CZ NIC, spravující českou národní doménu CZ, nedávno oznámilo spuštění vlastního open source systému pro registraci a správu domén. Rovněž došlo ke snížení velkoobchodní ceny domény CZ a to o více než padesát procent. Žádné další takto výrazné zlevnění se ovšem nechystá. Tím ale aktivity sdružení nekončí. V plánu je projekt, který zvýší bezpečnost Internetu – DNSSEC. Do zorného pole sdružení se opět dostane diakritika v názvech domén. Nejen tyto informace nám v rozhovoru prozradil výkonný ředitel sdružení Ondřej Filip.

Ondřej Filip

Začátkem října jste spustili nový systém správy české národní domény CZ. Máte už nějakou odezvu od uživatelů nebo registrátorů?

První výsledky jsou myslím velmi pozitivní. Systém běží bez problémů, registrátoři nám nehlásili žádné výpadky a za první tři dny bylo registrováno okolo tří tisíc nových domén. Tento zájem byl vyvolán zlevněním ceny za české domény. Spousta lidí si krátce po spuštění nového systému registrovala doménu pro soukromé účely.

Systém jste si vyvinuli sami. Zjišťovali jste si, jak to řeší jiní provozovatelé domén nejvyšší úrovně?

CZ NIC je členem organizace CENTR, což je sdružení evropských doménových správců. Právě v tomto sdružení jsme hodně živě diskutovali o tom, jaké systémy používají ostatní země, takže i z toho vzešel názor, že bychom se o domény měli starat vlastními silami, tak jako je to běžné všude ve světě. Drtivá většina správců nejvyšší domény má vlastní systémy. Typicky si ho vyvinuli také sami.

Předchozí náklady na outsourcing byly v řádu desítek milionů korun ročně. Můžete to nějak upřesnit?

Přesnou částku, za kterou jsme si nechávali spravovat domény, říci nemohu. Rozpočet sdružení byl v loňském roce řádově 140 milionů korun a je pravdou, že náklady na outsourcing byly jeho významnou součástí. Před čtyřmi roky nemělo sdružení vlastní zkušenosti s technickým provozováním národní domény, a tak se rozhodlo vypsat výběrové řízení na dodavatele řešení. Nechtěl bych to více komentovat, protože jsem ve sdružení v tu dobu nebyl.

Kdyby již tehdy existoval náš současný systém, mohla by se možná cena za doménu změnit dříve. Jenže situace byla před čtyřmi roky jiná.

Plánujete, že půjde cena domény ještě dolů?

Pokud to naše provozní náklady dovolí, tak je to možné. Případné zlevnění však už nebude takto razantní, alespoň v tom procentuálním vyjádření.

Open source není výzvou pro crackery

Dříve jste ovšem využívali řešení, jehož cena se pohybovala v řádech desítek milionů korun ročně. Vývoj vlastního systému vás stál milióny korun. Nebylo by výhodnější vypsat výběrové řízení na nového dodavatele?

Nad touto cestou jsme také uvažovali. Úkolem sdružení CZ NIC je spravovat národní doménu, proto nám přišlo nelogické tuto hlavní činnost outsourcovat. Bylo by velice neobvyklé, kdyby se nějaká organizace rozhodla outsourcovala svoji hlavní činnost. Typicky outsourcujete to, co pro vás není nejdůležitější, na co se nesoustředíte plně a co bývá levnější někde nakoupit. Chtěli jsme mít například možnost pružně reagovat na požadavky uživatelů, což bývá v případě outsourcingu trochu obtížnější. Navíc CZ NIC nekončí s vývojem – systém se bude rozšiřovat například o podporu digitálně podepsaných domén DNSSEC. Máme pořád co vyvíjet, proto máme vlastní tým. Programátoři zůstávají našimi zaměstnanci.

Svůj systém pro správu nejvyšších domén s názvem FRED jste zároveň uvolnili jako open source. Kdy a proč k tomu rozhodnutí došlo?

Bylo to na začátku jeho vývoje, tedy v roce 2006. Největší motivací byla pomoc registrům v menších zemích jako je Srbsko a Černá hora a potom některým africkým státům, které uváděly, že nemají kapacitu vyvíjet registrační systém a přitom by ho potřebovaly.

Pokud vím, existují ještě dva registrační systémy, které jsou otevřené, ale buď nepodporují EPP (Extensible Provisioning Protocol), což je standard pro komunikace mezi registrem a registrátory, nebo mají jiné problémy. Pokud někteří z národních registrátorů přejdou na náš systém, tak nám mohou pomoci s vývojem, hledáním chyb, s jeho vylepšováním.

To znamená, že budete ke svému open source nabízet jiným správcům nejvyšší domény například servis a správu za určitý poplatek?

