Rozdíly
Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze | ||
znalostni_baze:domena_gov [2024/01/04 10:43] – odstraněno - upraveno mimo DokuWiki (Unknown date) 127.0.0.1 | znalostni_baze:domena_gov [2024/10/18 09:03] (aktuální) – [Rozsah migrace na jednotnou státní doménu gov.cz] Tomáš Šedivec | ||
---|---|---|---|
Řádek 1: | Řádek 1: | ||
+ | ======Procesní, | ||
+ | |||
+ | <WRAP center round info 60%> | ||
+ | |Zpracovali | ||
+ | |Projednala a schválila | ||
+ | </ | ||
+ | |||
+ | |||
+ | |||
+ | ===== Účel sjednocených pravidel pro státní domény na gov.cz ===== | ||
+ | |||
+ | **Procesní, | ||
+ | |||
+ | Cílem pravidel je nastavení procesů podporujících splnění následujících cílů: | ||
+ | |||
+ | * kontinuální zajištění vysoké míry kybernetické bezpečnosti všech ÚOSS a jejich domén, | ||
+ | * snížení provozních nákladů vynakládaných na nepotřebné domény a optimalizace počtu doménových certifikátů, | ||
+ | * aktualizace registrace a procesu životního cyklu domén třetí úrovně pod gov.cz, zrychlení administrace nových žádostí ÚOSS a provádění operativních změn vlastníků domén třetí úrovně samoobslužnou formou, | ||
+ | * efektivní a bezpečně provedená migrace na jednotnou státní doménu gov.cz, | ||
+ | |||
+ | Doménové jméno nemusí být registrováno jen za účelem aktivního provozu webových portálů, případně zajištění provozovaných služeb. Doménové jméno může být registrováno za účelem ochrany uživatelů proti „podvržení adres“ (a za účelem zabrání tzv. typosquatting domén), zřízení alternativních adres „alias“, | ||
+ | |||
+ | |||
+ | ===== Definice pojmů, rozsah a odůvodnění migrace státních domén ===== | ||
+ | |||
+ | |||
+ | ==== Vymezení základních pojmů ==== | ||
+ | |||
+ | |||
+ | |||
+ | ^Pojem | ||
+ | |Vlastník domény | ||
+ | |Doménové jméno | ||
+ | |Doména prvního řádu | ||
+ | |Doména druhého řádu | ||
+ | |Doména třetího řádu (Subdoména neboli také poddoména)|Pokud před doménu doplníme ještě další doménu, bude to třetí úroveň, popř. vznikne doména n-tého řádu, např. [[https:// | ||
+ | |Vlastník subdomény | ||
+ | |Správce subdomény | ||
+ | |Veřejný DNS server | ||
+ | |Doménový certifikát | ||
+ | |Správa doménových jmen | ||
+ | |||
+ | ==== Rozsah migrace na jednotnou státní doménu gov.cz ==== | ||
+ | |||
+ | Cílem migrace je přesun vnější (tedy pro občany viditelné) webové a e-mailové domény ÚOSS pod doménu gov.cz včetně webových a e-mailových domén stěžejních celostátních organizačních součástí a portálů ÚOSS, celostátních orgánů státní správy a podřízených organizací ÚOSS dle předloženého Harmonogramu a těchto sjednocených pravidel pro státní domény 3. řádu pod gov.cz. | ||
+ | |||
+ | Harmonogram migrace na jednotnou státní doménu gov.cz je přílohou tohoto materiálu. Termíny uvedené v Harmonogramu jsou uvedené jako nejzazší okamžik, žádaný stav a realizace migrace na jednotnou státní doménu gov.cz může nastat i dříve. | ||
+ | |||
+ | **Záměr nepočítá s migrací aktuálně užívaných „microsites“, | ||
+ | |||
+ | Pro v budoucnu vytvářené microsites je nicméně doporučované jejich začlenění pod gov.cz. Je povinností ÚOSS, aby v budoucnu vytvářené pro občany viditelné weby a portály celostátního významu, ať již jsou microsites nebo ne, využívaly defaultně od svého vzniku státní doménu gov.cz. | ||
+ | |||
+ | Příklady microsites podle této definice pro účely migrace na jednotnou státní doménu gov.cz lze uvést: // | ||
+ | |||
+ | Platí, že migrace na jednotnou státní doménu gov.cz se týká především domén užívaných pod doménou prvního řádu //**.cz**// nebo u webových stránek a aplikací určené pro české občany. Migrace na gov.cz se tedy explicitně řečeno netýká domén užívaných v důvodných případech (např. marketing) v zahraničí pod národními jiných států (např. //.sk, .de// nebo //.pl)// nebo pod mezinárodními doménami. | ||
+ | |||
+ | Zároveň dále platí, že v případě služeb pro občany využívaných v zahraničí nebo cílené i na jiné jazykové skupiny jsou anglické aliasy k oficiálním doménám žádoucí. | ||
+ | |||
+ | Pro snazší orientaci toho, zda se jedná o doménu **„viditelnou“ pro občany/ | ||
+ | |||
+ | Pro ostatní orgány výkonné moci (především weby v působnosti např. BIS nebo Kanceláře prezidenta ČR), které nejsou podřízeny žádnému ÚOSS, je migrace na doménu gov.cz silně doporučována pro jejich nově vytvářené systémy, orgány a weby. Pro tyto orgány platí, že se mohou zapojit do projektu migrace na prestižní státní doménu gov.cz dobrovolně, | ||
+ | |||
+ | Dále pro úplnost dodáváme k ostatním státním složkám: Přestože v první vlně migrace na jednotnou státní doménu gov.cz míří především na celostátní orgány státní správy, tedy především na stěžejní výseč výkonné moci, je nezbytné zmínit, že například soustava soudů (která patří do moci soudní) a soustava státních zastupitelství je administrativně podřízena Ministerstvu spravedlnosti. Vzhledem k aktuálně používaným doménovým názvům v e-mailových adresách zaměstnanců soudů a státních zastupitelstvích sahají některé e-mailové adresy až do čtvrtého nebo dokonce pátého řádu, tedy za @ jsou 3 nebo 4 tečky, což je v rozporu s níže schválenými sémiotickými pravidly. | ||
+ | |||
+ | Vzhledem k výše uvedenému a vzhledem k tomu, že v rámci sjednocených domén jiných států EU a NATO **je používána zkratka // | ||
+ | |||
+ | Centrálně bude komunikace vůči občanům ohledně migrace na jednotnou doménu gov.cz zajištěna vlastníkem domény gov.cz. V době migrace dané organizace na jednotnou státní doménu gov.cz je nad rámec také žádoucí a výrazně doporučováno v dostatečné míře komunikovat vůči adresátům daného úřadu nové oficiální domény vhodným způsobem i na migrované webové stránce dané organizace. | ||
+ | |||
+ | ÚOSS nebudou muset pro nové systémy využívat placené nové domény druhého řádu, stávající nepoužívané domény budou moci zrušit a po roce 2030 budou moci zrušit i v současné době používané domény. | ||
+ | |||
+ | Co se týče certifikátů pravidla pro jednotnou státní doménu gov.cz o silně doporučují brát v potaz oficiálně vydané **doporučení NÚKIB používat moderní a cenově dostupnější automatické obnovované DV certifikáty.** | ||
+ | |||
+ | Na základě mapování domén ÚOSS a dosavadních zkušeností pravidla uváděná v tomto dokumentu mimo jiné doporučují pro některé domény vlastněné státem nebo určitou celostátní organizací, | ||
+ | |||
+ | |||
+ | ===== Sémiotická pravidla pro jednotnou státní doménu gov.cz ===== | ||
+ | |||
+ | |||
+ | ==== Pozitivní vymezení ==== | ||
+ | |||
+ | Zjednodušeně řečeno navržené hlavní/ | ||
+ | |||
+ | Obecná pravidla pro doménové názvy: | ||
+ | |||
+ | - Primární domény se mají skládat ze zkratky ÚOSS, celostátního orgánu státní správy, celostátní organizace nebo celostátního orgánu. Tato zkratka by měla být v ideálním případě složena z počátečních písmen oficiálního názvu dané státní instituce nebo orgánu. | ||
+ | - Primární zkratky státních institucí se píší do domény třetího řádu za druhý řád gov.cz. | ||
+ | - Pro hlavní weby ministerstev a jiných ústředních orgánů státní správy (pro weby všech ÚOSS) platí, že mohou používat dvoupísmenné zkratky v doméně třetího řádu (mk.gov.cz, mv.gov.cz či mf.gov.cz). Nicméně pro čtveřici ministerstev, | ||
+ | - Dále platí, že pro podřízené organizace a úřady, které neprezentují hlavní weby ÚOSS a mají v úmyslu používat subdoménu třetího řádu, musí jejich žádosti o subdomény s dvoupísmenným zkratkami třetího řádu schválit vlastník domény gov.cz. | ||
+ | - Centrální sdílené služby a služby s celoplošnou dostupností se doporučují uvádět na vlastní doméně 3. řádu bez vazby na státní instituci, která ji zřizuje. Například Portál veřejné správy nebude užívat doménu čtvrtého řádu // | ||
+ | - Čtvrtý řád je přípustný pro orgány a vnitřní orgány státních institucí, pro které dává větší smysl je zařadit do 4. řádu pod doménu už jiné domény 3. řádu. Pokud to však je možné a dává to smysl, lze přiznat i vnitřním orgánům určitého ÚOSS domény 3. řádu, příklad: rvis.gov.cz nebo rvvi.gov.cz | ||
