V rámci e-infrastruktury CESNET naplňujeme zákonné požadavky na blokaci nepovolených webů. Tato stránka popisuje důvody a technickou realizaci blokace.
Uvedené předpisy ukládají poskytovatelům připojení k internetu na území České republiky povinnost zamezit v přístupu k internetovým stránkám dle rozhodnutí příslušných orgánů výkonu státní správy:
Technický popis blokace
Blokujeme pomocí DNS
Blokujeme doménová jména na veřejných rekurzivních resolverech. Tato technika je nenáročná na prostředky a způsobuje jen minimální vedlejší škody.
Standardním řešením pro blokování určitých doménových jmen je technologie RPZ (Response Policy Zone). Jedná se o speciální zónový soubor, který namísto obyčejných DNS dat obsahuje instrukce k blokování, případně pozměňování odpovědí DNS serveru. Sdružení CESNET pro tyto účely zřídilo veřejně dostupnou zónu rpz.cesnet.cz na serveru nsa.cesnet.cz. Obsahuje jeden testovací a jeden ostrý záznam, včetně několika metadat:
blokovane.internetovehazardnihry.cz IN CNAME *.poker.cesnet.cz.
1xbet.com IN CNAME *.poker.cesnet.cz.
_info.1xbet.com IN TXT "pub: 26.7.2017"
_sha256sum.1xbet.com IN TXT ( "c44ff24b5148803d223d2d9495863"
"993c0cfe0f37775583f2ff953e0427e528b"
"Zverejnovane-udaje-ze-Seznamu-"
"nepovolenych-internetovych-her_v1.pdf" )
Takto nastavená RPZ zóna provádí naprosto minimální zásahy do DNS provozu. Pouze přesná shoda doménového jména vyvolá změnu IP adresy v odpovědi. To je výhoda například v porovnání s blokováním pomocí prázdných DNS zón, kdy by došlo k zablokování nejen určeného doménového jména, ale i všech případných subdomén. Blokování subdomén přitom ani předpisy nepřikazují.
Informační stránka
Blokovaná doménová jména nahrazujeme v DNS odpovědích adresou serveru poker.cesnet.cz. Jedná se o samostatný server se základní instalací webserveru NGINX, který na jakýkoli dotaz vrátí informační stránku o blokování.
V souladu s RFC 7725 vrací stránka speciální stavový kód HTTP 451 – Nedostupné z právních důvodů, který byl přesně pro tento účel standardizován. Server také vkládá HTTP hlavičku, identifikující entitu, která provedla blokaci. Relevantní část konfigurace webserveru vypadá takto:
error_page 404 403 451 =451 /451.html;
add_header Link "<https://www.cesnet.cz/>; rel=\"blocked-by\"" always;
Použití v DNS serveru BIND
Vlastní nasazení blokace v DNS resolveru BIND je otázkou jen několika málo konfiguračních voleb. Nejprve je nutné nakonfigurovat RPZ zónu. V tomto případě jako sekundární, přenášenou zónovým přenosem z master serveru:
zone "rpz.cesnet.cz" {
type slave;
masters {
2001:718:1:101::144:228;
195.113.144.228;
};
file "rpz.cesnet.cz";
};
Pak už jen stačí přidat definici RPZ zóny do globální konfigurace:
options {
…
response-policy {
zone "rpz.cesnet.cz";
};
};
Použití v Unbound
DNS resolver Unbound bohužel dosud RPZ zóny nepodporuje. Na druhou stranu, zablokování konkrétního doménového jména je možné dosáhnout velmi triviálně v konfiguraci. Je však nutné nahrazovat přímo IP adresy (tedy A/AAAA záznamy). Použití aliasu (CNAME) možné není:
server:
local-data: "1xbet.com IN A 78.128.216.33"
local-data: "1xbet.com IN AAAA 2001:718:ff05:202::33"
Abychom se vyhnuli spravování dvojí databáze, používáme jednoduchý skript, který stáhne RPZ zónu a následně ji převede do podoby konfiguračního souboru. Takový skript spouštíme cronem jednou denně.
Seznam blokovaných stránek spravujeme ručně
Seznamy nejsou státními orgány vydávány ve spolehlivě strojově zpracovatelném formátu, změny sice jsou automatizovaně sledovány, ale zpracování a zanášení je prováděno ručně. Ze strany sdružení CESNET je také prováděna kontrola seznamů proti několika dalším nezávislým zdrojům, které se snaží o totéž (např. zde či zde).
S ohledem na výše uvedené není reálné, aby blokace a odstranění blokací proběhlo bezprostředně po změně seznamů. Zároveň se nelze vyhnout vadám způsobeným nutností přepisu nestrojově zpracovatelného formátu do strojově zpracovatelné formy.
Kontrola seznamu zakázaných stránek probíhá bezprostředně.
Na základě uvedeného je třeba upozornit, že ověření přesnosti a validity seznamu zakázaných stránek spočívá pouze na daném poskytovateli připojení k internetu.
Řešení je k dispozici
Jak již bylo uvedeno, příslušná zóna rpz.cesnet.cz je na serveru nsa.cesnet.cz veřejně dostupná a je možné do ní nahlédnout například tímto příkazem:
$ dig rpz.cesnet.cz axfr @nsa.cesnet.cz
Každý tedy může ověřit, která doménová jména jsou rekurzivními resolvery filtrována, případně zónu použít jako zdroj dat pro své vlastní DNS servery.
Princip síťové neutrality – otevřený internet
I přes výše uvedené stále platí princip rovnoprávnosti přenášených dat po internetu. Vše o něm, o legislativním zakotvení včetně výjimek z něj v podobě nutnosti blokování obsahu, můžete přehledně nalézt na webových stránkách Českého telekomunikačního úřadu.
S účinností od 1. 1. 2026 byla ČTÚ svěřena nově i kompetence vést tzv. jednotný seznam blokovaných internetových stránek (§ 115b ZEK), který doplní dosavadní praxi, a sjednotí na jednom místě údaje ze seznamů vedených dalšími orgány státní správy, jako jsou například Ministerstvo financí, Státní ústav pro kontrolu léčiv nebo Státní zemědělská a potravinářská inspekce.
