Můj malý svět

Obrať obličej k slunci
a stíny budou padat za tebe
  • Stop Heuréce
  • Zkušenosti s firmami
  • Firmy nezvládají DNSSEC a domény umírají

    Říká se tomu DNSSECová smrt. Je to situace, kdy se kvůli nevalidnímu podpisu celá doména tváří jako nedůvěryhodná, a proto se uživateli raději tváří, jako kdyby neexistovala.

    Je až s podivem, kolik firem se pouští do něčeho, čemu nerozumí. Ono je hezké mít doménu podepsanou, a tím pádem zabezpečenou, jenže tím to bohužel nekončí, ale právě naopak: začíná. Začíná tím řada povinností a hlavně práce na údržbu tohoto podpisu.

    Minulý týden jsem narazil na doménu, která dříve měla svůj DNSSECový podpis, ale po transferu k novému webhosterovi o tento podpis přišla, jelikož tento webhoster DNSSEC nedělá. Bohužel nejenže nedělá, ale podle všeho mu ani nerozumí. Já se na implementaci DNSSECu do ostrého provozu sice teprve pozvolna připravuji, ale přehled o nových technologiích si zkrátka udržuji. Člověk by řekl, že by to mělo být pro každého z oboru naprosto samozřejmé. Bohužel není.

    V tomto případě byl problém v tom, že na DNS serverech sice podpis přestal existovat, nicméně podle centrálního doménového registru CZ.NIC ta doména měla stále svůj klíč, což znamená jediné: všechny validující rekurzivní DNS servery oproti tomuto klíči ověřovaly odpovědi od autoritativních DNS serverů této domény. Jelikož tyto odpovědi nebyly klíčem domény podepsány, zcela automaticky byly vyhodnoceny jako nedůvěryhodné. V okamžik psaní tohoto textu je problém stále aktuální – jedná se o doménu pravnik-nonstop.cz, přikládám zkrácený výpis z whois k dnešnímu dni:

    $ whois pravnik-nonstop.cz
    %  (c) 2006-2010 CZ.NIC, z.s.p.o.
    %
    % Intended use of supplied data and information
    %
    % Data contained in the domain name register, as well as information
    % supplied through public information services of CZ.NIC association,
    % are appointed only for purposes connected with Internet network
    % administration and operation, or for the purpose of legal or other
    % similar proceedings, in process as regards a matter connected
    % particularly with holding and using a concrete domain name.
    %
    % Full text available at:
    % http://www.nic.cz/page/306/intended-use-of-supplied-data-and-information/
    %
    % See also a search service at http://www.nic.cz/whois/
    %
    %
    % Whoisd Server Version: 3.2.1
    % Timestamp: Mon Sep 13 16:21:51 2010
    
    domain:       pravnik-nonstop.cz
    registrant:   WEB4U_KDSCMAIZYLESX
    admin-c:      WEB4U
    nsset:        NSS:CZECHLANDS:1
    keyset:       WEB4U
    registrar:    REG-MEDIA4WEB
    status:       paid and in zone
    registered:   18.09.2009 06:22:10
    changed:      22.03.2010 15:25:57
    expire:       18.09.2011
    
    nsset:        NSS:CZECHLANDS:1
    nserver:      ns2.czechland.net
    nserver:      ns1.czechland.net
    tech-c:       SB:CZECHLANDS
    tech-c:       JANSTAROBA
    registrar:    REG-MEDIA4WEB
    created:      01.10.2007 02:00:00
    
    keyset:       WEB4U
    dnskey:       257 3 5 AwEAAcsFqrlNKyTynQLGCJSK0ssE7Kp3qHvqhYGZBDUF8Pl1byIVlZnWH24k1gxTBGCSwWWf+KYy8yAtcriwL8MQ//9uGkY8yGAJ1hquzT8L1ej1JVrbjCz9hC8nJhKwZ5PHeymRot+upLwmS6JaShS+b+r4p7QMTO57sFEcrYoJK/oq8BC8cGLeRIA14wsS4T7ola4oSBCVva23fpcHUjwZs605NE7//XnBYNosMGt/B8olsQdasA6Ybcfen4VHSrIJa/QDNj5j7COCz2lqESvHkb7lycjAoswW5WZYT50IKtEss/XskLRMlXXHanKI9oWPiqPG4I8YDlUEDLD0yu3YfR8=
    tech-c:       WEB4U
    registrar:    REG-WEB4U
    created:      23.09.2009 14:06:52
    changed:      23.01.2010 21:30:51

    Druhý příklad táhne za uši o dost více. Je to totiž exemplární případ zmiňovaného zanedbání údržby. Pojďme se na to podívat: jedná se o doménu voipex.cz. Pokud validujete, dig vám vrátí SERVFAIL (ostatně jako u první zmiňované domény). Z whois si proto vydolujeme adresu jednoho z autoritativních name serverů a zeptáme se drillem na tuto doménu:

