V čele organizace spravující české domény, sdružení CZ.NIC, stojí Ondřej Filip letos už osmnáctým rokem. Je členem Síně slávy Cybersecurity, kde jsou osobnosti, které zásadním způsobem nebo dlouhodobým působením pozitivně ovlivnily tuzemskou kyberbezpečnost. A ocenění sbírá i za hranicemi.
S Ondřejem Filipem jsme mluvili o roli klíčníků od internetu i o dopadech vysoké inflace na fungování sdružení. To chystá zvýšení poplatků za registraci domén i nová pravidla pro opětovnou registraci domén, o které původní majitel ztratil zájem.
Část rozhovoru si můžete přečíst v textové podobě, celý si jej pak můžete poslechnout ve formě podcastu na službách Spotify, Google Podcasts, Apple Podcast, nebo přímo zde:
Na začátku září jste se stal předsedou představenstva organizace spravující 830 milionů IP adres RIPE NCC. Jak se vám tím změnil život?
Samozřejmě se trošku změnil. Na druhou stranu, tři roky předtím jsem působil v představenstvu té organizace, byť její předseda je vždy tou nejviditelnější postavou. Má víc ceremoniálních úkolů a je více zván i na různé konference.
Letos je to v krátké době další významné ocenění za práci v oblasti rozvoje internetu. V květnu vás jiná organizace, ICANN, jmenovala do skupiny takzvaných klíčníků od internetu. Která z těchto funkcí je pro vás prestižnější?
Každá je jiná. První ocenění ICANN je o důvěryhodnosti, o osobní integritě. Je to spíše takové čestné ocenění. Naproti tomu RIPE NCC je skutečně důležitá funkční role. Registr RIPE je jeden z pěti z ekosystému internetových registrů. Jde tam o udržení té organizace, o rozpočet, o personální otázky. Je to více manažerská role.
RIPE na začátku války na Ukrajině odmítl požadavek Ukrajiny jako napadeného státu, aby odstřihl Rusko od internetu. Je takováto neutralita v ozbrojených konfliktech dobře?
Minimálně to není poprvé, co to RIPE NCC udělalo. RIPE NCC obhospodařuje IP adresami obrovský region, je to nejen Evropa, ale všechny postsovětské země i Střední východ. To znamená, že jde o regiony, kde se válčí v podstatě neustále. Nedávno byl velice prudký a skutečně vražedný konflikt v Sýrii. A i v této situaci RIPE NCC zachoval neutralitu. Na druhou stranu se organizace snaží pomoci Ukrajině. Alespoň v tom, že třeba prodloužila splatnost faktur za členství a podobně. Pokud bychom nezůstali neutrální, mělo by to fatální dopad na celý systém. Ztráta důvěry jednotlivých států by mohla vést k rozpadu celého systému. Na druhou stranu jsou tu určité sympatie k ukrajinské straně, to je zřejmé.
Pomohlo by vůbec odstřižení určitého území od internetu, nebo k čemu by potom došlo?
Nedávno jsem o tom měl na Lupě článek, kde jsem se snažil to analyticky zhodnotit. V podstatě záleží na tom, jak dlouho by to odstřižení trvalo, na jaké úrovni by to bylo. Pokud jen nějaké odstřižení konektivity, to se dá spravit rychle. Jestliže by to už obnášelo třeba realokaci adres, to už se napravuje poměrně složitě. Záleží na tom technickém řešení.
A jestli by pomohlo, pokud bychom snížili dostupnost v internetu, v některých oblastech bychom dopustili rozštěpení internetu, a to by pro lidstvo jako takové dobré nebylo. Trpěli by tím především běžní lidé. Uvědomme si, že jsou země, kde internet dostupný není, v Severní Koreji se nepřipojíte na internet a já si nemyslím, že je to pro nás dobře. Trpí tím tamní obyvatelstvo. Svobodný proud informací je pro obě strany důležitý.
Je takové odstřižení od internetu zvládnutelné pro území, které se ocitne bez IP adres, bez alokovaných zdrojů? Dokáží si poradit, dokázali by takový krok překonat?
Rusko se na to připravuje. Otázka je, co znamená překonat. Pokud to vnímáte tak, že by Rusko technicky fungovalo, ale byl by to jakýsi ruský internet, kde by fungovaly jenom povolené zdroje, to by jistě dokázali, byť s určitými obtížemi. Oni tvrdí, že na to jsou připraveni. Já o tom mám určité pochybnosti, protože ruský šlendrián je všudypřítomný a nejinak tomu bude i v tomto případě. Na druhou stranu, dříve nebo později by se přes to přenesli. Každopádně už by to nebyl internet, byl by to jakýsi ruský internet. Přístup k celosvětové síti by patřil jen privilegovaným vrstvám a běžný občan Ruské federace by přístup k tomu, co my nazýváme internetem, neměl. Už dnes je na mezinárodní úrovni poměrně silný tlak na revizi správy internetu, právě od zemí, jako je Rusko nebo Čína.
A z vašeho pohledu je namístě revidovat pravidla internetu?
Já si myslím, že fungují velice dobře. To, že internet není ve státních rukou, a to bylo moudré rozhodnutí administrativy za éry Billa Clintona, pomáhá internetu odolávat mnohým politickým bouřím. Funguje i v dobách válek. Jakákoliv revize by znamenala jít od područí ITU (mezinárodní telekomunikační unie – pozn. redakce), což by znamenalo určitě zkostnatění internetu, zpomalení inovací.
Zmiňovali jsme, že v rámci ICANN jste už pět měsíců strážcem klíčů od internetu. Co to znamená?
Starám se o to, že proces podpisu kořenové zóny, což je klíčový proces, na kterém závisí podpisy všech jednotlivých národních i generických zón, je v pořádku. Zodpovídám za to, že celá ta ceremonie je v pořádku, že je to zabezpečené. Že klíče nebo právo podpisu má jenom k tomu určená organizace a vše probíhá podle pravidel.
A jak probíhá takové podepisování zóny?
Systém je navržen tak, že se musí sejít alespoň tři klíčníci ze sedmi. Jsou to dvě skupiny lidí. Jedna podepisuje v lichý kvartál, druhá v sudý. Ti lidé se sejdou v extrémně dobře zabezpečené místnosti. Jedna je ve Virginii na východním pobřeží, druhá v Kalifornii na západním pobřeží Spojených států. Otevřou trezor, vezmou si karty, na kterých jsou části kryptomateriálu, což je právě ten klíč. To vsunou do zařízení, kde potom proběhne podpis té zóny. Je to něco mezi technickou operací a skutečně velkou ceremonií. Mimochodem, to celé je vždy transparentně streamováno na internetu, takže se můžete na některou z ceremonií podívat. Jen podotýkám, ta moje první trvala kolem pěti až šesti hodin, takže to není zrovna zábavné koukání.
RIPE NCC má na starosti IP adresy, ty ve verzi čtyři docházejí, respektive už nejsou. Řešením je internetový protokol ve verzi 6. Přijímá se dostatečně rychle?
Tak záleží, koho se zeptáte. Z mého pohledu je to extrémně nedostatečné. Nedostatek vytváří tlak na systém správy internetu. Ve chvíli, kdy systém vznikal, adresy IPv4 byly zadarmo a přidělovaly se poměrně dlouho podle potřeby. Samozřejmě tu byly mechanismy, jak snížit jejich spotřebu, ale dnes už jsme v podstatě na suchu. Už víc IPv4 adres není, nebo jich je skutečně velice málo a jejich cena velmi roste. A když někde vzrůstá cena, samozřejmě to přitahuje úplně jiné typy lidí než techniky, kteří to potřebují pro svou práci. Je tam poměrně dost spekulantů, kteří získali třeba větší množství adres. Kolem toho probíhá už dost soudních sporů a vlastně to zbytečně komplikuje práci celé organizace, která byla původně ryze technická. Nyní tam chodí lidé, co mají poměrně dost peněz a snaží se ten systém podfouknout, něco z něj získat. Takže já si myslím, že je to velký problém. Uvědomme si, že jde o 830 milionů adres, to je nějaký bilion korun, vyjádříme-li to v dnešní měně, a cena každý den roste. To je skutečně lepší než bitcoin. Souvisí vlastně i s těmi válečnými konflikty. Asi nejvíc je to vidět na AFRINICu, na africkém registru, který je teď v podstatě pod soudní správou, protože vede velký rozsáhlý spor s jedním vlastníkem mnoha IP adres a je v podstatě v takovém polofunkčním stavu. A to je další problém. Pokud by například AFRINIC musel ukončit svou činnost, může to být voda na mlýn nedemokratickým státům, které tvrdí, že správa internetu je špatně a je potřeba ji revidovat, aby se dostala pod kontrolu národních vlád. Z tohoto úhlu pohledu má přechod na IPv6 i politický rozměr.