+ | - Pátý řád domény gov.cz nedoporučuje předkladatel ani pracovní skupina pro jednotnou doménu gov.cz používat z důvodů pravděpodobného snížení UX pro adresáty státní správy. Naopak se doporučuje při případných výjimkách využívat funkci **//„//za lomítkem**”. | ||
+ | - Předkladatel nedoporučuje užívat jednotnou státní doménu s podobou gov.cz u samosprávných celků. | ||
+ | |||
+ | Stejná sémiotická pravidla pro domény třetího řádu platí i pro stěžejní jiné státní orgány a organizace státní správy, které bude vhodnější nepodřazovat vzhledem k jejich velikosti pod určité ÚOSS, co se hierarchie doménového názvu týče, i kdyby jim byly podřízené (příklad ČSSZ). | ||
+ | |||
+ | Obdobné pravidlo platí i významné portály a webové stránky s celostátním nadrezortním významem typu // | ||
+ | |||
+ | Demonstrativně pro podřízené státní orgány nebo organizace jednotlivých ÚOSS typu: ČSSZ, ředitelství Hasičského záchranného sboru ČR nebo pro Státní úřad pro kontrolu léčiv nebo Česká inspekce životního prostředí **jsou preferovány tyto varianty**: | ||
+ | |||
+ | * // | ||
+ | |||
+ | Varianty 4. řádů pro tyto demonstrativně uvedené stěžejní státní instituce, byť podřízené některým ÚOSS, **nejsou doporučovány** především z hlediska uživatelské přívětivosti**: | ||
+ | |||
+ | Pro orgány a organizace, které pro jejich neoddělitelnost od nadřízeného ÚOSS nebude možné ani moudré oddělovat od jejich ÚOSS, bude zřízena dle vůle nadřízeného ÚOSS vlastní doména 4. řádu nebo předkladatel doporučuje zvážit sjednocení webových a e-mailových domén u těchto neoddělitelných a významově spjatých orgánů a organizací s ÚOSS. Například jednotlivé krajské hygienické stanice můžou využívat buď: | ||
+ | |||
+ | - khsX.mzd.gov.cz, | ||
+ | - sekci na webových stránkách Ministerstva zdravotnictví pod mzd.gov.cz/ | ||
+ | |||
+ | === Aliasy na primární domény === | ||
+ | |||
+ | Aliasů může (ale nemusí) mít každý ÚOSS více v souladu se zásadou přiměřenosti a hospodárnosti. Důležitější je spíše, jakou bude užívat (i v propagačních předmětech) primární/ | ||
+ | |||
+ | Aliasy neboli „redirekty“ mohou být celá slova, nemusí to být pouze zkratky, nicméně veškeré odkazy a komunikace (a případný marketing) směrem k občanům a uživatelům státní správy by měly probíhat primárně přes hlavní uváděnou doménu daného ÚOSS, a nikoliv přes její redirekt. | ||
+ | |||
+ | ==== Negativní vymezení ==== | ||
+ | |||
+ | Záměr migrace na jednotnou doménu sleduje především zvýšení uživatelské přívětivosti, | ||
+ | |||
+ | Aby tak byl naplněn cíl a účel záměru, je nutné, aby doménové názvy třetích řádů státní domény gov.cz nebyly pro běžného adresáta státní správy (pro běžného občana): | ||
+ | |||
+ | |||
+ | - nesrozumitelné či matoucí, co se užité zkratky, užité části slova nebo shluku písmen týče (příklad: czso.cz nebo eagri.cz), | ||
+ | - příliš dlouhé (příklad: agenturasport.cz), | ||
+ | - nejednotně užívané napříč státní správou (eagri.cz, army.cz), | ||
+ | - v třetích řádech užívány s nadbytečnými, | ||
+ | - nadbytečně matoucí co do počtu užívaných zkratek v názvu domén třetího řádu, | ||
+ | - s používanými pomlčkami nebo nadbytečnými pátými řády (výjimku mohou tvořit testovací či technické domény, které nejsou určeny pro běžného občana), | ||
+ | - snadno zaměnitelné s jinou státní organizací, | ||
+ | - psány v jiném než českém jazyce (příklad: army.cz nebo justice.cz), | ||
+ | |||
+ | ==== Pravidla pro e-mailové domény ==== | ||
+ | |||
+ | |||
+ | V případě e-mailových domén zaměstnanců ÚOSS je generální vzor: | ||
+ | |||
+ | [[mailto: | ||
+ | |||
+ | Kde UOSS je zkratka dané organizace uvedená jako hlavní doména v Harmonogramu migrace. | ||
+ | |||
+ | V případě e-mailových domén podřízených organizací, | ||
+ | |||
+ | [[mailto: | ||
+ | |||
+ | Zkratka organizace může být v naprosto výjimečných případech při dlouhodobém užívání určitého názvu státní instituce teoreticky nahrazena určitým kratším slovem vystihujícím předmět působnosti této státní instituce. Ve výjimečných případech nemusí mít ani určitá státní instituce zachovanou zkratkou vzhledem ke kratšímu názvu své organizace, příklad: [[mailto: | ||
