicky precetl prilis rychle a od te doby ziju v jakemsi bludu :) Takze se omlouvam za hozeni rovnitka mezi IANA DNSSEC testbed & samotny ITAR.... samozrejme je pravda, ze kratsi vypadek samotneho ITAR zasadenjsi problem neni. Problem je "spolehani se" na onen testbed. Castecne na tom ma podil i clanek na rootu, kde je podobne (mozna lehce nestastne) do odrazky IANA hozeny jak onen testbed, tak i ITAR (pricemz u jednoho je priklad jen pro bind, u druheho jen pro unbound, takze clovek lehce nabyde dojmu, ze jde o totez :) ).