Pokud by nějaký registr potřeboval naší pomoc, tak bychom mohli uvažovat o poskytnutí placené i bezplatné podpory. Neznamená to, že bychom chtěli provozovat registry ostatních zemí. Je to totiž záležitost typicky národní. Třeba náš systém obsahuje velké množství osobních údajů českých občanů. Asi bych nebyl nadšený z toho, kdyby náš systém byl někde v zahraničí a předpokládám, že ani v ostatních zemích by příliš neprahli po tom, aby systém s jejich daty byl v České republice.

Zveřejnění kódu ovšem může být výzvou pro crackery, aby se pokusili nalézt slabinu v bezpečnosti vašeho systému.

Myslím si, že nezveřejněním kódu nezvýším bezpečnost nějakého systému. Na bezpečnostní testy jsme si najali firmu, která se tímto zabývá. Její zaměstnanci v našich kódech našli určité chyby, z auditu vzešla celá řada doporučení. Tuto analýzu bychom udělali bez ohledu na to, zda následně uvolníme zdrojové kódy nebo ne. Troufnu si říci, že selhání našeho systému by mohlo mít následky pro ekonomiku této země.

Připraveni na katastrofické scénáře

Můžete nám přiblížit, jak je systém zabezpečen proti útokům nebo živelným katastrofám a co by se mohlo stát, kdyby k takové situaci došlo?

Systém je celý postavený tak, aby fungoval v nepříznivých podmínkách. Měl by být tedy odolný i proti útokům. Využíváme dva telehousy, kde jsou dvě centra, která mají stejnou funkci a vzájemně se replikují. Podstatné je, že každé centrum je postaveno na jiné technologii, řešení běží na různých platformách, síťové prvky jsou od různých výrobců hardwaru a podobně. Pokud by se objevila chyba v síťovém prvku, tak útočník může zničit tu jednu lokalitu, ale druhá lokalita bude proti takovému útoku chráněna.

Nejdůležitější částí našeho systému je několik DNS serverů. Ani v tomto případě se nespoléháme na jednu lokalitu, ale máme je rozmístěny ve Spojených státech, Velké Británii, Rakousku, Německu a Švédsku. Českou doménu tedy nemohou teoreticky ohrožovat například přírodní katastrofy a pokud ano, musela by nastat v takovém rozsahu, že by nás nefunkční český Internet už tak netrápil. Na těchto serverech jsou uložena pravidelně kontrolovaná data – seznam všech českých domén, včetně údajů o tom, které další servery spravují danou doménu.

Mohlo by se stát, že by přestal fungovat registrační systém. Kdyby k takové poruše došlo, nebude možné registrovat doménu případně měnit údaje. Lidé si ovšem budou moci stále spravovat své webové stránky. Co by se stalo, když by nejel náš systém, jsme si vlastně vyzkoušeli během plánovaného výpadku.

A jaká je rychlost nového systému z pohledu registrace nové domény?

Dříve samotný proces registrace trval několik minut. V novém systému je to v podstatě okamžité. Aby byla doména vidět na Internetu, musí být ještě vygenerovaná nová zóna. Ve starém systému se zóna generovala 6x denně. Nový systém zónu generuje každých 30 minut, což je výrazné zkrácení doby.

Pokud jste si registrovali ve starém systému doménu večer, museli jste počkat až do rána, kdy byla zprovozněna. Nový systém doménu registruje okamžitě a její zprovoznění netrvá déle než jednu hodinu.

Ve vztahu náš systém versus registrátor došlo k výraznému posunu. Registrátor dříve odeslal e-mail, který se v nějaké dávce zpracoval. Dnes pošle požadavek, v zašifrovaném TCP spojení okamžitě dostává odpověď zpátky, takže je schopen vlastně online zobrazovat uživateli, zda registrace proběhla v pořádku, zda je kontaktní osoba registrovaná a podobně. Stejně tak změny může dělat výrazně rychleji než dříve.

Poslední záchrana pro domény

Když CZ NIC přestal poskytovat registrace domén přímo držitelům a převedl tuto pravomoc na registrátory, vznikl Last Resort Registry (LRR). Byl to zvláštní subjekt pro držitele domén, kteří si nevybrali svého registrátora. Minulý rok přestal LRR fungovat. Proč?

Dost často nás využily zahraniční společnosti, které se příliš nevyznaly v českém prostředí a považovaly LRR za bezpečnějšího registrátora. Zájem však nebyl až tak velký. Když jsme se rozhodli úplně ukončit provoz, spravovali jsme takto kolem tisícovky domén.

LRR určitým způsobem suploval činnost komerčních registrátorů, takže jsme jim určitým způsobem konkurovali, což jsme nepovažovali za zdravé a ani to není ve světě běžné, byť jiné registry to mají jinak než my. Proto jsme se rozhodli Last Resort Registry uzavřít.

Oznámili jste také, že pracujete na systému DNSSEC a tím i na zvýšení bezpečnosti Internetu. Můžete nám přiblížit, jak bude systém fungovat?

