Hlavní navigace

Jak jsou na tom weby českých úřadů s DNSSEC a IPv6?

10. 8. 2015
Doba čtení: 13 minut

Sdílet

 Autor: Isifa
Dodržují české úřady povinnosti, které jim stanovila vláda? A proč je zabezpečení přes DNSSEC a přechod na IPv6 vůbec důležitý?

Je tomu již přibližně měsíc, odkdy mají ministerstva a ústřední správní úřady povinnost zabezpečit všechny jimi držené domény prostřednictvím DNSSEC. Ještě déle pak mají povinnost podporovat IPv6, a to jak na webových a jmenných serverech (již od 1. ledna 2011), tak mailových serverech (od 1. března 2015). Aktuální analýzy ukazují, že s DNSSEC drtivá většina úřadů problém nemá, s IPv6 však mnoho z nich stále bojuje. Upozornění na problémy, se kterými se některé úřady během implementace těchto technologií potýkají, může dobře pomoci i komerčním serverům. 

Jaké povinnosti a na koho se vztahují 

První povinnosti spojené s IPv6 se do vládních dokumentů promítly v polovině roku 2009, kdy vláda 8. června 2009 přijala Usnesení č. 727 ke Zprávě o přechodu na internetový protokol verze 6 (IPv6). Vláda, resp. Ministerstvo průmyslu a obchodu ČR, které dané usnesení předkládalo, si uvědomovalo potřebu reagovat na postupný nedostatek volných IPv4 adresních bloků, a uložilo proto všem ministrům a vedoucím ostatních ústředních orgánů státní správy prakticky okamžitě v rámci pravidelné obměny nakupovat síťové prvky podporující IPv6 a zároveň zajistit nejpozději do 31. prosince 2010 přístup k internetovým stránkám a veřejně dostupným službám eGovernmentu internetovým protokolem verze 4 (IPv4) i internetovým protokolem verze 6 (IPv6). 

Vláda 

II. ukládá ministrům a vedoucím ostatních ústředních orgánů státní správy zajistit 

1. od 30. června 2009 při pravidelné obnově síťových prvků jejich kompatibilitu s internetovým protokolem verze 6 (IPv6); 

2. do 31. prosince 2010 přístup k internetovým stránkám a veřejně dostupným službám eGovernmentu internetovým protokolem verze 4 (IPv4) i internetovým protokolem verze 6 (IPv6); 

Pro kraje (a hlavní město Prahu) pak má usnesení doporučující charakter. Ze své povahy nejsou tímto vázány obce, stejně jako např. Prezident ČR, resp. jeho kancelář, Poslanecká sněmovna, Senát či Česká národní banka. 

Postupem času se však ukázalo, že většina ministerstev usnesení vlády nedodržuje a např. dle analýzy z června 2012 mělo podporu IPv6 na svých webových serverech implementováno jen o málo více než třetina ministerstev a polovina ústředních orgánů státní správy.

Webové servery

DNS servery

Poštovní servery

Ministerstva

35,7 %

64,3 %

35,7 %

Ústřední orgány státní správy

50 %

58,3 %

33,3 %

Krajské úřady

14,3 %

64,3 %

14,3 %

Města (obce) s rozšířenou působností

7,3 %

43,9 %

2,9 %

O mnoho lepší nebyla situace ani v roce 2013, kdy vláda schválila strategii Digitální Česko 2.0, které reaguje na vyčerpání volných IPv4 adresních bloků v Evropě a zároveň konstatuje neuspokojivou situaci s podporou IPv6 ve veřejné správě. 

Nicméně přestože výše uvedené usnesení vlády uložilo ministerstvům a ostatním ústředním orgánům státní správy zajistit podporu IPv6 u jimi provozovaných elektronických služeb, průzkum zrealizovaný ke dni 31. srpna 2012 ukázal, že tuto povinnost plní pouze 42,9 % ministerstev a 50 % ústředních orgánů státní správy. Na úrovni krajů má podporu nového protokolu implementováno jen 7,1 % krajských úřadů. 

Při výkladu usnesení vlády se navíc ukázalo, že některé úřady své mailové servery automaticky nepovažují za součást veřejně dostupných služeb eGovernmentu. V Digitálním Česku 2.0 se pak ve vztahu k mailovým serverům píše: „Průzkum podpory IPv6 dále ukazuje na nedostatečnou podporu e-mailových serverů u těchto institucí. Plně kompatibilní s IPv6 jsou e-mailové servery úřadů šesti měst, dvou krajských úřadů a třech ústředních orgánů státní správy.“ 

Proč zavést IPv6? 

