Domain Report 2021
CZ.NIC, z.s.p.o. je zájmové sdružení právnických osob založené v roce 1998 předními poskytovateli internetových služeb v České republice. K hlavním úkolům a aktivitám sdružení patří zajištění provozu doménového registru .CZ a DNS serverů pro českou doménu nejvyšší úrovně (ccTLD).
Domain report je každoročně vydávaná on-line publikace, která nabízí klíčová statistická fakta o stavu a vývoji domény .CZ, již primárně využívají subjekty v České republice – jednotlivci i organizace.
Grafy a tabulky jsou uspořádané do několika oddílů, které ilustrují různé aspekty provozu registru a domény. Grafy jsou většinou interaktivní, dodatečné informace lze získat umístěním kurzoru myši nad jednotlivé prvky. V grafech s více proměnnými lze každou z proměnných vypnout nebo zapnout kliknutím na odpovídající položku v legendě.
Registrace domén
V loňském domain reportu jsme pozorovali zrychlený růst počtu domén, který byl zřejmě způsoben pandemií COVID-19. Tento trend pokračoval i v roce 2021: počet domén vzrostl na více než 1,42 milionu, což znamená 3,8% meziroční růst a 7,1% zvýšení oproti konci roku 2019.
Následující graf ukazuje měsíční počty doménových registrací v průběhu tří posledních let. V roce 2021 se největší nárůsty (v měsících leden–březen a listopad–prosinec) kryly s vlnami pandemie v České republice.
Doménový zeměpis
Každá doména je registrována na konkrétního držitele, což může být fyzická osoba nebo společnost – každá z těchto dvou kategorií držitelů má skoro přesně 50% podíl. Držitelé většiny domén pod .CZ (1,31 milionu, tj. 91,8 %) přirozeně mají českou adresu. Následující tabulka a mapa ukazují jejich rozložení ve 14 krajích ČR a též počet domén na 100 obyvatel každého kraje. Kraji s největším relativním meziročním přírůstkem jsou Praha (0,84 %) a Zlínský kraj (0,49 %), nejmenší relativní přírůstek naproti tomu v roce 2021 vykázal Kraj Vysočina (0,08 %).
| Kraj | Domén | na 100 obyvatel |
|---|---|---|
| Praha | 420 208 | 31.87 |
| Jihomoravský | 159 177 | 13.37 |
| Středočeský | 137 808 | 9.97 |
| Moravskoslezský | 98 589 | 8.21 |
| Zlínský | 61 104 | 10.48 |
| Jihočeský | 55 230 | 8.58 |
| Ústecký | 52 239 | 6.36 |
| Pardubický | 49 454 | 9.48 |
| Královéhradecký | 48 581 | 8.81 |
| Olomoucký | 45 548 | 7.21 |
| Plzeňský | 44 170 | 7.50 |
| Vysočina | 37 697 | 7.39 |
| Liberecký | 37 595 | 8.48 |
| Karlovarský | 15 843 | 5.38 |
Podíl zahraničních držitelů domén je v současné době 8,2 %. Rozdělení počtu domén podle zemí bydliště jejich držitele ukazuje tato tabulka:
| Stát | Domén | ||
|---|---|---|---|
Slovensko
|
Slovensko | 26 672 | 26672 |
Německo
|
Německo | 14 478 | 14478 |
Spojené státy
|
Spojené státy | 13 149 | 13149 |
Čína
|
Čína | 6 949 | 6949 |
Francie
|
Francie | 6 566 | 6566 |
Polsko
|
Polsko | 5 586 | 5586 |
Spojené království
|
Spojené království | 5 185 | 5185 |
Nizozemsko
|
Nizozemsko | 4 074 | 4074 |
Bahamy
|
Bahamy | 3 619 | 3619 |
Švýcarsko
|
Švýcarsko | 3 161 | 3161 |
| Other | 27 417 | 27417 |
Změny během posledních tří let jsou vidět v následujícím grafu. Růst Baham pozorovaný vloni nadále trvá, ukazuje však již známky saturace. Slovensko, Čína, USA a Francie ukazují růstový trend, zatímco Německo pokračuje v pomalém poklesu. Do jisté míry překvapující je fakt, že Rakousko zaujímá, i přes geografickou blízkost a dlouhou společnou historii, až 13. pozici s 2 533 doménami, což je srovnatelné s Malajsií.
Následující interaktivní mapa zachycuje celosvětové rozložení adres držitelů .CZ domén. Nejvíce jich je na severní polokouli (Evropa a Severní Amerika), menší počty domén jsou však zaregistrovány i v exotických zemích jako je Mongolsko, Nepál, Bolívie, různé ostrovy v Karibiku a země subsaharské Afriky.
Doménová jména
Každou doménu druhé úrovně identifikuje v registru .CZ její unikátní
jmenovka (label, část před .cz). Podle RFC 1035 může
jmenovka sestávat nejvýše ze 63 znaků. Příliš dlouhá doménová jména
ovšem nejsou pro praktické použití příliš vhodná, a tak pouze pět .CZ
domén má jmenovky s maximální povolenou délkou. Krátká doménová jména
jsou naproti tomu výrazně populárnější. Pokud jde třeba o jednoznakové
jmenovky, tak všech 36 možností (26 písmen anglické abecedy a 10 číslic)
už je zabraných.
Následující histogram ukazuje skutečné rozdělení délek jmenovek. Medián je 10 znaků.
Provoz DNS
CZ.NIC v současné době provozuje více než 120 DNS serverů pro zónu .CZ, rozmístěných ve 12 zemích ze 4 kontinentů. Denně se na ně obrací v průměru 1,25 milionu různých resolverů se zhruba 16 tisíci dotazů za vteřinu (QPS). Požadavky resolverů se doručují „nejbližšímu“ serveru v závislosti na nastavení směrování IP anycastu. Výsledné globální schéma komunikace ukazuje následující diagram, v němž je zachyceno průměrné rozdělení QPS z top 15 zemí v posledních třech měsících roku 2021. Významný objem provozu ze Spojených Států pochází především od velkých poskytovatelů obsahu, kteří sídlí v USA.
DNS přes IPv6
Následující graf ukazuje, že významná většina domén druhé úrovně již má autoritativní DNS servery odpovídající na dotazy přes IPv4 i IPv6. Pro úplnost ještě dodejme, že 4 domény mají své DNS servery pouze na IPv6.
POZNÁMKA: Tyto výsledky nejsou srovnatelné s těmi, které jsme zveřejnili v předchozích domain reportech kvůli změněné metodě klasifikace: oproti dřívějšku nyní započítáváme také domény mající své DNS servery mimo doménu .CZ.
Zastoupení IPv6 v DNS provozu je výrazně nižší – u autoritativních serverů je to jedna třetina, a u veřejného resolveru ODVR méně než desetina:
DNSSEC
Bezpečnostní rozšíření DNS (DNSSEC) umožňují zabezpečit data v DNS
prostřednictvím kryptografie s veřejným klíčem. V posledním desetiletí
investovalo sdružení CZ.NIC mnoho úsilí do popularizace a praktického
nasazení DNSSEC. Doména .CZ byla jednou z prvních domén nejvyšší úrovně,
kde byl DNSSEC zaveden. CZ.NIC také aktivně podporuje správce domén
druhé úrovně ve využívání automatické správy DNSSEC klíčů pomocí
zdrojových záznamů CDS a CDNSKEY (viz RFC 7344 a 8078).
Nasazování DNSSEC
Následující graf ukazuje rostoucí počty domén druhé úrovně zabezpečených pomocí DNSSEC (modré sloupečky) v porovnání s celkovým počtem .CZ domén (černá čára).
I když v absolutních číslech počet zabezpečených domén vzrostl, jejich relativní podíl v roce 2021 poklesl – v současné době činí 59,5 %. Důvody pro tento pokles není snadné určit, detailní analýzu tohoto trendu plánujeme uskutečnit v roce 2022.
Algoritmy DNSSEC
Důležitým provozním aspektem nasazení DNSSEC je volba šifrovacího algoritmu. Následující graf ukazuje, jak se měnilo zastoupení jednotlivých algoritmů v doméně .CZ od roku 2008.
Jak je zřejmé, až do roku 2015 byl absolutně dominantním algoritmem RSASHA1 (RSASHA1-NSEC3-SHA1 je stejný, pouze slouží navíc jistým účelům zpětné kompatibility). Tento algoritmus používá rozptylovací (hash) funkci SHA-1, o níž se ví, že je slabá, ovšem podle aktuálních doporučení ještě nepředstavuje žádné významnější ohrožení bezpečnosti DNSSEC. Předchozí graf ukazuje, že migrace na bezpečnější kryptografické algoritmy je téměř dokončena, neboť už jen méně než 5 % domén druhé úrovně pod .CZ nadále používá ony slabší algoritmy.
DANE
DANE (DNS-based Authentication of Named Entities) je technologie využívající hierarchie DNS ve spojení s DNSSEC k ověření pravosti digitálních certifikátů X.509.
Z celkového počtu 696 940 různých mailových serverů specifikovaných v
MX záznamech všech .CZ domén druhé úrovně jich pouze
462 (0,07 %) má odpovídající DANE
záznam typu TLSA. Vzhledem ke koncentraci poštovních služeb
vychází výrazně lépe podíl .CZ domén používajících mailové servery
chráněné pomocí DANE – je jich 11,1 %
(158 450 domén). Jejich rozdělení mezi tři
nejpoužívanější TCP porty ukazuje následující histogram:
Identifikovali jsme také 195 domén s DANE záznamy
pro webové služby běžící buď na www.<doména>.cz anebo
na <doména>.cz. V meziročním srovnání to sice znamená
nárůst o 14,7 %, tento počet je však stále zanedbatelný – širší využití
DANE pro webové služby zřejmě nadále není na obzoru.
Serverový software
Tento oddíl obsahuje odhady tržních podílů různých implementací nejběžnějších služeb Internetu: DNS, webu a e-mailu. Data byla získána pomocí dotazů na všechny domény druhé úrovně v prosinci 2021 s využitím nástroje DNS crawler. I přes mírně vylepšené algoritmy pro identifikaci implementací je stále potřeba brát výsledky s rezervou, neboť většinou závisejí na ochotě administrátorů jednotlivých serverů ke zveřejnění pravdivých informací.
Je také třeba brát v úvahu, že stejnou doménu může obsluhovat více různých serverů. Pokud takové servery používají rozdílné implementace, započte se taková doména všem implementacím.
Autoritativní DNS servery
Detekované implementace autoritativních DNS serverů spolu s jejich početním zastoupením uvádí následující tabulka (samostatně pro IPv4 a IPv6).
| Software | Domén | Servery | Domén | Servery |
|---|---|---|---|---|
| Knot DNS | 538 541 | 269 | 464 961 | 156 |
| unknown | 430 275 | 6 787 | 393 569 | 4 161 |
| BIND | 117 630 | 4 608 | 73 285 | 751 |
| PowerDNS | 111 059 | 2 053 | 79 556 | 628 |
| GLUX-DNS | 41 828 | 14 | 38 350 | 9 |
| NSD | 1 201 | 55 | 831 | 15 |
Webové servery
Webové služby v doméně .CZ běží většinou na serveru Apache anebo NGINX. Následující histogram ukazuje
tržní podíly nejběžnějších implementací webových serverů použitých pro
„hlavní“ stránku každé domény, tedy buď
www.<domena>.cz anebo jen
<domena>.cz.
Mailové servery
Další tabulka pak ukazuje tržní podíly implementací mailových serverů
specifikovaných v záznamech typu MX u domén druhé
úrovně.
| Software | Domén | Servery |
|---|---|---|
| Neznámý | 3 334 086 | 1 819 201 |
| Postfix | 640 681 | 212 381 |
| Exim | 72 745 | 17 765 |
| Microsoft | 38 409 | 34 866 |
| IceWarp | 22 653 | 17 938 |
| Haraka | 12 095 | 351 |
| Sendmail | 9 176 | 1 147 |
| Kerio | 3 647 | 1 966 |
| qmail | 557 | 30 |
| Symantec | 451 | 141 |
| Barracuda | 249 | 55 |
Webový obsah
DNS crawler se používá také k pravidelnému stahování obsahu webových stránek všech domén druhé úrovně, za podmínek uvedených v popisu projektu. V předchozím domain reportu jsme sebraná data podrobili základní automatické klasifikaci a následně provedli detailnější ruční klasifikaci na vzorku vybraném z podmnožiny „normálních“ webových stránek.
V letošním roce jsme použili experimentální model strojového učení k
detailní automatické klasifikaci všech domén druhé úrovně, se
stejnými kategoriemi obsahu jako u loňské kombinované klasifikace.
Vyvinuli jsme SVM
klasifikátor založený na statistice TF-IDF a jako
tréninkovou sadu jsme použili vzorek 1 250 ručně klasifikovaných domén.
Predikce klasifikátoru nejsou stoprocentní, ale stačí na věrohodné
závěry (f-score = 0.82). K dosažení lepší výkonnosti bude
pravděpodobně zapotřebí rozsáhlá trénovací sada, jakož i některé změny
kategorií obsahu.
Podrobné výsledky automatické klasifikace webového obsahu staženého 23. prosince 2021 ukazuje následující histogram: