Projekt certifikace registrátorů
Sdružení CZ.NIC navrhlo a od roku 2011 realizuje projekt certifikace registrátorů .CZ domén s těmito hlavními cíli:
-
poskytnout potenciálnímu zájemci o registraci domény .CZ informaci o úrovni služeb nabízených jednotlivými registrátory;
-
pomoci registrátorům navrhovat jejich systémy tak, aby byly pro koncové zákazníky co nejpříjemnější;
-
využít službu MojeID, a to především jako prostředku elektronické identifikace, který je možné použít pro přístup ke službám veřejné správy (propojení MojeID s NIA) a pomůže splnit požadavky ZKB v souvislosti s nařízením nové EU směrnice NIS 2.
V roce 2024 došlo k revizi celého programu tak, aby odpovídal současným požadavkům. Nový program myslí mimo jiné i na využití moderních technologií, dostatečné zabezpečení a rozšíření portfolia doprovodných služeb, například:
-
zvýšení bezpečnostní úrovně,
-
existenci certifikovaného pracovníka proškoleného v Akademii CZ.NIC na problematiku .CZ domén,
-
nabídku velkoobchodních služeb, apod.
Podmínky účasti a délka programu
Samotný proces certifikace je dobrovolný. Registrátor se do něj může přihlásit kdykoliv během roku a po vyhodnocení je mu s platností 12 měsíců vystaven certifikát „Certifikovaný .CZ registrátor“ s přidělením příslušného hodnocení a příslušné značky (loga).
Registrátor v rámci přihlášky do certifikačního programu poskytne sdružení CZ.NIC potřebné URL a IP adresy pro hlavní doménu, objednávkový formulář a admin panel pro zákazníky. Tyto informace dodá pro všechny používané platformy, pokud je jich více než jedna, testovány budou všechny.
Všechny platformy, které jsou využívány pro koncové zákazníky a každé další, na které je případně zákazník odkazován automatizovaným systémem, musí splňovat vstupní podmínky a body budou následně uděleny dle nejhoršího výsledku testované platformy.
Každý registrátor má během roční lhůty možnost jednoho přehodnocení, například z důvodu upgradu či přechodu na jiný registrační systém či změn v nabídce služeb. Zároveň zde vzniká registrátorovi povinnost, tyto změny bezodkladně nahlásit – v případě, že změna nahlášena nebude, může být certifikace odebrána.
Značka „Certifikovaný .CZ registrátor“
Značka obsahuje logo „Certifikovaný .CZ registrátor“ a hodnocení (grafický prvek - hvězdy).
Registrátor, který získá oprávnění značku používat, ji bude moci zahrnout do své marketingové a PR komunikace.
Výsledky hodnocení jsou veřejně dostupné v příslušném Certifikačním protokolu v Seznamu registrátorů.
Vlastní hodnocení certifikačního procesu
Vlastnímu hodnocení jednotlivých kritérií předchází splnění vstupních podmínek do Certifikačního programu. Při nesplnění kterékoliv z těchto podmínek nemá registrátor možnost postoupit k samotnému hodnocení.
Vstupní podmínky
-
Registrátor splňuje podmínky Smlouvy o registraci a správě doménových jmen.
-
Registrátor umožňuje zákazníkovi editaci již existujících objektů v registru (například data u domény, kontakt, NSSET, KeySet).
-
Registrátor podporuje službu MojeID:
-
MojeID lze použít při registraci a při přihlášení do systému registrátora, které funguje dle definovaných pravidel.
-
MojeID lze použít při registraci a při přihlášení do systému registrátora, které funguje dle definovaných pravidel.
-
Registrátor má vloženou účetní závěrku ve veřejném rejstříku. (V hodnoceném období vždy mínus jeden rok; tzn. v roce 2024 by měla být uvedena za rok 2022).
-
Přístupnost hlavní domény, objednávkového formuláře a admin panelu pro zákazníky registrátora:
-
je na IPv6,
-
má DNSSEC,
-
má SSL (SSL Labs alespoň na úrovni B).
-
je na IPv6,
Další hodnocení - kritéria
Při dalším hodnocení je testován primárně registrační systém příslušného registrátora.
Tím se rozumí:
-
funkcionalita webové aplikace pro registraci .CZ domén,
-
bezpečnost,
-
zákaznická podpora,
-
ostatní služby.
