Novinky v.cz registru a mojeid. Zdeněk Brůna

Podobné dokumenty
Jak vylepšujeme DNS infrastrukturu pro.cz? Zdeněk Brůna

Změna algoritmu podepisování zóny.cz. Zdeněk Brůna

Automatická správa keysetu. Jaromír Talíř

DNSSEC: implementace a přechod na algoritmus ECDSA

Automatická správa KeySetu

České vysoké učení technické v Praze FAKULTA INFORMAČNÍCH TECHNOLOGIÍ katedra počítačových systémů DNSSEC. Jiří Smítka.

DNSSEC v praxi. CZ.NIC z.s.p.o. Laboratoře CZ.NIC Ondřej Surý ondrej.sury@nic.cz

PEPS, NIA a mojeid. Budoucnost elektronické identity. Jaromír Talíř

Provozní manuál DNSSec pro registr.cz a e164.arpa

DNSSEC Validátor - doplněk prohlížečů proti podvržení domény

Novinky v projektech Knot DNS a Knot Resolver. Daniel Salzman

!"##$%&'&()*+,-./&0*(1&(&2)+34.50*6&2&78(94 EEE<(F*614BC<F2&

FRED & PostgreSQL. CZ.NIC, z.s.p.o. Jaromír Talíř <jaromir.talir@nic.cz>

DNSSEC u nás i ve světě. CZ.NIC z.s.p.o. Laboratoře CZ.NIC Ondřej Surý

DNSSEC. Proč je důležité chránit internetové domény? CZ.NIC z.s.p.o. Pavel Tůma

Bezpečná VLAN v NIX.CZ. Ing. Tomáš Hála ACTIVE 24, s.r.o.

Výpis z registru doménových jmen.cz

Základní principy obrany sítě II. Michal Kostěnec CESNET, z. s. p. o.

mojeid a další eid projekty

Rozvoj IPv6 v České republice. Daniel Suchý NIX.CZ, z.s.p.o.

Novinky v DNS. Ondřej Caletka. 11. února Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Útoky na DNS. CZ.NIC Labs. Emanuel Petr IT10, Praha

Výpis z registru doménových jmen.cz

Implementace DNSSEC v CZ.NIC, z.s.p.o.

Novinky v registru domén a mojeid. Jaromír Talíř jaromir.talir@nic.cz

Ondřej Caletka. 2. března 2014

DNSSEC na vlastní doméně snadno a rychle

DNS server (nameserver, jmenný server) Server, který obsahuje všechny veřejné IP adresy a jejich přiřazené doménové jména a překládá je mezi sebou. Po

Novinky v mojeid. Zdeněk Brůna zdenek.bruna@nic.cz

Knot DNS Knot Resolver

DNSSEC během 6 minut

DNSSEC Pavel Tuček

Provozní manuál DNSSec pro registr.cz a e164.arpa

Aktuality z elektronické identifikace. Jaromír Talíř

Domény.cz ve statistikách

Jen správně nasazené HTTPS je bezpečné

eidas odstartuje Německo Jaromír Talíř

DNSSEC a CSIRT. aneb co může udělat webhoster pro bezpečnější internet. Ing. Tomáš Hála ACTIVE 24, s.r.o.

Integrační modul REX. pro napojení elektronické spisové služby e-spis LITE k informačnímu systému základních registrů

Komunikace se Základními registry v prostředí MČ Praha 7

Propojujeme nejen český internet. Martin Semrád. #InstallFest Praha,

Projekt JetConf REST API pro vzdálenou správu

Sledování výkonu aplikací?

WPAD a bezpečnost v DNS

Metodický pokyn k uvedení registru do produkčního provozu

Šifrování Autentizace Bezpečnostní slabiny. Bezpečnost. Lenka Kosková Třísková, NTI TUL. 22. března 2013

DoS útoky v síti CESNET2

Nasazení protokolu IPv6 v prostředí univerzitní sítě VŠB-TU Ostrava

Zkušenosti s budováním základního registru obyvatel

Služby správce.eu přes IPv6

Michal Kolařík ISZR - Brána k základním registrům

GDPR A INFORMAČNÍ SYSTÉM. Nadežda Andrejčíková Libor Piškula

Pravidla pro připojení do projektu FENIX

Projekt Turris Ondřej Filip 23 října 2014 CIF Praha

Pravidla technické komunikace

Nejzajímavější bezpečnostní incidenty CSIRT.CZ. Pavel Bašta

Y36SPS Jmenné služby DHCP a DNS

Vývoj a fungování peeringu v IXP. Petr Jiran - NIX.CZ CTO CSNOG

WrapSix aneb nebojme se NAT64. Michal Zima.