Po vyčerpání adresních bloků IPv4 ve všech regionech vyjma Afriky začíná docházet ke zpomalení rozvoje některých služeb a na Internetu se začínají objevovat zdroje, které jsou přístupné jen přes IPv6. Bez podpory IPv6 v přístupové síti se tyto zdroje stávají nedostupné, stejně jako stránky, na které míří návštěvník bez IPv4 adresy. Rozšíření podpory IPv6 v sítích koncových zákazníků i veřejné správy by pomohlo k opětovnému rozvoji služeb, které se dnes potýkají s nedostatkem IPv4 adres. Oproti IPv4 nabízí IPv6 též snížení nákladů na správu sítí, zvýšení bezpečnosti či umožnění mobility.

Vedle podpory IPv6 se v Digitálním Česku 2.0 nově objevila i kapitola o DNSSEC a závazek předložit vládě ke schválení materiál zaměřený na podporu rozšíření technologie DNSSEC ve veřejné správě a při využívání jejích elektronických služeb. 

Na základě Digitálního Česka 2.0 pak 18. prosince 2013 vláda skutečně přijala usnesení, které od 1. ledna 2014 vyžaduje podporu technologie DNSSEC při nákupu všech relevantních služeb a do 30. června 2015 zabezpečení všech domén držených příslušnými úřady prostřednictvím technologie DNSSEC. 

V rámci usnesení vlády je klíčové především slovíčko „všech“, díky kterému je tato povinnost aplikována nejen na hlavní stránky úřadů, ale i stránky jednotlivých projektů (např. Datových schránek) nebo odborů (např. Odbor strukturálních fondů Ministerstva vnitra). Povinnost zabezpečení přes DNSSEC se pak vztahuje nejen na domény .cz, ale i na všechny další, jako jsou .info (např. datoveschranky.info), .eu (např. visapoint.eu) či .com (např. czechtourism.com). 

Česká republika se tak zařadila mezi jednu z prvních zemí na světě, která „uzákonila“ povinnost zabezpečení DNSSEC. V tomto ohledu neuškodí si připomenout, že česká národní doména .cz byla teprve třetí v Evropě, která zavedla DNSSEC, a to již v roce 2008.


Autor: Jiří Průša

Zdroj: CENTR (Council of European National TLD Registries)

Jistou obdobu našeho usnesení vlády lze najít v rámci memoranda americké vlády v rámci vládní domény .gov.

The Federal Government will deploy DNSSEC to the top level .gov domain by January 2009. The top level .gov domain includes the registrar, registry, and DNS server operations. This policy requires that the top level .gov domain will be DNSSEC signed and processes to enable secure delegated sub-domains will be developed.

Pohled na stránky Bílého domu však ukazuje, že doména whitehouse.gov zůstává i v roce 2015 stále nezabezpečena. Obdobná situace je i na doméně cia.gov.


Autor: Jiří Průša

Usnesení vlády č. 982 z roku 2013 reaguje vedle DNSSEC zároveň na situaci s podporou IPv6 u mailových serverů a stanoví povinnost do 28. února 2015 zpřístupnit prostřednictvím IPv6 elektronické podatelny provozované jimi řízenými orgány státní správy. 

Povinnost vyžadovat podporu IPv6 v rámci veřejných zakázek pak byla rozšířena z prvků síťové infrastruktury na všechny relativní dodávky jak služeb (tj. např. webhosting či datové služby), tak hardwaru a projekty financované ze strukturálních fondů. 

Vláda ukládá zahrnout požadavek na podporu IPv6 do všech relevantních výběrových řízení, a to jak na dodávky služeb, tak zboží (hardware), i jako nedílnou součást požadavků na všechny nově podpořené projekty a jejich součásti financované ze strukturálních fondů v tomto i nadcházejícím finančním období. 

Přehled, jak se vyvíjely povinnosti státní správy ve vztahu k IPv6 a DNSSEC a rozdíly mezi jednotlivými usneseními přehledně zachycuje následující schéma:


Autor: Jiří Průša

V rámci usnesení č. 982/2013 je zajímavé zmínit i požadavek na zahrnutí podpory IPv6 do povinných požadavků na služby Komunikační infrastruktury veřejné správy (KIVS) a základních registrů. 

Před koncem roku 2013 však na IPv6 myslel i Český telekomunikační úřad, který v rámci Obecných pravidel a doporučení pro využívání řízení datového provozu při poskytování služby přístupu k síti internet zahrnul IPv6 jako součást tzv. síťové neutrality: 

Službou přístupu k síti internet se rozumí veřejně dostupná služba elektronických komunikací, která umožňuje využívání obsahu, aplikací a služeb sítě internet, a tím propojení prakticky všech koncových bodů připojených k síti internet (a to protokolem IPv4 a IPv6), bez ohledu na použitou technologii sítě. 

Jak jsou povinnosti dodržovány? 

Dnes je to již více než měsíc od doby (1. července 2015), od které mají všechna ministerstva a dalších 13 ústředních orgánů státní správy povinnost dodržovat všechny požadavky – tj. jak podporu IPv6 na svých webových, jmenných i mailových serverech, tak zabezpečení všech držených domén prostřednictvím DNSSEC. V CZ.NIC naplňování těchto povinností pravidelně monitorujeme, a to jak pro Ministerstvo průmyslu a obchodu ČR, tak v rámci nedávno skončeného evropského projektu GEN6, jehož cílem bylo podpořit veřejnou správu při přechodu na IPv6. 

Z této analýzy vyplývá, že ani po více než čtyřech letech více než třetina ministerstev (35,7 %) a 30 % ústředních orgánů státní správy stále nezavedla podporu IPv6 na svých webových serverech a o mnoho lepší není situace ani u poštovních serverů (zejména u ústředních orgánů státní správy). Plnou podporu IPv6 u DNS serverů lze přičítat též snaze registrátorů, kteří často provoz těchto serverů zajišťují.

U DNSSEC by se pak mohlo na první pohled zdát, že situace je v pořádku a zajímavostí může být jen Ministerstvo práce a sociálních věcí ČR, které má sice podepsánu doménu mpsv.cz, ale www. již má v jiné zóně, která podepsána není a návštěvníkovi stránek tak např. DNSSEC Validátor správně indikuje, že se nachází na nezabezpečeném webu.


Autor: Jiří Průša

Autor: Jiří Průša

Pokud se však podíváme i na další domény držené vybranými úřady (a jejich podřízenými organizacemi), situace je zde o mnoho horší.

Ministerstvo zahraničních věcí

Czech Republic (Czech.cz)

Visa Point

Co hrozí úřadům v případě nedodržení 

Vedle rizik v oblasti bezpečnosti popsaných na webu Bezpečné domény by mnozí mohli namítnout, že vzhledem k tomu, že usnesení vlády neobsahují (ani ze své povahy nemohou) žádné sankce, stávají se často bezzubými. S tímto tvrzením mohu souhlasit jen částečně a uvést dva příklady, ve kterých tomu tak být nemusí. 

Prvním z nich jsou negativní zmínky v médiích, kdy možná i na základě článků (např. na eGov.cz či Root.cz) došlo k zabezpečení stránek hned několika úřadů. Zde je zajímavé se podívat na to, jak vybrané úřady v době před a těsně po nabytí účinnosti usnesení vlády DNSSEC zaváděly.


Autor: Jiří Průša

Druhým příkladem je veřejná zakázka „Zajištění hostingových služeb pro Odbor strukturálních fondů MV“ ze začátku ledna 2014. V této zakázce zpočátku Ministerstvo vnitra ČR nemělo požadavek na IPv6 a DNSSEC vůbec obsaženo, na základě upozornění jej však doplnilo a následně prodloužilo též dobu pro podávání nabídek. Ze dvou společností pak Ministerstvo vnitra ČR vybralo společnost IDC-software house, s. r. o., zatímco nabídku společnosti IGNUM, s. r. o. vyřadilo. V červenci 2014 mi to pak nedalo, abych povinnost zkontroloval a následně se přeptal na plnění povinností. Ministerstvo vnitra ČR tehdy přislíbilo zabezpečení své domény přes DNSSEC v řádném termínu.


Autor: Jiří Průša

Doména Odboru strukturálních fondů byla nakonec zabezpečena až na konci července (po mém dotazu na tiskový odbor). Ministerstvo vnitra, resp. jeho Odbor strukturálních fondů, byl přitom jeden z mála, který upozornil příjemce z řad státní správy dodržovat povinnosti spojené s IPv6 a DNSSEC. 

U domény datoveschranky.info není chybějící zabezpečení DNSSEC prvním problémem. V listopadu 2014 se Jiří Peterka ve svém článku zde na Lupě věnoval problémům s výpadkem dané domény a její nefunkčnosti. Při pohledu na podíl nezabezpečených domén, z nichž jasně vyčnívají ty umístěné v jiné TLD než .cz, ať již se jedná o visapoint.eu nebo Czechtourism.com, se pak mohu jen ztotožnit s jeho závěrem. 

O to větší důvod proto shledávám k tomu, aby se veřejná správa v ČR (tedy jak státní správa, tak i samospráva) řádně starala o používané domény. A také aby využívala domény pod českou národní TLD .cz. Nejenom z nějakých „vlasteneckých“ důvodů, ale třeba právě kvůli vzniku a řešení nejrůznějších problémů a sporů, které mohou vznikat. Ale i kvůli jejich předcházení. 

Pro Ministerstvo vnitra ČR a doménu datoveschranky.info může být v současné době řešením i změna registrátora na některého, který zabezpečení DNSSEC u domén .info podporuje. Dle vyjádření z ministerstva se tento převod v nejbližší době připravuje tak, aby byla zabezpečena i doména .info. Podle seznamu ICANN totiž současný registrátor (CSL Computer Service Langenbach GmbH, známější spíše jako Joker.com) totiž zabezpečení přes DNSSEC u domén .info (na rozdíl od jiných) neumožňuje.


Autor: Jiří Průša

Zdroj: ICANN

Pro české domény je možné přehled registrátorů podporujících IPv6 a DNSSEC nalézt na stránkách CZ.NIC. 

Problémem zůstává konektivita 

S ohledem na povinnosti stanovené v rámci usnesení vlády č. 982/2014 je zajímavé se podívat i na to, jak jsou na tom úřady s IPv6 konektivitou. Podle statistik Google se IPv6 odráží na celkovém provozu cca. 8 %, zatímco v sousedním Německu je to přes 18 % a v Belgii dokonce přes 35 %. Naproti tomu Slovensko má pouze 0,19 %.


Autor: Jiří Průša

Zdroj: Google

V rámci KIVSu byla povinnost zahrnutí podpory IPv6 zahrnuta do veřejné zakázky „Poskytování služeb KIVS 2013 – 2017“ v rámci katalogového listu „Symetrický internet“ (DATA_INTERNET-SYM-CMS _010.03), kdy se u fixního připojení lokality koncového uživatele k Interconnectu tzv. Centrálního místa služeb (CMS), počítá s přenosem dat jak protokolem IPv4, tak IPv6 v dual-stack módu. Dokončení CMS (plánované do 30. listopadu 2015) je ostatně podle vnitra hlavní příčinou, proč IPv6 stále nepodporuje oficiální web, ani základní registry. Ty v rámci dokumentu „Síťová konektivita ISZR“ uvádí, že pro komunikaci agendových informačních systémů (AIS) s Informačním systémem základních registrů (ISZR) je možné používat pouze adresy IPv4, tj. nelze použít IPv6. 

Jak si vedeme v porovnání s Evropou? 

Zajímavé srovnání toho, jak si vede česká veřejná správa, přinesl evropský projekt GEN6, v rámci kterého CZ.NIC porovnával data z 2 785 serverů v 11 zemí (vedle České republiky (CZ) se jednalo o Estonsko (EE), Lucembursko (LU), Německo (DE), Nizozemí (NL), Portugalsko (PT), Řecko (EL), Slovensko (SK), Slovinsko (SI), Španělsko (ES) a Turecko (TR) ). 

U každé země pak byl vytvořen reprezentativní vzorek stránek institucí veřejné správy rozdělený na tři úrovně – národní, zahrnující jak ministerstva a další centrální úřady (např. regulátory), tak národní parlamenty či soudní orgány, což v případě ČR znamená větší okruh, než je definován v Usnesení vlády č. 727/2009 a 982/2013, místní úroveň (nejvýznamnější města/obce) a u většiny zemí též regionální úroveň, tj. např. v České i Slovenské republice kraje, u Německa pak spolkové země). Výsledky měření z května 2015 ukázaly, že Česká republika se rozhodně nemá za co stydět a naše veřejná správa patří mezi evropské lídry v zavádění IPv6.


Autor: Jiří Průša

Zdroj: CZ.NIC a projekt GEN6

Ve výsledcích je trochu pozoruhodný případ Estonska, které má díky svému národnímu registru vysokou podporu IPv6 na jmenných serverech, ale nulovou podporu u webových serverů. Oproti tomu Slovensko je jedinou zemí, kde je podpora na webových serverech vyšší, než na jmenných serverech. 

BRAND24

 Zajímavý obrázek přináší i srovnání, jak se podpora IPv6 u jednotlivých služeb (webové, jmenné a mailové servery) vyvíjela v průběhu času.

WWW

DNS

E-mail

4/13

5/15

4/13

5/15

4/13

5/15

Česká republika

24 %

38%

49 %

71 %

10 %

18 %

Lucembursko

0 %

0 %

21 %

31 %

2 %

2 %

Německo

8 %

7 %

36 %

48 %

2 %

6 %

Nizozemí

4 %

6 %

34 %

39 %

8 %

11 %

Řecko

1 %

0 %

2 %

8 %

2 %

4 %

Turecko

1 %

3 %

2 %

4 %

1 %

1 %

Zdroj: CZ.NIC a projekt GEN6

Byl pro vás článek přínosný?

Autor článku

Autor se dlouhodobě zabývá především problematikou českého i evropského eGovernmentu. Ve sdružení CZ.NIC má na starosti projekty s veřejnou správou a rovněž evropské projekty zaměřené na IPv6 (GEN6) a vzájemné uznávání eID (STORK 2.0 a eSENS).

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).