Průběh hodnocení
Sdružení CZ.NIC pro provádění certifikací nadále využívá služeb a zkušeností sdružení APEK (Asociace pro elektronickou komerci).
Kritéria hodnocení jsou rozdělena do sekcí, která musí být vždy splněna alespoň na 50 %.
Na základě počtu dosažených % bodů získá registrátor příslušný počet hvězdiček, a to následujícím způsobem:
91 – 100 % = 5 hvězdiček
81 – 90 % = 4 hvězdičky
71 – 80 % = 3 hvězdičky
61 – 70 % = 2 hvězdičky
51 – 60 % = 1 hvězdička
méně než 50 % možných bodů = žádná hvězdička
Pokud registrátor získá alespoň 1 hvězdičku, má právo se tímto výsledkem prezentovat po dobu 12 měsíců, resp. do provedení dalšího hodnocení na vyžádání.
Samotné hodnocení je rozděleno do dvou kol. První kolo probíhá dle metodiky testů, která je podrobně popsána v souboru kritérií, a registrátor je následně seznámen s jeho výsledkem. Tento výsledek může registrátor připomínkovat. Ve druhém kole hodnocení se poté sledují připomínkovaná kritéria.
Konečný výsledek – dosažený počet % bodů, počet hvězdiček a odkaz na soubor s podrobným hodnocením – je opět předán registrátorovi a je také uveden v Seznamu registrátorů.
Registrátoři jsou v seznamu řazeni sestupně dle počtu obdržených % bodů. Výsledek certifikace je zde doplněn o některá jednotlivá kritéria se statusem podporuje/nepodporuje (v tabulce znázorněno graficky). Registrátoři se shodným hodnocením pak při každém novém načtení tabulky náhodně rotují.
Podmínky pro získání statusu „podporuje“ v tabulce
Kromě samotné certifikace jsou v seznamu registrátorů uvedeny další samostatné body, které informují o některých službách, podporovaných registrátorem. Tyto samostatné body může registrátor v případě splnění definovaných podmínek získat i v případě, že se samotného certifikačního programu neúčastní.
MojeID
-
Registrátor umožňuje použití služby MojeID, konkrétně pak:
-
registraci nových zákazníků,
-
přihlašování zákazníků do systému registrátora,
-
autorizaci změn pro validované kontakty, anebo kontakty napojené na NIA - a ideálně nabízí i zvýhodněné podmínky/akce pro uživatele s NIA (například při změně držitele domény, kdy jsou oba kontakty ověřeny alespoň na úroveň zabezpečení „značná“, není potřeba k převodu dalšího ověření kontaktu).
-
registraci nových zákazníků,
-
Implementace MojeID musí být realizována výhradně na protokolu OpenID Connect nebo SAML dle specifikace v technické dokumentaci.
DNSSEC
-
Hlavní doména, objednávkový formulář a admin panel pro zákazníky registrátora jsou zabezpečeny DNSSECem.
-
Registrátor nabízí zákazníkům DNSSEC na svých stránkách (nemusí být zdarma či pro všechny, kladně se hodnotí i nabídka v konkrétním programu).
-
Registrátor má minimálně 1 % domén, u kterých je určeným registrátorem zabezpečených DNSSECem (mají přiřazený KeySet).
-
Zabezpečení DNSSECem je nastaveno defaultně při registraci nové domény.
IPv6
-
Hlavní doména, objednávkový formulář a admin panel pro zákazníky jsou dostupné z IPv6 only sítí včetně DNS resolvingu.
-
IPv6 je nastaveno defaultně na nameserverech (včetně redundance), které jsou používány při registraci nové domény.
-
Registrátor umožňuje zákazníkům přiřadit IPv6 adresu do GLUE záznamu a má alespoň dva takové záznamy v registru.
Doménový GURU
Registrátor má v support týmu alespoň jednoho certifikovaného specialistu (vyškoleného v Akademii CZ.NIC) na problematiku .CZ domén.
Velkoobchodní služby
Registrátor nabízí i velkoobchodní služby.
DNS hosting
-
je nabízen jako default služba,
-
je i na IPv6,
-
zákazníkovi se defaultně zapíná DNSSEC,
- DNS servery jsou redundantní (minimálně 2 servery).