    $ drill -D voipex.cz @ns.cb.ipex.cz
    ;; ->>HEADER<<- opcode: QUERY, rcode: NOERROR, id: 50304
    ;; flags: qr aa rd ; QUERY: 1, ANSWER: 2, AUTHORITY: 3, ADDITIONAL: 2
    ;; QUESTION SECTION:
    ;; voipex.cz.   IN      A
    
    ;; ANSWER SECTION:
    voipex.cz.      86400   IN      A       212.71.175.1
    voipex.cz.      86400   IN      RRSIG   A 5 2 86400 20100902171649 20090901171649 46947 voipex.cz. dpoNXgZ+twwdBSc9tCDrKh0YZvubVCgV9SfLxC/rGcM4ZS19Smgnv0k7gLNDBbNVsIoxBrEMB9gTOA+rLyTHBfWr1+FZ9DyPZlyRmMRZ/VIEkk5KpdL+QHYTbktPLioPPWNyp9dkbjOvlwKi369BPk5otBeAFEb813G+ps3ZBrw= ;{id = 46947}
    
    ;; AUTHORITY SECTION:
    voipex.cz.      86400   IN      NS      ns.cb.ipex.cz.
    voipex.cz.      86400   IN      NS      ns.ph.ipex.cz.
    voipex.cz.      86400   IN      RRSIG   NS 5 2 86400 20100902171649 20090901171649 46947 voipex.cz. Ar43Ix6aZPgPpQBDubd4Q3OFk31ttMH7mOdqEsC3nJYQubhOp7pl/zMzC65zPUWX5FZmiSwz2+2apnn7HYni4c2oZj3FzPOVMzRZSDA0KQNwvYXfyEc1Mjv3lfoDZkQu6a/aNwStzEGxBiS58ezAdI2gnzCHWILBu5+IOoPBvEM= ;{id = 46947}
    
    ;; ADDITIONAL SECTION:
    ns.cb.ipex.cz.  86400   IN      A       212.71.133.6
    ns.ph.ipex.cz.  3600    IN      A       212.71.128.8
    
    ;; Query time: 12 msec
    ;; EDNS: version 0; flags: do ; udp: 4096
    ;; SERVER: 212.71.133.6
    ;; WHEN: Mon Sep 13 15:03:00 2010
    ;; MSG SIZE  rcvd: 469

    (Pokud nemáte drill, poslouží i dig, byť je jeho příkaz o něco delší: dig +dnssec voipex.cz @ns.cb.ipex.cz – výstup je velice podobný.)

    Koukněme se na RRSIG záznam (DNSSECový podpis) v odpovědní sekci. Klíčové je číslo „20100902171649“ – jedná se o tzv. Signature Expiration Time, tedy čas expirace podpisu ve formátu YYYYMMDDHHmmSS v UTC. Jelikož dnes je 13. září 2010, tak již 11 dnů je doména mrtvá.

    Toto jsou pouhé dva příklady z praxe, na které jsem v posledních dnech narazil. Jsem si však jist, že podobných „obětí“ DNSSECové nedbalosti, nepozornosti či neznalosti je dnes k nalezení nemalé množství. Přitom by v řadě případů stačilo, aby ti, co DNSSEC na domény nasazují, sami DNSSECem validovali – rychle by pak přišli na to, že je něco špatně.

    Zaškatulkováno v kategoriích: Internet a Servery a webhosting | 13. září 2010

    Komentáře

    #1: Ondřej Surý píše:
    20. října 2010 10.11

    Můj názor je, že se to časem uklepe. DNSSEC je novinka a zatím není dostatečná podpora validujících resolverů, aby se na chyby podobného druhu přicházelo rychle. S transfery mezi registrátory (a DNS hostery) byl problém vždycky a časem se to taky uklepalo a lidé se naučili dělat přesuny správně (pokud jim záleží na bezvýpadkovém přechodu). S DNSSECem to bude časem podobně.

    Mimochodem díky za pochvalu IPv6 statistik.


    #2: xHire píše:
    20. října 2010 12.46

    Všechno chce čas, s tím souhlasím. Navíc jak se jednou člověk spálí, tak už si pak dá mnohem větší pozor, aby dělal věci správně.

    Třeba jsem si všiml, že zhruba před týdnem IPEX ze svých domén DNSSEC sundal (a to nejen z nefunkční domény voipex.cz, ale i z funkční ipex.cz) – zřejmě to budou u sebe ještě raději nějaký čas ladit, než to znovu pustí do provozu. :-) Osobně do toho také raději nejdu vůbec, než abych šel nedostatečně připraven na všechno, co může nastat.

    Ke statistikám: pochvala je maličkost. ;-) Práce, kterou CZ.NIC dělá, si zkrátka podle mne uznání zaslouží.


    Jak přidat komentář? E-mailem! :·) Na komentare -zavináč- mujmalysvet -tečka- cz – do předmětu „Komentář: Firmy nezvládají DNSSEC a domény umírají“. Připojit můžete i svou přezdívku a domovskou stránku.