Jak je na tom Česká republika? Stihli se provideři možná i spekulativně předzásobit dostatečnými alokacemi čtyřkového protokolu a žijí stále ze svých zásob, nebo už je okolnosti nutí ve svých sítích aplikovat šestkovou verzi? A dělají to rychle?
Tak jsou to dvě věci. Jsou ISP, kteří mají skutečně adres hodně, a dokonce vím o některých, kteří je prodávají, protože jich mají tolik, že už vědí, že je nebudou pro svoji činnost potřebovat. Na druhé straně jsou tu ti, kteří je logicky kupují, a pak jsou firmy, které teď vstupují na trh a adresy už nejsou. Absence adres nebo jejich vzácnost způsobuje, že začínající firmy mají mnohem vyšší bariéru než ty, co začínaly před několika lety.
Dělá pro přechod z verze 4 na verzi 6 dostatek i český stát? Cítíte podporu ze strany státu, aby se tento krok urychlil?
Hrozně rád bych odpověděl kladně, ale nemůžu, bohužel. Když se podíváte na Portál občana, což by měla být vlajková loď českého e-governmentu a vstupní brána pro komunikaci občanů se státem, tak tento portál jede na IPv4. Což je špatný výsledek pro státní správu.
Letos jsme svědky významného růstu inflace a zvyšování cen energií. Dopadá to i na CZ.NIC?
Pochopitelně. Jsme běžná IT firma a drtivá většina nákladů IT firem jsou mzdy lidí a samozřejmě energie na provozování systémů, které mají. Tohle všechno zdražuje a poměrně raketově.
Chystají se úsporná opatření u správce české domény?
Musíme šetřit. Zdražilo toho dost a naše rozpočty počítají v ročním cyklu, takže na to musíme reagovat asi jako každý. Od uzavírání některých projektů až po takové ty legrační věci, jako je snížení teploty v kancelářích a podobně. Objevili jsme i mnoho systémů, které se využívají pouze při některých školeních a není potřeba je mít zapnuté nonstop. Takže hledáme úspory stejně jako všechny ostatní běžné firmy.
Chystáte třeba i změnu ceníku za registraci nebo prodloužení doménových jmen?
Nemůžu úplně říct, že chystáme, ale je to něco, co bychom teď rádi diskutovali s členy. Už jsme začali diskusi s registrátory. Byli bychom rádi, kdyby cena domény mohla reagovat na inflaci. Nedělali bychom vždycky jednou za čas revizi té ceny, jako se to už párkrát v minulosti stalo, ale byl by to automatický mechanismus. To by dávalo držitelům velkou míru jistoty, jak to bude vypadat do budoucna. Bylo by to transparentní a dobře předvídatelné.
Čili potom by se jednalo o zdražování jednou ročně, vždy o inflaci za ten předcházející rok?
Taková je idea, jak říkám, bude se teprve diskutovat s členskou základnou. A to jsou ti klíčoví lidé, kteří nakonec rozhodnou.
Jak odhadujete, že taková diskuse potrvá dlouho, respektive kdy by k tomu zdražení nebo k tomu nastavení principu zdražení o inflaci mohlo dojít?
Pokud diskuse proběhne standardně, nebude tam silná opozice, nebo někdo nepřijde s nějakým novým modelem, má představa je, že by se úprava ceny dělala jednou ročně, a to k 1. březnu. A bylo by určené roční inflací, kterou zveřejňuje statistický úřad v průběhu ledna.
Pojďme se podívat ještě na jednu změnu, která se chystá. Týká se situací, kdy doména expiruje. V pravidlech pro registraci máte pečlivě popsané jednotlivé kroky, které se s tou doménou dějí, až do okamžiku, kdy je uvolněná k opětovné registraci. A tehdy se zpravidla stane terčem zájmu několika málo subjektů specializujících se na odchyt doménových jmen. Je z vašeho pohledu tato praxe v pořádku, kdy se expirovaná doména dostává do držení spekulantů?
Není to stoprocentně férové. Tím, jak se trh vyvinul, některé subjekty mají větší možnost, jak takovou doménu získat. Registrátoři posílají žádosti o registraci, přesně nevědí, v kolik hodin se doména uvolní, protože je to randomizované, ale posílají náhodně stovky a tisíce požadavků a snaží se tu doménu nějakým způsobem získat. My tyto bitvy registrujeme a víme, že někteří registrátoři jsou propojení se subjekty, kteří domény spekulativně drží. Nám se to nezdá být úplně správné. Byli bychom radši, kdyby do tohoto procesu měl přístup více lidí.
Tady je asi potřeba říci, že o doménu mohou bojovat ty subjekty, které mají pod svou správou dostatečný počet domén, protože za každou spravovanou doménu získávají až 100 pokusů na registraci naslepo. Vy ale chystáte změnu těchto pravidel. Jaký princip by se měl nově zavést?
Opět je to něco, co není prodiskutované se členy, takže teď jenom říkám jakousi vizi, která se rozhodně nemusí vyplnit. Naše představa je, a inspirovali jsme se například v Estonsku, že bychom tyto expirované domény dávali do dražby. Dnes je to tak, že doména od okamžiku registrace funguje 13 měsíců. Potom je ještě 14. měsíc, kdy doména sice náleží danému držiteli, ale už není funkční. Po této době se uvolňuje a strhne se o ni ta bitva. My bychom byli rádi, kdyby šla do aukce. Uživatelé by se mohli zaregistrovat a doménu vydražit.
Kdo by takovou aukci pořádal?
Určitě CZ.NIC, protože my jsme správcem toho registru. Vedeme teď s registrátory diskusi o konkrétní podobě aukce. Jestli by to byli uživatelé, kdo by přicházel za CZ.NIC, nebo by využívali stávající mechanismy přes registrátory.
Jaký by měl být princip té aukce?
Přiznám se, že tady je diskuse ještě komplikovaná, takže teď budu říkat skutečně svůj osobní pohled na věc. Rád bych vyloučil věci jako obálková metoda, protože vždy můžete být nařčen z toho, že někdo do těch obálek viděl nebo mohl vstupovat a podobně. Proto by bylo nejlepší, kdyby to byla zcela otevřená transparentní aukce, kde každý vidí aktuální cenu, mohl by přihazovat a viděl, jak přihazují ostatní.
Zabrání se tím držení domén pro spekulativní účely?
To určitě ne. Ale hodnota pro spekulanta, pro běžného člověka je různá a zároveň i ta motivace je různá. Dneska jsou někteří spekulanti, domaineři, nebo u nás jim někdy říkáme velkodržitelé, kteří mají specifické vazby na některé registrátory. A mají tím pádem výhodu v procesu získávání domén. Ale je spousta lidí, kteří by o doménu měli zájem, ale nemohou se k ní dostat. Tohle by jim dávalo stejné možnosti. Samozřejmě to, jestli doménu nakonec vydraží člověk, který na ni rozjede velký byznys, nebo charitativní akci, nebo to zase bude domainer, který ji koupí, protože ji dále prodá, to už neovlivníme, ale je to férový trh.
Je dnes vůbec ještě dobrá doba pro spekulativní držení a registrování volných domén, nebo už tato doba pominula?
S ohledem na to, že pořád jsou lidé, kteří drží tisícovky domén, tak asi ta doba ještě je, ale pravdou je, že o tom slyšíme méně. Obecně se dá říct, že význam a hodnota domény se snižuje tím, jak je lidé používají pro své fungování na internetu, vyhledávače a sociální média. Dnes je možná důležitější mít dobře zavedený účet na sociálních sítích než kvalitní doménu, protože stejně na vás zákazníci budou chodit přes vyhledávač. Takže si myslím, že trochu ta hodnota domén upadla, a proto i tenhle způsob obživy není tak atraktivní jako dřív.
Jaké jsou vlastně limity české národní domény? Máte spočítáno nebo máte nějaký odhad, na kolik domén se můžeme v .cz doméně dostat, aby to dávalo ještě smysl, aby to nebyly shluky náhodných písmen?
Máme, ale všechny ty odhady jsou komplikované. Já jsem třeba příliš nevěřil, že překročíme číslovku 1,4 milionu. Teď už věřím, že se jednou i nad těch jeden a půl milionu dostaneme. Naše doména má jednu z nejvyšších penetrací na obyvatele v postvýchodním bloku. Počtem domén překračujeme už i Rakousko.
Jak si stojí projekt Turris, jaké změny se chystají v ekosystému DNS, proč by weby státu měly být pod doménou .gov.cz i jak se daří blokovat podvodné domény využívané pro phishingové útoky? Poslechněte si celý rozhovor ve formě podcastu:
ČLÁNKY DO MAILU