+ | |||
+ | === Stejná jména a příjmení ve stejné státní organizaci === | ||
+ | |||
+ | Pro případy, že by v rámci jednoho ÚOSS nebo samostatné celostátní organizaci pracovali lidé se shodným jménem a příjmením, | ||
+ | |||
+ | |||
+ | - Zaměstnanec, | ||
+ | - V pořadí druhý zaměstnanec v daném orgánu nebo organizaci státní správy: [[mailto: | ||
+ | - V pořadí třetí zaměstnanec v daném orgánu nebo organizaci státní správy: [[mailto: | ||
+ | |||
+ | V případě, že služebně starší zaměstnanec organizaci opustí a nastoupí na jeho místo jiný zaměstnanec se stejným jménem, pak tento nový zaměstnanec pokračuje dál v číslování, | ||
+ | |||
+ | === Pracovníci s více jmény nebo příjmeními === | ||
+ | |||
+ | Obecně platí, že se užívá dle e-mailového vzoru pouze 1 jméno a 1 příjmení. | ||
+ | |||
+ | Dále obecně platí, že se užívá dle e-mailového vzoru jméno a příjmení uvedené v oficiálních platných dokumentech. | ||
+ | |||
+ | Z tohoto pravidla nicméně mohou být tyto výjimky: | ||
+ | |||
+ | |||
+ | - V případě, že určitý pracovník má více jmen a užívá v běžné komunikaci obě jména nebo má dokonce mezi jmény spojovník, pak se do e-mailové domény přidají obě jména pracovníka bez spojovacího znaku. \\ > příklad: Anna-Marie Rychetská => [[mailto: | ||
+ | - V případě, že určitý pracovník má více jmen (např. dřívější nebo stávající příslušník jiné národnosti), | ||
+ | - V případě, že určitý pracovník má více jmen (např. dřívější nebo stávající příslušník jiné národnosti), | ||
+ | - V případě, že určitý pracovník má více příjmení a užívá v komunikaci zpravidla jen jedno příjmení, | ||
+ | - Naproti tomu ale, pokud má pracovník více příjmení spojených pomlčkou, pak se toto příjmení musí propsat i do e-mailové adresy. (viz rozdíl oproti bodu A – kde se pomlčka nicméně neuvádí).\\ > Příklad: Lenka Rychetská-Tranová => [[mailto: | ||
+ | |||
+ | U všech variant 1), 2), 3), 4) a 5) platí, že pracovník může využívat více e-mailů, které všechny budou shromažďovat příchozí e-maily do jedné schránky, nicméně jako primární e-mail bude uveden při odpovědích ten, který je spjat s oficiálním jménem, které má daný pracovník/ | ||
+ | |||
+ | Jednoduše řečeno, 3 e-maily vedoucí do jedné schránky si představme jako 3 kanály, kterými zprávy přicházejí do jedné schránky, nicméně jenom jedním primárním kanálem bude odcházet i na druhou stranu (to bude e-mail uvedený v odpovědi pracovníka). | ||
+ | |||
+ | ==== Demonstrativní příklad domén ústředních orgánů státní správy ==== | ||
+ | |||
+ | ^Ústřední orgány státní správy a stěžejní organizace výkonné moci ^Hlavní doména | ||
+ | | |//Cílový stav primárních domén// | ||
+ | |Ministerstvo dopravy | ||
+ | |Ministerstvo financí | ||
+ | |Ministerstvo kultury | ||
+ | |Ministerstvo obrany | ||
+ | |Ministerstvo pro místní rozvoj | ||
+ | |Ministerstvo práce a sociálních věcí | ||
+ | |Ministerstvo průmyslu a obchodu | ||
+ | |Ministerstvo spravedlnosti | ||
+ | |Ministerstvo školství, mládeže a tělovýchovy | ||
+ | |Ministerstvo vnitra | ||
+ | |Ministerstvo zahraničních věcí | ||
+ | |Ministerstvo zdravotnictví | ||
+ | |Ministerstvo zemědělství | ||
+ | |Ministerstvo životního prostředí | ||
+ | |Český báňský úřad | ||
+ | |Český statistický úřad | ||
+ | |Český telekomunikační úřad | ||
+ | |Český úřad zeměměřický a katastrální | ||
+ | |Digitální a informační agentura | ||
+ | |Energetický regulační úřad | ||
+ | |Národní bezpečnostní úřad | ||
+ | |Národní sportovní agentura | ||
+ | |Národní úřad pro kybernetickou a informační bezpečnost | ||
+ | |Rada pro rozhlasové a televizní vysílání | ||
+ | |Správa státních hmotných rezerv | ||
+ | |Státní úřad pro jadernou bezpečnost | ||
+ | |Úřad pro dohled na hospodařením politických stran a hnutí | ||
+ | |Úřad pro ochranu hospodářské soutěže | ||
+ | |Úřad pro ochranu osobních údajů | ||
+ | |Úřad pro přístup k dopravní infrastruktuře (sloučen s ÚOHS) | ||
+ | |Úřad průmyslového vlastnictví | ||
+ | |Úřad vlády České republiky | ||
+ | |Policejní prezidium České republiky | ||
+ | |Hasičský záchranný sbor České republiky | ||
+ | |Česká správa sociálního zabezpečení | ||
+ | |Kancelář prezidenta České republiky | ||
+ | |Nejvyšší státní zastupitelství | ||
+ | |Bezpečnostní informační služba | ||
+ | |…(…) atp. v duchu ostatní významné celostátní orgány, organizace a portály výkonné moci viditelné pro občany|příklady: | ||
+ | |||
+ | Doplňujeme, | ||
+ | |||
+ | // | ||
+ | |||
+ | ===== Pravidla pro vlastníky subdomén ===== | ||
+ | |||
+ | Vlastník subdomény zajistí, aby: | ||
+ | |||
+ | - provozovaný systém na subdoméně gov.cz nenarušoval kybernetickou bezpečnost ostatních systémů provozovaných na doméně gov.cz, | ||
+ | - prostřednictvím subdomény nebo na ní provozovaných služeb nedocházelo k distribuci škodlivého kódu, nebyl předstírán obsah jiné služby nebo nebyl zasílán spam prostřednictvím e-mailových schránek pod subdoménou gov.cz, | ||
+ | - informace sdělované u webových stránek pod gov.cz byly věrohodné, | ||
+ | - provozovaný systém na subdoméně gov.cz souvisel s výkonem působnosti státní správy nebo informoval o výkonu působnosti státní správy, | ||
+ | - registroval nebo jinak zajistil subdomény pod gov.cz, které se jeví jako podvodné návrhy podobných subdomén a zamezil tak phisingovým a dalším typům útoků cílícím na podobný název domény na druhém řádu, a to přiměřeně, | ||
+ | - Například doména mspv.gov.cz je lehce zaměnitelná za doménu mpsv-.gov.cz, | ||
+ | |||
+ | |||
+ | V případě porušení pravidel uvedených v bodech a) až d) může dojít v krajním případě i ke zrušení subdomény ze strany vlastníka domény (viz kapitola č. 5 o procesních postupech). | ||
+ | |||
+ | Tato pravidla mohou být měněna ze strany vlastníka domény. Změnu pravidel oznamuje vlastník domény správcům subdomén alespoň 30 dní předem. | ||
+ | |||
+ | ===== Procesní postupy ===== | ||
+ | |||
+ | Níže uvedené procesní postupy mohou být měněny ze strany vlastníka domény pro zajištění hospodárného a účelného využití domény gov.cz. Platné procesní postupy jsou zveřejněny na webových stránkách vlastníka domény. | ||
+ | |||
+ | ==== Žádost o založení subdomény ==== | ||
+ | |||
+ | Právo podat žádost o subdoménu pod gov.cz má pouze orgán veřejné moci uvedený v Registru práv a povinností s následujícími právními formami: | ||
+ | |||
+ | * Organizační složka státu, | ||
+ | * Státní fond ze zákona nezapisující se do obchodního rejstříku, | ||
+ | * Státní příspěvková organizace a | ||
+ | * Česká národní banka. | ||
+ | |||
+ | Žádost o nové subdomény se podává **primárně standardní cestou přes portál CMS.** | ||
+ | |||
+ | Vlastník domény gov.cz posoudí, zda daná žádost splňuje výše uvedená sémiotická pravidla, a pokud ano, doménu zřídí – tímto krokem se orgán stane vlastníkem subdomény. Pokud žádost pravidla nesplňuje, vlastník domény tuto žádost zamítne s krátkým odůvodněním zamítnutí, | ||
+ | |||
+ | **Řešení sporů** | ||
+ | |||
+ | V případě zamítnutí žádosti může na žádost žadatele dojít k trojstrannému jednání mezi vlastníkem domény, arbitrem pro kontrolu názvů domén 3. řádu na gov.cz a žadatelem o subdoménu, na jehož základě arbitr pro kontrolu názvů domén 3. řádu na gov.cz rozhodne o ponechání rozhodnutí vlastníka domény či jeho revokaci a schválení žádosti. | ||
+ | |||
+ | V případě, že orgán bude mít zájem o registraci subdomény, která je už zaregistrována jiným orgánem, může na žádost žadatele dojít k čtyřstrannému jednání mezi vlastníkem domény, stávajícím vlastníkem subdomény, žadatelem o subdoménu a DIA. Pokud během tohoto jednání nedojde k nalezení kompromisu, rozhodne DIA o novém vlastníkovi subdomény s dodržením dostatečné doby k případné migraci. | ||
+ | |||
+ | ==== Změna DNS záznamů k subdoméně ==== | ||
+ | |||
+ | Spravovat DNS záznamy k dané subdoméně je možné přes ticketovací systém CMS, v budoucnu přes samoobslužný portál. Vyžádat si změnu záznamu pomocí jiného kanálu (např. telefonicky nebo e-mailem) není možné z důvodu nutnosti autorizace daného požadavku. | ||
+ | |||
+ | Pomocí tohoto požadavku je také možné založit domény čtvrtého řádu pro vlastněnou subdoménu. | ||
+ | |||
+ | ==== Zrušení subdomény ze strany vlastníka subdomény ==== | ||
+ | |||
+ | Zrušení subdomény je možné provést pouze přes ticketovací systém CMS nebo v budoucnu přes samoobslužný portál. Zrušení domény probíhá odstraněním domény ze zóny gov.cz. Následně si tuto subdoménu může zaregistrovat jiný orgán. | ||
+ | |||
+ | ==== Zrušení subdomény ze strany vlastníka domény gov.cz ==== | ||
+ | |||
+ | V případě že vlastník subdomény nedodržuje určená pravidla uvedená v bodech a) až d) kapitoly 4. tohoto dokumentu, informuje vlastník domény gov.cz vlastníka subdomény o porušení pravidel a určí dostatečnou lhůtu k nápravě. | ||
+ | |||
+ | V případě, že náprava nebude do určené doby provedena, může vlastník domény v krajním případě rozhodnout o dočasném znepřístupnění subdomény do doby, než bude nedostatek napraven. V případě, že nebude nedostatek napraven ani po znepřístupnění domény do 30 dnů, může vlastník domény rozhodnout o zrušení subdomény. | ||
+ | |||
+ | V případě změny kategorií orgánu veřejné moci, kdy orgán už nebude zařazen ani v jedné z požadovaných kategorií v podkapitole 5.1 nebo nástupnická organizace už nebude orgánem veřejné moci, vlastník domény zajistí přesměrovaní existujících subdomén na nové domény mimo gov.cz. | ||
+ | |||
+ | ==== Převedení subdomény na jiného vlastníka ==== | ||
+ | |||
+ | Subdoména může být převedena na jiného vlastníka v případě žádosti stávajícího vlastníka subdomény, a pokud s tím bude nový vlastník souhlasit. Nový vlastník musí subdomény opětovně zaregistrovat dle postupu v podkapitole 5.1. | ||
+ | |||
+ | V případě zániku orgánu stávajícího vlastníka jsou subdomény automaticky převedeny na nástupnickou organizaci s požadavkem na definování nových správců převáděných subdomén. Pokud není nástupnický orgán určen, domény jsou zrušeny a může se je zaregistrovat jiný orgán dle postupu v podkapitole 5.1. | ||
+ | |||
+ | Doménové certifikáty pro subdomény si zajišťuje každý orgán samostatně. Způsob ověření doménového certifikátu (DV, OV nebo EV) závisí na uvážení vlastníka subdomény a jeho interních procesech. V případě, že držitel subdomény bude k ověření certifikátu potřebovat součinnost vlastníka domény, vlastník domény tuto součinnost poskytne do **2 pracovních dní** od zaslání žádosti o součinnost (např. vystavení plné moci). | ||
+ | |||
+ | Preferovány jsou automaticky obnovované DV certifikáty, | ||
+ | |||
+ | ==== Hlášení provozních a bezpečnostních problémů ==== | ||
+ | |||
+ | Hlášení provozních a bezpečnostních problémů ze strany vlastníka subdomény (např. nefunkčnost apod.) probíhá přes portál CMS, případně telefonicky na telefonní číslo zveřejněné na portále CMS. V případě výpadku služby překladu DNS delšího než 10 minut (tzn. stav, kdy nefunguje překlad DNS záznamů z internetu) o této situaci informuje vlastník domény správce subdomén. | ||
+ | |||
+ | Toto hlášení nenahrazuje případnou zákonnou povinnost hlásit kybernetické bezpečnostní incidenty dle zákona o kybernetické bezpečnosti. | ||
+ | |||
+ | ===== Bezpečnostní a provozní pravidla pro doménu gov.cz ===== | ||
+ | |||
+ | **Tato pravidla a uvedené termíny určené pro vlastníka domény gov.cz** jsou závazná a měl by je zapracovat do své bezpečnostní dokumentace a reflektovat v případném smluvním vztahu mezi dalšími subjekty podílejícími se na správě a provozu domény. Změna těchto pravidel ze strany vlastníka domény je možná, pouze pokud je to nutné z provozních důvodů nebo pokud povede k vyšší bezpečnosti provozu domény. | ||
+ | |||
+ | Pravidla plněná od data účinnosti: | ||
+ | |||
+ | - Vlastník domény průběžně sleduje typosquatting domény a hlásí jejich zneužití správcům příslušných domén prvního řádu (pokud je to možné a smysluplné) a Národnímu úřadu pro kybernetickou a informační bezpečnost stejným postupem, jako se hlásí kybernetická bezpečnostní událost. | ||
+ | - Vlastník domény zřídí informační kanál (e-mailovou schránku nebo ticketovací systém), kterým můžou správci subdomén hlásit zneužívání typosquatting domén, vlastník domény gov.cz tato hlášení aktivně řeší. Vlastník domény proaktivně nakupuje další domény, které by mohly být potenciálně zneužitelné a občanem zaměnitelné za doménu gov.cz. | ||
+ | - Vlastník domény zřídí e-mailovou adresu // | ||
+ | - Vlastník domény zablokuje subdoménu v případě, kdy vlastník domény poruší pravidla provozu domény gov.cz. O tomto zablokování subdomény informuje Národní úřad pro kybernetickou a informační bezpečnost stejným postupem, jakým se hlásí kybernetická bezpečnostní událost. | ||
+ | - Doména a subdomény jsou podepsány technologií DNSSEC dle aktuálních standardů. | ||
+ | - Vlastník se řídí doporučeními v oblasti kryptografických prostředků vydanými NÚKIB – // | ||
+ | - V případě využití třetí strany pro provoz veřejných DNS serverů je zajištěno, | ||
+ | - Využít DNS NS záznam pro přesměrování subdomény na jiný autoritativní DNS server je možné, pouze pokud je to nezbytné z bezpečnostních nebo provozních důvodů. Tuto výjimku schvaluje vlastník domény. | ||
+ | |||
+ | Pravidla s termínem plnění do 31. 12. 2023: | ||
+ | |||
+ | - Jsou vytvořena a dokumentována konkrétní pravidla vycházející z tohoto dokumentu pro zakládání a správu subdomén. | ||
+ | - Je vytvořen seznam subdomén a vlastníků subdomén, který bude zveřejněn např. na whois.gov.cz a zároveň ve strojově čitelné podobě na Portálu otevřených dat. Tento seznam musí být aktualizován alespoň jednou týdně. Z důvodu zajištění bezpečnosti může být na žádost vlastníka subdomény vlastníkem domény udělena výjimka ze zveřejnění. | ||
+ | - Je vytvořen neveřejný seznam, který bude obsahovat všechny subdomény a kontakt na správce subdomény (e-mailová adresa, telefon). Tento seznam bude pravidelně aktualizován a poskytnut Národnímu úřadu pro kybernetickou a informační bezpečnost, | ||
+ | - Doména druhého řádu gov.cz je zařazena na seznam Public Suffix List. | ||
+ | - Doména druhého řádu gov.cz má přímo nastaven A a AAAA záznam, který vede na webový server přístupný přes protokoly HTTP a HTTPS, jehož funkcí je přesměrování na subdoménu domény gov.cz (např. portal.gov.cz). | ||
+ | - Na adrese [[https:// | ||
+ | - Doména gov.cz má nastaven jediný CAA záznam typu „issue“, | ||
+ | - Správci jednotlivých subdomén mají možnost si záznam CAA upravit pro konkrétní subdomény a uvést v něm vlastní certifikační autority. Vlastník domény na nutnost nastavit CAA záznam upozorňuje správce subdomény při zakládání nové subdomény. | ||
+ | - Všechny nově zřízené subdomény mají nastaveny DNS záznamy tak, aby neumožňovaly tuto subdoménu využívat pro odesílání e-mailových zpráv. Příslušné záznamy SPF, DKIM a DMARC si musí správce subdomény nastavit dle vlastní potřeby. Vlastník domény na nutnost nastavit tyto záznamy upozorňuje správce subdomény při zakládání nové subdomény. | ||
+ | - Doména gov.cz je zařazena do HSTS Preload List, aby při přístupu na jakoukoliv subdoménu gov.cz byl vyžadován přístup pouze přes zabezpečený protokol HTTPS. Správci subdomén jsou na nutnost využití HTTPS upozorněni při zřizování subdomény. | ||
+ | - Pro snížení rizika plynoucího z dlouhého dodavatelského řetězce mezi vlastníkem domény prvního řádu a vlastníkem domény gov.cz v registru domény prvního řádu nefiguruje žádná jiná právnická osoba v pozici registrátora. | ||
+ | - Ze strany vlastníka domény je definováno SLA jak pro zajištění dostupnosti domény, zajištění dostupnosti samoobslužného portálu/ | ||
+ | - Změny DNS záznamů v zóně probíhají ze strany správce subdomény přes samoobslužný portál nebo přes ticketovací systém. | ||
+ | - V případě využití ticketovacího systému je SLA na změnu záznamu maximálně 1 den, aby bylo možné pružně reagovat na nastalé situace (např. potřeba přesměrovat doménu na jinou IP adresu, změnit DNS záznam pro kontrolu vlastnictví domény pro vydání certifikátu apod.). Na požádání správce subdomény je možné získat aktuální výpis záznamů v dané subdoméně. Přístup do ticketovacího systému je chráněn silnou autentizací. | ||
+ | - V případě využití samoobslužného portálu portál zobrazuje aktuální seznam vlastněných subdomén spolu s aktuálním seznamem nastavených záznamů. Záznamy je možné v tomto portálu přímo měnit, přičemž změna se projeví na DNS serverech do 60 minut. Přístup je chráněn silnou autentizací založenou na přiřazené roli v systému JIP/KAAS. | ||
+ | - TTL 60 minut standard, jiná na výjimky. | ||
+ | - Veřejná DNS infrastruktura je dostupná i přes protokol IPv6. | ||
+ | - DNS infrastruktura podporující fungování domény gov.cz je součástí kritické informační infrastruktury. | ||
+ | - SLA na dostupnost DNS infrastruktury je nastavena na 99,90 % nebo vyšší měsíčně. | ||
+ | - Pro zajištění konektivity veřejných DNS serverů se využívají IP tranzitní služby alespoň dvou nezávislých poskytovatelů internetového připojení, | ||
+ | |||
+ | Pravidla s termínem plnění do 31. 12. 2024: | ||
+ | |||
+ | - Je aplikován RRL na veřejných DNS serverech. | ||
+ | - Veřejné DNS servery jsou rozmístěny do více nezávislých sítí. V případě unicast uspořádání minimálně do tří nezávislých sítí ve třech nezávislých AS. V případě vhodnějšího a doporučeného anycast uspořádání minimálně dvě silné lokality v ČR s peeringem v NIX.CZ plus minimálně pět zahraničních lokalit pokrývajících nejvýznamnější světové peeringové uzly. | ||
+ | - Veřejné DNS servery umístěné v lokalitách v ČR jsou zapojeny do sítě připojené do projektu FENIX pro zajištění fungování domény a jejích veřejných DNS serverů i v případě rozsáhlých DDoS útoků v rámci ČR. | ||
+ | - Napříč lokalitami, kde jsou umístěny veřejné DNS servery, se využívá alespoň dvou různých dodavatelů HW i SW, aby chyba konkrétního HW nebo SW nemohla způsobit nedostupnost služby jako celku. | ||
+ | - Při unicast uspořádání je kapacita konektivity minimálně 2× 100GE v ČR a 2× 100GE do zahraničí. Doporučeným uspořádáním je anycast, který bude mít stejnou minimální kapacitu v ČR, a navíc další kapacitu v zahraničních lokalitách (zejména ve významných peeringových uzlech a u předpokládaných zdrojů útoků). Toto uspořádání umožňuje podstatně lépe škálovat kapacitu DNS služby a umožní DDoS útoky pocházející ze zahraničí ve velké míře udržet mimo hranice ČR, a tím významně snížit jejich dopad na občany ČR. Toto uspořádání zároveň dodává službě velkou míru redundance a umožňuje servisovatelnost za chodu bez vlivu na dostupnost služby a s minimálním vlivem na kapacitu. | ||
+ | - Alespoň část veřejných DNS serverů samotných by mělo být čistě fyzických (nikoliv virtualizovaných) a s takovými parametry, aby byly schopné reálně obsloužit DNS provoz až do úrovně jejich konektivity. | ||
+ | - Je zřízen samoobslužný portál pro správu subdomén od 1. 1. 2025 v pilotním provozu s převedením do plného produkčního provozu do 31. 12. 2025. | ||
+ | - Samoobslužný portál bude poskytovat zabezpečený API přístup (např. pomocí protokolu DDNS) pro změnu DNS záznamů od 1. 1. 2026 v pilotním provozu s převedením do plného produkčního provozu do 31. 12. 2026. | ||
+ | - SLA na dostupnost veřejné DNS infrastruktury je nastavena na 99,99 % nebo vyšší měsíčně. | ||
+ | - V rámci CMS/KIVS je zřízen neveřejný DNS server pro potřeby připojených organizací do KIVS, který umožňuje překlad záznamů pod doménou gov.cz i v případě nefunkčnosti veřejné DNS infrastruktury. | ||
+ | |||
+ | ===== Seznam zkratek ===== | ||
+ | |||
+ | **Seznam termínů a zkratek používaných v rámci tohoto projektu** | ||
+ | |||
+ | ^Zkratka | ||
+ | |ÚOSS nebo ÚSÚ|**Ústřední správní úřad** (novější obrat) neboli **ústřední orgán státní správy** (starší obrat) dle terminologie kompetenčního zákona. | ||
+ | |gov.cz | ||
+ | |BIVOJ | ||
+ | |NPO |Národní plán obnovy | ||
+ | |DNS |angl. **Domain name server** neboli doménové jméno. | ||
+ | |UX | ||
+ | |UI | ||
+ | |microsites | ||
+ | |CMS |**Centrální místo služeb** | ||
+ | |KIVS | ||
+ | |||