10 Spolupráce a partnerství Sídlo a kontaktní údaje Registrátoři Zahraničí Vybrané finanční ukazatele 66

eidentita 2019 NÁRODNÍ IDENTITNÍ AUTORITA V PRAXI MICHAL PEŠEK ŘEDITEL SPRÁVY ZÁKLADNÍCH REGISTRŮ PRAHA 24. DUBNA 2019

1 Profil sdružení Seznam dodavatelů dle čl Stanov Úvodní slovo předsedy představenstva 5

Jmenné služby a adresace

HTTP hlavičky pro bezpečnější web

Ondřej Caletka. 23. května 2014

Ochrana soukromí v DNS

Jak se měří Internet

Přehled služeb CMS. Centrální místo služeb (CMS)

DNS, DHCP DNS, Richard Biječek

Zásady pro udělování a užívání značky Kraj Vysočina DOPORUČUJE PRO BEZPEČNÝ INTERNET verze leden 2015

Výzvy IOP č. (04), 06, 08, 09

Novinky v DNS. I dinosauři měli mladé. Ondřej Surý

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

Certifikační protokol

ZÁKLADNÍ REGISTR PRÁVNICKÝCH OSOB, PODNIKAJÍCÍCH FYZICKÝCH OSOB A ORGÁNŮ VEŘEJNÉ MOCI

Petr Soukeník.

Registr Osob. zveřejněno podepsáno

CESTA K REGISTRŮM. SZR MICHAL PEŠEK Jihlava neděle, 4. března 12

Základní registry veřejné správy. Ing.Ondřej Felix, CSc., hlavní architekt egovernmentu MV ČR

Zabezpečení web aplikací

Flow Monitoring & NBA. Pavel Minařík

Certifikáty a jejich použití

Jan Slezák, Zdeněk Dutý Oracle Day. Využití SW a HW technologií Oracle v projektu ISZR a potenciál pro egoverment

Certifikační protokol

Domain Name System (DNS)

Sdílené služby egov ČR 2016 a CMS 2.0. Ondřej Felix MV ČR Telč 2016

Aktuální stav implementace IS ROS

Dopady spuštění základních registrů na subjekty územní samosprávy

Elektronická evidence tržeb. Produkční prostředí Přístupové a provozní informace

1.1. Tyto Obchodní podmínky upravují registrace, přeregistrace, prodlužování a změny u doménových jmen, která jsou vedena u Dodavatele.

Správa linuxového serveru: DNS a DHCP server dnsmasq

Úvod - Podniková informační bezpečnost PS1-2

Smlouva o poskytování služeb č. VS-XXX/20XX ()

Bezpečný router pro domácí uživatele. Bedřich Košata

Implementace protokolu IPv6 v síti VŠE a PASNET. Ing. Miroslav Matuška Ing. Luboš Pavlíček

Útoky na DNS. Ondřej Caletka. 9. února Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

DNS Domain Name System

RÚIAN na cestě k pilotnímu provozu

Let s Encrypt nahoďte šifrování na webu

Transkript:

Novinky v.cz registru a mojeid Zdeněk Brůna zdenek.bruna@nic.cz 20. 06. 2017

Osnova FRED Registr.CZ Infrastruktura DNS Weby & mojeid

FRED Změny v EPP refaktoring EPP kompletní přepis implementace EPP backendu (10 let starý kód) metody pro správu základních objektů (kontakt, doména, nsset, keyset) vyšší bezpečnostní standard odstranění známých chyb v implementaci vylepšení technické dokumentace zpřesnění hlášených návratových chyb další vylepšení authinfo nepoužívá vizuálně podobné znaky: například I/l/1, O/0

FRED Změny v EPP asynchronní notifikace o EPP operacích (například update kontaktu) oddělení zasílání notifikacích e-mailů od samotných operací operace nebylo možné vypnout / spouštět dle potřeby chyby v notifikacích ovlivňovaly výsledek operace

FRED Nová dokumentace FRED obsahuje: feature dokument pro potenciálního nového uživatele popis architektury pro vývojáře, správce, helpdesk administrační manuál pro správce, helpdesk dostupná na: https://fred.nic.cz/page/675/documentation/ https://github.com/cz-nic/fred-docs letos pokračujeme referenční příručka EPP/XML protokolu

FRED

FRED

Registr.CZ Automatizovaná správa KEYSETů pro zprovoznění DNSSECu je třeba vložit DNSSEC klíč do registru (registrátorem nebo přes registrátora) v registru.cz se provádí pomocí tzv. KEYSETu (obsahuje klíč, váže se na domény) ne všichni registrátoři podporují - pouze 51,5%.cz domén ma DNSSEC nový standard nový typ klíčů, automatické vkládání klíče do nadřazené zóny dnes pouštíme DNSSEC bude dostupný dalším držitelům domén detaily Jaromír Talíř v 10:20

Registr.CZ přechod na ECDSA DNSSEC využívá asymetrické šifrování různé šifrovací algoritmy (RSA -> ECDSA) vyšší bezpečnost.cz registr již ECDSA podporuje pro SLD IANA ohlásila podporu pro kořenovou zónu na léto

Registr.CZ přechod na ECDSA podíl DNSSEC algoritmů v.cz zóně ZONER, IGNUM

Infrastruktura upgrade HW (obměna switchů v ČRa, obměna serverů registru) náhrada routeru Brocade BIRDem v jedné lokalitě nová pásková mechanika upgrade SW Upgrade OS - Ubuntu Precise -> Ubuntu Xenial upgrade PSQL na verzi 9.6

DNS snížení TTL v zóně.cz TTL udává, jak často se ptá DNS resolver autoritativního DNS nižší TTL: změny v DNS záznamech se projeví rychleji zvýší se zátěž DNS systému v únoru a březnu 2017 jsme snížili z 5 hodin na 1 hodinu postupné snižování (monitoring dopadů) prevence příliš velkého zvýšení počtu dotazů DNS resolverů

DNS snížení TTL v zóně.cz skokový nárůst všech DNS dotazů, které expirovaly z cache DNS resolverů zvýšený počet NXDOMAIN odpovědí

DNS upgrade DNS infrastruktury současný DNS anycast 3 x v ČR (3 x 5 serverů / 10 + 10 Gbps) 8 x zahraniči (8 x 2 servery / 1 Gbps) provoz: 25 000 qps / desítky Mbps odolnost: 20 000 000 qps / 60 Gbps četnost a intenzita DDoS útoků roste důležitost fungování DNS roste

DNS upgrade DNS infrastruktury popis záměru zvýšení odolnosti na: 100 mil. qps / 200 Gbps vylepšit monitoring zachovat diverzitu

DNS upgrade DNS infrastruktury plánované změny infrastruktury upgrade konektivity do NIX.CZ (2 x 100 Gbps) upgrade routerů a DNS serverů ve 2 lokalitách posílení významných zahraničních lokalit (UK) zprovoznění DNS uzlů v sítích významných ISP

Weby & mojeid zvýšení bezpečnosti HTTPS jako default (Let s Encrypt) podpora HSTS bezpečnostní opatření v Django 1.10 monitoring porušení CSP, SRI secure flagy u CSRF a session cookies bezpečnostní hlavičky X-Content-Type-Options a X-XSS-Protection chybí odstranit inline JS a CSS (pro mojeid v plánu na Q3) https://observatory.mozilla.org/

MojeID příklady větších novinek ověřování dalších e-mailových adres v mojeid nová dokumentace mojeid (https://www.mojeid.cz/dokumentace/html/) certifikace OpenID Connect zapojení do EduID rozšíření předávaných informací o stavu ověření uživatele systém na podporu validačních míst weblate

MojeID na čem pracujeme validace pomocí Datové schránky (červenec) validace pomocí zaslání výpisu z ROB / ISZR (Q3/Q4)

Výměna kořenového klíče výměna KSK kořenové zóny provádí ICANN plán: https://www.icann.org/resources/pages/ksk-rollover/#timeline nový KSK bude publikován v DNS 11.07.2017 nový KSK začne podepisovat kořenovou zónu 11.10.2017 revokace starého KSK 11.1.2018 prověřte DNSSEC validující resolvery automatická změna trust anchor (RFC 5011) právo zápisu do souboru, kde je uložen klíč

Děkuji za pozornost Zdeněk Brůna zdenek.bruna@nic.cz

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář