SNI aneb virtuální weby přes SSL s jednou IP adresou: stále nic moc

Posted on 10. Duben, 2011 by Shadow

Nasadit moře virtuálních webů na jeden jediný server dnes není vůbec žádný problém (naopak, je to běžná praxe). Vše může bez problémů jet i na jedné IPv4 adrese, kterých, jak asi víte, je teď už kritický nedostatek. Problémem je, že takto mohou weby jet jen přes HTTP, ale už ne přes HTTPS. Proč je tomu tak? Přistupujete-li k nějakému webu, třeba na www.shadow.cz, protože si chcete přečíst tento článek, zašle váš prohlížeč serveru následující požadavek:

GET /blog/1106
Host: www.shadow.cz

Jak je patrné, webový server běžící na příslušné IP adrese z požadavku zjistí, ke kterému webu chcete přistupovat, a zobrazí vám požadovanou stránku. Na jedné IP adrese tak můžou běžet klidně tisíce webů, resp. virtuálních webů (virtual host).

Když chcete k serveru přistupovat přes HTTPS, je situace jiná. Prohlížeč totiž musí nejprve vytvořit šifrované spojení, a teprve potom může přes toto spojení zaslat požadavek s názvem virtuálního webu, ke kterému chcete přistupovat. Webový server tedy nemá žádnou šanci poznat, který certifikát (ty jsou obvykle vydávány pro jednu konkrétní doménu) má prohlížeči naservírovat.

Řešení tohoto problému samozřejmě existuje, je jím rozšíření TLS protokolu (což je nástupce SSL protokolu) s názvem SNI (Server Name Indication), které problém řeší tím, že klient dodá jméno serveru, ke kterému se chce připojit, ještě před tím, než mu server odešle příslušný certifikát.

Situace však není až tak růžová. Servery SNI jakž takž už nějakou dobu podporují. Celé SNI tedy v tuto chvíli stojí a padá především na podpoře prohlížečů. Což o to, takový Firefox podporuje SNI od verze 2.0 (prostředek 2006), ale u IE je situace jiná. Ten sice SNI umí také (od IE 7), jenomže ne na XP, které jsou bohužel stále velice rozšířené. Dokonce ani aktuální osmička na XP stále SNI nepodporuje. Microsoft zde skutečně má očekávání nezklamal, stále brzí pokrok jako brzdila TV Nova digitalizaci. A tak vám na XP nezbyde než uživatelům sdělit, aby vyměnili ošoupaný a neschopný IE za něco produktivnějšího. Jenomže k tomu, abyste to jako provozovatelé webů mohli udělat, musí váš web být schopen toto uživatelům sdělit, což bude těžké, pokud se uživatelům bude zobrazovat chybové hlášení o tom, jak je použitý certifikát nebezpečný a že vzdálený server je určitě nějaký podvodník, který chce uživatele na dálku sežrat. Ach jo.

Abych nenadával jen na Microsoft, ani Google se svým Androidem a Chromem v podpoře SNI neoslnil. Na XP musíte použít až šestku (vydána v září 2010), jinak vám stačí 5.0.342.1 z března 2010. No a co se Androidu týče, tam to možná půjde, ale až ve verzi 3.0, která dosud nebyla vydána. Dřívější verze SNI prostě nepodporují.

Jak dlouho budeme muset čekat, než bude SNI přístupné z běžně dostupného klientského softwaru? Stihneme to ještě před přechodem na IPv6?

Magnatune teaches the entertainment industry how to face the information age

Posted on 5. Duben, 2011 by Shadow

The information age

We’ve entered a period that can be called „the information age“.
Computers and the Internet have changed our lives, our economies, our
business and our democracies. Some business models were abandoned or
replaced by new ones. The process is ongoing.

Computers themselves became widespread and miniaturized. Many of us
are carrying them every day in the form of notebooks, netbooks (small
notebooks), tablets, media players, e-book readers and of course -
cell phones. Many of these are connected to the Internet (or some
other kind of network) most of the time.

The information age is redefining several aspects of our lives,
including social relationships or entertainment.

Continue reading →

Windows 9 bude postaven na FreeBSD

Posted on 1. Duben, 2011 by Shadow

Minulý týden jsem nezávazně pohovořil s pracovníkem Microsoftu na jedné z jejich prezentací, které jsem se jako zaměstnanec bohužel musel zúčastnit. Ten mi sdělil velmi zajímavé informace o budoucím směřování Microsoftu, tak neuvěřitelné, že jsem to vzal jen jako žert. Jeho vážná tvář mne ale přesvědčila, abych si tuto informaci ověřil, a proto jsem se obrátil na tiskového mluvčího Microsoftu, kterým je Ing. A. Lírpa. Ten mi včera potvrdil, že Windows NT se nyní skutečně stává slepou větví vývoje, jelikož po vydání Windows 8 provede Microsoft zcela zásadní změnu – následující Windows již nebudou založeny na větvi NT, nýbrž na FreeBSD. Microsoft se tak připojí k Applu, který svůj Mac OS X také nakonec založil na BSD unixu.

Plán Microsoftu mi není zcela jasný, mám zatím pouze minimum informací, ale má komunikace s Ing. Lírpou odhalila přinejmenším to, že Microsoft hodlá FreeBSD upravovat spíše méně, pouze přidá svoje grafické rozhraní. Aero zmizí, nahradí jej efekty Compizu. Tentokrát se Microsoft nebude snažit o zachování zpětné kompatibility, jelikož mu to v minulosti přineslo mnoho problémů, a při přechodu na FreeBSD to beztak není reálné.

Volba FreeBSD byla zde celkem jasná, neboť GNU/Linux je pro Microsoft licenčně nepřijatelný (licence GPLv2 a GPLv3), zatímco FreeBSD může díky jeho licenci bez problémů použít (nějakou dobu se traduje, že z BSD Microsoft převzal mj. TCP/IP stack) a dále prodávat kopie upraveného a zproprietarizovaného BSD systému. V tuto chvíli ještě není jasné, zda-li bude Microsoft spíše asistovat vývojářům FreeBSD nebo zda-li vezme aktuální podobu FreeBSD a tu si bude dále vyvíjet sám, uzavřeně.

Flexibilita unixových systémů by měla Microsoftu dát mj. možnost snadné portace Windows na speciální zařízení jako mobilní telefony, tablety, e-book čtečky, atd., což snad sníží náskok Androidu nad současným „hitem“ Windows Phone 7, který se příliš neprodává.

Pokud někdo čeká, že se tímto krokem Microsoft obrátí k Open Source a svobodnému softwaru přívětivěji, čeká patrně marně. Patentové žaloby vůči Androidu a jeho použití budou nadále pokračovat a Microsoft nedá Open Source světu ani o řádek kódu více, než kolik je nezbytně nutné.

Je otázkou, jak bude vývoj pokračovat a jak z toho vyvázne FreeBSD, resp. zda-li to FreeBSD nějak pomůže, nebo si jen MS od nich vezme co potřebuje a jako odměnu jim neposkytne ani jednu volnou licenci na užití finálního Windows 9. Víc už se mi bohužel z Ing. Lirpy vydolovat nepodařilo, snad až na jedinou věc – kódové označení Windows 9, který bude založen na FreeBSD, je „Tsuki“ (Microsoftu se patrně zalíbila Japonština).

Na závěr nemohu než vyjádřit své rozporuplné pocity – na jednu stranu uvítám další unixový systém, ale na stranu druhou nevidím příliš rád, když se ze svobodného softwaru dělá nesvobodný, byť to jeho licence umožňuje. No, uvidíme, jak to nakonec dopadne. Třeba se z toho nakonec vyklube aprílový žertík.

Ústavní soud zrušil data retention v ČR

Posted on 31. Březen, 2011 by Shadow

Jak se zdá, neuvěřitelné se stalo realitou. Ústavní soud dnes zrušil povinnost poskytovatelů komunikačních služeb uchovávat až šest měsíců údaje o tom, kdo s kým a jak moc komunikoval. Toto se týká téměř každého uživatele Internetu nebo každého uživatele mobilního telefonu. Příslušné paragrafy zákona o elektronických komunikacích byly do našeho právního řádu včleněny na popud EU (implementace směrnice o data retetnion) a nyní byly shledány protiústavní a zrušeny. Více informací viz web Ústavního soudu. Můj komentář k této věci je krátký, ale výstižný: „Ústavní soude, výborně! Jen tak dál!“.

Zajímejte se o formáty dokumentů: Document Freedom Day

Posted on 30. Březen, 2011 by Shadow

Zajímejme se o formáty dokumentů – nebuďme otroci jedné firmy, která využívá nejrůznějších praktik včetně vednor lock-in k udržení svého mamutího postavení. Tvořme, upravujme a vyměňujme si dokumenty v takových formátech, které nečiní překážky v jejich použití. Mysleme na budoucnost, až tato firma třeba jednou zkrachuje nebo jen vydá novou verzi svého softwaru s ještě více špionážními funkcemi, vyšší cenou a agresivnějším DRM (Digital Restrictions Mangement) a absurdnější licencí, který třeba už mnozí z jeho současných uživatelů nebudou chtít používat. Používejme svobodné a otevřené formáty, které nejsou omezeny na jeden kancelářský balík. Bojujme za lepší situaci a za řádnou konkurenci (nejen) na poli kancelářských balíků.

Dnes je Document Freedom Day. Den svobody formátů.

Upgrady aneb adrenalinový sport správců serverů

Posted on 28. Březen, 2011 by Shadow

Myslíte, že správce serverů nemá šanci zažít ve své práci nějaké to napětí a adrenalin? Ale ano, stačí se pustit do upgradu serverů na novější verze distribucí, pokud možno za chodu. Tak jsem se rozhodl upgradovat server, na kterém běží mimo jiné i tento web. Upgradoval jsem Debian z verze 5.0 na verzi 6.0, jelikož včera vyšla (Debian Squeeze vyšel v únoru – omlouvám se za zpoždění publikace). Ano, správně, tohle by se dělat nemělo, mělo by se počkat, mělo by se to pěkně naplánovat, ještě lépe před upgradem otestovat na kopii serveru, ale rozhodl jsem se být odvážný. Ostatně, i když je to „produkční“ server, je to můj server, jehož nefunkčnost vadí pouze mně.