CZ.NIC, z.s.p.o. je zájmové sdružení právnických osob založené v roce 1998 předními poskytovateli internetových služeb v České republice. K hlavním úkolům a aktivitám sdružení patří zajištění provozu doménového registru .CZ a DNS serverů pro českou doménu nejvyšší úrovně (ccTLD).

Domain report je každoročně vydávaná on-line publikace, která nabízí klíčová statistická fakta o stavu a vývoji domény .CZ, již primárně využívají subjekty v České republice – jednotlivci i organizace.

Grafy a tabulky jsou uspořádané do několika oddílů, které ilustrují různé aspekty provozu registru a domény. Grafy jsou většinou interaktivní, dodatečné informace lze získat umístěním kurzoru myši nad jednotlivé prvky. V grafech s více proměnnými lze každou z proměnných vypnout nebo zapnout kliknutím na odpovídající položku v legendě.

Registrace domén

Ve dvou předcházejících domain reportech (2020 and 2021) jsme zaznamenali zrychlený meziroční nárůst celkového počtu .CZ domén, a to o 3,2 % a 3,8 %. V roce 2022 jsme pozorovali o něco menší meziroční nárůst o 2,7 %. Celkový počet domén druhé úrovně registrovaných pod .CZ byl na konci minulého roku 1 463 116. Znatelný nárůst počtu domén během posledních tří let přerušil předchozí trend směřující k saturaci.

Přírůstky pozorované v letech 2020 a 2021 mohly být nepochybně připsány následkům pandemie COVID-19, kdy se velká část obchodních i společenských aktivit přesunula do online prostoru. Předpokládali jsme proto, že by mohl být nárůst v roce 2022 podobně spojován s novou velkou krizí, totiž agresí Ruské federace proti Ukrajině. Bližší zkoumání však ukázalo, že tato hypotéza je mylná. Následující graf ukazuje měsíční počty doménových registrací v roce 2022 v porovnání s posledním „normálním“ rokem 2019 a prvním rokem pandemie COVID-19 (2020). Zatímco v roce 2020 můžeme vidět dvě výrazná maxima v obdobích horšící se pandemické situace, registrace v roce 2022 měly obvyklejší průběh bez zřetelné anomálie poblíž začátku války na Ukrajině.

Doménový zeměpis

Každá doména je registrována na konkrétního držitele, což může být fyzická osoba nebo společnost – každá z těchto dvou kategorií držitelů má skoro přesně 50% podíl. Držitelé většiny domén pod .CZ (1 322 088, tj. 90,36%) přirozeně mají českou adresu. Následující tabulka a mapa ukazují rozložení počtu domén ve 14 krajích ČR a též počet domén na 100 obyvatel každého kraje. Kraji s největším relativním meziročním přírůstkem počtu domén jsou Zlínský (2,1 %) a Praha (1,7 %), nejmenší relativní přírůstek naproti tomu v roce 2022 vykázal Karlovarský kraj (0,03 %).

Kraj Domén na 100 obyvatel
Praha 427 488 32,42
Jihomoravský 160 366 13,47
Středočeský 139 586 10,10
Moravskoslezský 99 591 8,29
Zlínský 62 386 10,70
Jihočeský 55 851 8,68
Ústecký 52 311 6,37
Pardubický 49 829 9,55
Královéhradecký 49 185 8,92
Olomoucký 45 746 7,24
Plzeňský 44 702 7,59
Vysočina 37 974 7,45
Liberecký 37 964 8,56
Karlovarský 15 847 5,38

Podíl domén se zahraničními držiteli je v současné době 9,64 %. Rozdělení počtu domén podle zemí bydliště jejich držitele ukazuje následující tabulka. Za pozornost stojí, že počet domén s držiteli z USA se v roce 2022 více než zdvojnásobil a předstihl Slovensko.

Stát Domén
Spojené státy 29 047 29047
Slovensko 27 119 27119
Německo 15 335 15335
Čína 11 923 11923
Polsko 6 221 6221
Francie 5 707 5707
Itálie 5 612 5612
Spojené království 4 808 4808
Nizozemsko 4 170 4170
Švýcarsko 3 076 3076
Other 28 010 28010

Změny během posledních tří let jsou vidět v následujícím grafu. Kromě Spojených států amerických můžeme pozorovat strmější nárůst u Číny a Itálie. Německo naproti tomu po několika letech pomalého poklesu zaznamenalo nepatrný nárůst.