DNS je dnes na Internetu jedna z nejdůležitějších služeb. Pokud se díváte na webovou stránku nebo odesíláte e-mail, používáte systém DNS. Tato služba sama o sobě není nijak zabezpečená. Pokud vám útočník pošle podvrženou odpověď, tak váš počítač nemá možnost ověřit, zda ta komunikace je správná. Systém DNSSEC zavádí do dotazů a odpovědí zjednodušeně řečeno digitální podpisy. Pokud je tedy tato odpověď zaslaná přes systém DNSSEC, potom je váš počítač schopen ověřit, že ta data jsou od toho, od koho jste je měl dostat. V běžném provozu to ale člověk nepozná.

A co když se do DNSSEC bude chtít zapojit firma nebo držitel domény? Jak to bude s cenou domény?

Předpokládám, že firmy, které dbají na bezpečnost své sítě a vůbec informačního systému, k DNSSEC přistoupí. Jako všechny bezpečnostní technologie je i tato služba zaměřena hlavně na firemní sektor. Každá taková doména, aby mohla být podepsaná digitálně, musí mít registrovanou veřejnou část digitálního klíče. Když se budete chtít do systému zapojit, budete muset být technologicky připraveni. Musíte umět podepisovat záznamy v doméně a zároveň nám prostřednictvím registrátora sdělit použitý klíč. Tento klíč zařadíme do serverů, které se starají o doménu CZ.

Zatím jsme nestanovili žádný ceník a nevíme, jaké budou koncové ceny. Nečekáme, že bychom zaváděli nějakou speciální cenu, naopak by tato služba mohla být součástí systému registrace. Hlavně tomuto projektu se plánujeme věnovat v příštím roce, takže i všechna jednání s registrátory bude teprve zahájena.

Očekáváte, že bude o „bezpečné“ domény zájem?

Určitě, nemůžeme ale nikoho nutit, aby si podepsal svoji doménu. Nemyslím si, že je to vhodné například pro držitele domény s osobními stránkami, na kterých zveřejňuje fotky z dovolené. Podepsaná doména totiž přinese držiteli vyšší náklady, protože si občas musí změnit podpisový klíč. Zároveň by měl být držitel trochu technicky vyspělejší. Vzhledem k výši nákladů je tedy možné, že budou registrátoři za tuto službu požadovat více peněz.

Háčky a čárky uživatelé odmítají

Minulý rok se konal průzkum ohledně háčků a čárek v internetových doménách. Z výsledku průzkumu vyplynulo, že 80 procent majitelů domén bylo proti a domény s diakritikou odmítla i polovina ze všech dotázaných uživatelů. Myslíte si, že si koncoví uživatelé uvědomují například rizika spojená s pokusy o phishing?

Kdyby se uživatelé rozhodli, že mají zájem o diakritiku v doménách (IDN), tak bychom jim museli tato rizika dostatečně vysvětlovat. Na druhou stranu IDN v České republice je jiné než v Rusku. My používáme latinku, která má pár rozšíření – háčky a čárky takže je nebezpečí phisningu myslím malé. Pokud bychom zavedli IDN, které umožňuje registrovat i jiná písma jako azbuku nebo řeckou abecedu, tak tam už to nebezpečí hrozí. To však zatím neplánujeme. Největší význam pro naše uživatele mají registrace domén s českými znaky.

Jaké jsou náklady na zavedení podobného systému?

Myslím si, že nám by velké náklady nevznikly. Náš nový systém je připraven registrovat IDN domény. Nicméně je možné, že bychom přistoupili k tzv. sunrise periodě, což je přednostní umožnění registrací pro vybrané držitele. Například by se mohlo jednat o možnost udělat určité přednostní registrace pro majitele ochranných známek, firmy a státní instituce nebo bychom mohli říci, že každý držitel bez háčků má možnost žádat o stejnou doménu s háčky a čárkami. Protože jsou pro to používány speciální aplikace, a ověřování se může provádět ručně, stála by tato část registrací peníze.

Jiná věc je, co by to znamenalo pro registrátory, protože právě jejich registrační systémy musí být připraveny správně pracovat s kódováním IDN. Úpravy jejich systémů by pro ně mohly znamenat náklady navíc, a tak by tuto změnu museli komunikovat svým zákazníkům.

Pokud vás zavedení diakritiky v doménách nic nestojí, mohla by být doména s diakritikou pro stávající držitele českých domén zadarmo.

Nevidím žádný důvod, proč takovou věc dělat zadarmo, protože pak by si každý registroval všechny varianty těch slov, a to samozřejmě nedává žádnou logiku.

Profil

Ondřej Filip vystudoval Matematicko-fyzikální fakultu Univerzity Karlovy v Praze. Během studia začal pracovat ve společnosti Ipex a.s., kde později působil jako technický ředitel a člen představenstva. Od prosince roku 2004 pracuje jako výkonný ředitel sdružení CZ NIC. Je členem představenstva českého propojovacího uzlu NIX.CZ. Ve svém volném čase rád hraje basketbal, cestuje nebo programuje open source software.