Následující interaktivní mapa zachycuje celosvětové rozložení adres držitelů .CZ domén. Nejvíce jich je na severní polokouli (Evropa a Severní Amerika), osamělé držitele však najdeme i v exotických zemích jako je Bolívie, Severní Korea, Jemen, různé ostrovy v Karibiku a země subsaharské Afriky.

Doménová jména

Každou doménu druhé úrovně identifikuje v registru .CZ její unikátní jmenovka (label, část doménového jména před .cz). Podle RFC 1035 může jmenovka sestávat nejvýše ze 63 znaků. Příliš dlouhá doménová jména ovšem nejsou pro praktické použití příliš vhodná, a tak pouze osm .CZ domén má jmenovky s maximální povolenou délkou. Krátká doménová jména jsou naproti tomu výrazně populárnější. Pokud jde třeba o jednoznakové jmenovky, tak všech 36 možností (26 písmen anglické abecedy a 10 číslic) už je zabraných.

Následující histogram ukazuje skutečné rozdělení délek jmenovek. Medián je 10 znaků.

Tato tabulka pak ukazuje deset domén s nejdelšími jmény (sufix .cz se nezapočítává):

Doménové jméno Počet znaků
ceske-solarni-osvetleni-eco-bioled-pro-golfova-hriste-skiresort.cz 63
ff7b9170a63aac451924d89512e60fd87accce9a0f7e817300eb69082272ee4.cz 63
hryhryhryhryhryhryhryhryhryhryhryhryhryhryhryhryhryhryhryhryhry.cz 63
nakosikarnecz-lookinlifecz-barahcz-davson98cz-maillefer-clcz-go.cz 63
nonstopradio-zastav-se-a-poslouchej-hity-od-80let-po-soucasnost.cz 63
prvni-nejdelsi-domena-v-ceske-republice-ktera-ma-prave-63-znaku.cz 63
toto-je-velmi-vysoce-kvalitni-domena-takze-vypadni-a-dej-sii-ze.cz 63
vlastnitnejdelsimoznouczdomenujevelmizajimavaaletakyzbytecnavec.cz 63
nepodariloseminajitzadnevhodnejsidomenovejmenokterebybylovolne.cz 62
supervize-metodikysqss-poradenstvi-vzdelavani-socialniprace-vm.cz 62

Provoz DNS

CZ.NIC v současné době provozuje více než 120 DNS serverů pro zónu .CZ, rozmístěných ve 12 zemích na 4 kontinentech. Denně se na ně obrací v průměru 1,25 milionu různých resolverů se zhruba 18 tisíci dotazů za vteřinu (QPS). Požadavky resolverů se doručují „nejbližšímu“ serveru v závislosti na nastavení směrování IP anycastu. Výsledné globální schéma komunikace ukazuje následující diagram, v němž je zachyceno průměrné rozdělení QPS z top 15 zemí v roce 2022. Významný objem provozu ze Spojených států amerických pochází především od velkých poskytovatelů obsahu, kteří tam sídlí.

DNS přes IPv6

Následující graf ukazuje, že významná většina domén druhé úrovně již má autoritativní DNS servery odpovídající na dotazy přes IPv4 i IPv6.

Zastoupení IPv6 v DNS provozu je výrazně nižší – u autoritativních serverů je to jedna třetina, u veřejného resolveru ODVR pak 7 %:

DNSSEC

Bezpečnostní rozšíření DNS (DNSSEC) umožňují zabezpečit data v DNS prostřednictvím kryptografie s veřejným klíčem. V posledním desetiletí investovalo sdružení CZ.NIC mnoho úsilí do popularizace a praktického nasazení DNSSEC. Doména .CZ byla jednou z prvních domén nejvyšší úrovně, kde byl DNSSEC zaveden. CZ.NIC také aktivně podporuje správce domén druhé úrovně ve využívání automatické správy DNSSEC klíčů pomocí zdrojových záznamů CDS a CDNSKEY (viz RFC 7344 a 8078).

Nasazování DNSSEC

Následující graf ukazuje rostoucí počty domén druhé úrovně zabezpečených pomocí DNSSEC (modré sloupečky) v porovnání s celkovým počtem .CZ domén (černá čára).

Poprvé od zavedení DNSSEC v .CZ poklesl absolutní počet domén zabezpečených pomocí DNSSEC. Jejich relativní podíl v současné době činí 57,73 %.

Algoritmy DNSSEC

Důležitým provozním aspektem nasazení DNSSEC je volba šifrovacího algoritmu. Následující graf ukazuje, jak se měnilo zastoupení jednotlivých algoritmů v doméně .CZ od roku 2008.

Jak je zřejmé, až do roku 2015 byl absolutně dominantním algoritmem RSASHA1 (RSASHA1-NSEC3-SHA1 je stejný, pouze slouží navíc jistým účelům zpětné kompatibility). Tento algoritmus používá rozptylovací (hash) funkci SHA-1, o níž se ví, že je slabá, ovšem podle posledních doporučení ještě nepředstavuje žádné významnější ohrožení bezpečnosti DNSSEC. Předchozí graf ukazuje, že migrace na bezpečnější kryptografické algoritmy je téměř dokončena, neboť už jen zhruba 4 % domén druhé úrovně pod .CZ nadále používá ony slabší algoritmy.

DANE

DANE (DNS-based Authentication of Named Entities) je technologie využívající hierarchie DNS ve spojení s DNSSEC k ověření pravosti digitálních certifikátů X.509.

Z celkového počtu 710 041 různých mailových serverů specifikovaných v MX záznamech všech .CZ domén druhé úrovně jich pouze 1003 (0,14%) má odpovídající DANE záznam typu TLSA. Vzhledem ke koncentraci poštovních služeb vychází výrazně lépe podíl .CZ domén používajících mailové servery chráněné pomocí DANE – je jich 9,59 % (140 254 domén). Jejich rozdělení mezi tři nejpoužívanější TCP porty ukazuje následující histogram:

Identifikovali jsme také 97 domén s DANE záznamy pro webové služby běžící buď na www.<doména>.cz anebo na <doména>.cz – v meziročním srovnání to znamená pokles téměř o polovinu. Je zjevné, že použití DANE pro prohlížení webu postupně mizí, neboť výrobci prohlížečů dávají přednost tradiční infrastruktuře PKI.

Serverový software

Tento oddíl obsahuje odhady tržních podílů různých implementací nejběžnějších služeb Internetu: DNS, webu a e-mailu. Data byla získána pomocí dotazů na všechny domény druhé úrovně v prosinci 2022 s využitím nástroje DNS crawler. I přes mírně vylepšené algoritmy pro identifikaci implementací je stále potřeba brát výsledky s rezervou, neboť většinou závisejí na ochotě administrátorů jednotlivých serverů ke zveřejnění pravdivých informací.

Je také třeba brát v úvahu, že stejnou doménu může obsluhovat více různých serverů. Pokud takové servery používají rozdílné implementace, započte se taková doména všem těmto implementacím.

Autoritativní DNS servery

Detekované implementace autoritativních DNS serverů spolu s jejich početním zastoupením uvádí následující tabulka (samostatně pro IPv4 a IPv6).

IPv4
IPv6
Software Domén Servery Domén Servery
Knot DNS 553 033 294 430 830 165
unknown 498 006 6 725 461 023 4 208
PowerDNS 107 559 2 219 77 870 642
BIND 100 561 4 218 69 735 785
GLUX-DNS 40 967 14 40 640 9
NSD 1 232 53 841 16

Webové servery

Webové služby v doméně .CZ běží většinou na serveru Apache anebo NGINX. Následující histogram ukazuje tržní podíly nejběžnějších implementací webových serverů použitých pro „hlavní“ stránku každé domény, tedy buď www.<domena>.cz anebo jen <domena>.cz.

Mailové servery

Další tabulka pak ukazuje tržní podíly implementací mailových serverů specifikovaných v záznamech typu MX u domén druhé úrovně.

Software Domén Servery
Neznámý 842 291 526 083
Postfix 480 103 156 226
Microsoft 39 208 37 379
Exim 25 932 7 071
IceWarp 20 685 1 105
Haraka 12 991 158
Sendmail 5 177 829
Kerio 883 516
Symantec 368 96
qmail 233 12
Barracuda 151 38

Webový obsah

Pro klasifikaci webového obsahu jsme použili data získaná pomocí DNS crawleru a automatický klasifikátor založený na strojovém učení (detaily jsou popsány v ADAM reportu 2/2020).

Následující histogram porovnává výsledky klasifikace webového obsahu v letech 2021 a 2022. Nepozorujeme žádné podstatné rozdíly, pouze v několika kategoriích (Firemní stránka, Zaparkované, HTTP chyba) je vidět jistý nárůst. Menší relativní zastoupení naproti tomu mají v roce 2022 webové stránky s obsahem klasifikovaným jako Blog, Ostatní a Rozcestník.