Domain Report 2019
CZ.NIC, z.s.p.o. je zájmové sdružení právnických osob založené v roce 1998 předními poskytovateli internetových služeb v České republice. K hlavním úkolům a aktivitám sdružení patří zajištění provozu doménového registru .CZ a DNS serverů pro českou doménu nejvyšší úrovně (ccTLD).
Domain report je každoročně vydávaná on-line publikace, která nabízí klíčová statistická fakta o stavu a vývoji domény .CZ, již primárně využívají subjekty v České republice – jednotlivci i organizace.
Grafy a tabulky jsou uspořádané do několika oddílů, které ilustrují různé aspekty provozu registru a domény. Grafy jsou většinou interaktivní, dodatečné informace lze získat umístěním kurzoru myši nad jednotlivé prvky. V grafech s více proměnnými lze každou z proměnných vypnout nebo zapnout kliknutím na odpovídající položku v legendě.
Domain reporty z předchozích let je možné najít na této stránce.
Doména .CZ v kostce
Doména .CZ je národní doména nejvyšší úrovně (ccTLD), a proto je primárně využívána subjekty v České republice – jednotlivci i organizacemi. Koncem roku 2019 bylo pod doménou .CZ registrováno téměř 1,33 milionu domén druhé úrovně. Následující časová řada ukazuje charakteristickou růstovou křivku ve tvaru S, která zachycuje vývoj počtu domén druhé úrovně pod .CZ v posledních dvou dekádách. Po relativně pomalém začátku následovalo období zrychleného růstu. Od roku 2015 se začíná růst zřetelně saturovat a lze očekávat, že v blízké budoucnosti začne počet domén druhé úrovně stagnovat.
Doménový zeměpis
DNS domény žijí v kyberprostoru, mají ale také několik vazeb na pozemskou geografii. Jednou z nich je adresa držitele domény, jak je zapsána v registru .CZ. Většina držitelů domén (1,23 milionu, tj. 93 %) má přirozeně své adresy v ČR. Následující tabulka ukazuje jejich rozložení mezi 14 krajů, ale také, což je možná ještě zajímavější, počty domén na 100 obyvatel každého kraje. Mapa napravo znázorňuje krajové rozložení adres držitelů domén také graficky.
| Kraj | Celkem domén | na 100 obyvatel |
|---|---|---|
| Praha | 403 453 | 30,6 |
| Jihomoravský | 149 736 | 12,6 |
| Středočeský | 123 937 | 9,0 |
| Moravskoslezský | 93 962 | 7,8 |
| Zlínský | 54 861 | 9,4 |
| Jihočeský | 52 565 | 8,2 |
| Ústecký | 49 311 | 6,0 |
| Pardubický | 46 579 | 8,9 |
| Královéhradecký | 46 459 | 8,4 |
| Olomoucký | 45 053 | 7,1 |
| Plzeňský | 40 167 | 6,8 |
| Liberecký | 36 304 | 8,2 |
| Vysočina | 34 939 | 6,9 |
| Karlovarský | 15 232 | 5,2 |
| Neznámý | 41 197 | NA |
Přibližně 7 % držitelů domén pod .CZ (přesně 94 062) má své adresy v zemích mimo Českou republiku. Prvních deset z nich s nejvyšším počtem držitelů ukazuje následující tabulka. Není jistě překvapivé, že nejvíce zahraničních držitelů sídlí na Slovensku, vždyť až do roku 1992 jsme se slovenskými přáteli sdíleli společnou doménu .CS.
| Země | Počet domén | ||
|---|---|---|---|
SK
|
Slovensko | 23 309 | 23309 |
DE
|
Německo | 15 907 | 15907 |
US
|
Spojené státy | 9 328 | 9328 |
GB
|
Spojené království | 5 331 | 5331 |
PL
|
Polsko | 4 785 | 4785 |
NL
|
Nizozemsko | 4 433 | 4433 |
FR
|
Francie | 4 218 | 4218 |
CN
|
Čína | 2 704 | 2704 |
CH
|
Švýcarsko | 2 633 | 2633 |
AT
|
Rakousko | 2 308 | 2308 |
| Ostatní | 19 522 | 19522 |
Následující mapa má nastavitelné zvětšení a zachycuje rozložení držitelů .CZ domén v celosvětovém měřítku. Je třeba zajímavé, že nějaké .CZ domény jsou registrovány i v takových zemích, jako je Salvador, Nová Kaledonie, Madagaskar anebo dokonce Antarktida!
Registrace nových domén
V doménovém registru .CZ bylo v uplynulém roce provedeno 180 331 registrací domén. Následující graf ukazuje srovnání počtu registrací za každý kalendářní měsíc v uplynulých třech letech. Kromě obecného trendu zpomalování růstu v něm můžeme pozorovat i typickou sezónní variabilitu se silně aktivním prvním čtvrtletím a dalším (menším) vrcholem aktivity v měsících říjnu a listopadu.
Doménová jména
Každá doména druhé úrovně je v registru .CZ jednoznačně
identifikována svým štítkem (label) – to je ta část doménového
jména před .cz. Podle RFC 1035 může
štítek sestávat nejvýše ze 63 znaků. Příliš dlouhá doménová jména ovšem
nejsou pro praktické použití příliš vhodná, a tak pouze pět .CZ domén má
štítky s maximální povolenou délkou. Krátká doménová jména jsou naproti
tomu výrazně populárnější. Pokud jde třeba o jednoznakové štítky, tak
všech 36 možností (26 písmen anglické abecedy a 10 číslic) už je
zabraných.
Následující histogram ukazuje skutečné rozdělení délek štítků. Medián je 10 znaků.
Držitelé domén
Následující histogram ukazuje rozdělení jednotlivých držitelů .CZ domén (jichž je celkem 684 372) vzhledem k počtu domén držených každým z nich. Je z něj zřejmé, že velká většina (78 %) držitelů má zaregistrováno pouze jedno doménové jméno. Na druhém kraji histogramu pak najdeme malou skupinku 340 držitelů, kteří mají zaregistrováno více než 100 domén.
IPv6
Další graf ukazuje úroveň podpory IPv6 v rámci .CZ domén. Klasifikace je založena na verzích IP adres DNS serverů pro každou doménu druhé úrovně. I když zastoupení IPv6 (v režimu „dual stack“) v posledních letech stále narůstá, současná úroveň podpory (32 %) má do uspokojivého stavu ještě hodně daleko. A pouze v 87 doménách byli správci natolik odvážní, že se už vydali cestou čistého IPv6, tedy bez IPv4!
DNSSEC
Bezpečnostní rozšíření DNS (DNSSEC) umožňují zabezpečit data v DNS prostřednictvím kryptografie s veřejným klíčem. V posledním desetiletí investovalo sdružení CZ.NIC mnoho úsilí do popularizace a praktického nasazení DNSSEC. Díky tomu byla doména .CZ mezi prvními TLD podporujícími DNSSEC, a také dnes je s 60 % domén druhé úrovně používajících DNSSEC značně nad celosvětovým průměrem.
Nasazování DNSSEC
Následující graf nabízí srovnání rostoucího počtu domén zabezpečených pomocí DNSSEC (modré sloupce) s celkovým počtem .CZ domén (černá čára). Za povšimnutí stojí, že i přes obecné zpomalení celkového růstu zastoupení domén s DNSSEC nadále narůstá. Tento chvályhodný trend je pravděpodobně důsledkem zavedení automatizované správy sad klíčů, k němuž došlo v roce 2017.
Algoritmy DNSSEC
Důležitým provozním aspektem nasazení DNSSEC je volba šifrovacího algoritmu. Následující graf ukazuje, že zastoupení jednotlivých algoritmů se v poslední době velmi vylepšilo a nejméně bezpečné algoritmy jsou postupně nahrazovány silnějšími.
DANE
DANE (DNS-based Authentication of Named Entities) je technologie využívající hierarchie DNS ve spojení s DNSSEC k ověření pravosti digitálních certifikátů X.509.
Z celkového počtu 237 950 různých mailových serverů specifikovaných v
MX záznamech všech .CZ domén druhé úrovně jich pouze
417 (0,17 %) mělo odpovídající DANE
záznam typu TLSA. Vzhledem ke koncentraci poštovních služeb
vychází výrazně lépe podíl .CZ domén používajících mailové servery
chráněné pomocí DANE – je jich 6,7 %
(88 869 domén).
Identifikovali jsme také 180 domén s DANE záznamy
pro webové služby běžící buď na www.<doména>.cz anebo
na <doména>.cz. Tento velmi nízký počet je důsledkem
toho, že DANE byla dosud výrobci webových prohlížečů z několika důvodů
ignorována.
Serverový software
Tento oddíl nabízí údaje o softwarových implementacích, které se v doméně .CZ používají pro hlavní internetové služby – DNS, web a e-mail. Data jsme v tomto případě získali pomocí dotazů na všechny domény druhé úrovně. Využili jsme k tomu nástroj DNS crawler.
Autoritativní DNS servery
Při určování implementace a verze autoritativního DNS serveru využíváme informace, které o sobě servery samy poskytují. Ty ovšem často chybějí anebo nejsou správné – některé servery jsou zkonfigurované tak, že poskytují falešné údaje. Výsledky jsou kromě toho ovlivněné také tím, že jedno doménové jméno může být delegováno na více DNS serverů. Mají-li tyto servery různé implementace, přispívá taková doména do počtu všech nalezených implementací.
Se všemi těmito výhradami vypadají detekované implementace DNS serverů takto:
| Software | Domény | Servery | Domény | Servery |
|---|---|---|---|---|
| Knot DNS | 401 753 | 196 | 379 637 | 112 |
| BIND | 120 007 | 5 603 | 75 164 | 855 |
| PowerDNS | 113 292 | 1 734 | 77 729 | 574 |
| GLUX-DNS | 40 237 | 12 | 40 164 | 6 |
| NSD | 1 276 | 60 | 898 | 23 |
| Jiný nebo neznámý | 816 663 | 12 644 | 674 401 | 6 125 |
Následující tabulka ukazuje podrobná data o detekovaných verzích Knot DNS – autoritativního DNS serveru vyvinutého sdružením CZ.NIC. Vypadá to, že se v mnoha případech nadále používají verze 2.7 a starší. Chtěli bychom proto využít této příležitosti a požádat jejich správce, aby neprodleně upgradovali.
| Verze | Domény | Servery | Domény | Servery | |
|---|---|---|---|---|---|
| 1 | 2.6.7 | 184 551 | 14 | 182 487 | 6 |
| 2 | 2.8.4 | 147 755 | 25 | 147 672 | 18 |
| 3 | Neznámá | 39 257 | 3 | 39 195 | 2 |
| 4 | 2.7.6 | 19 158 | 25 | 1 699 | 17 |
| 5 | 2.7.2 | 5 912 | 2 | 4 554 | 2 |
| 6 | 2.8.3 | 2 183 | 18 | 2 114 | 10 |
| 7 | 2.9.1 | 2 416 | 27 | 1 849 | 15 |
| 8 | 1.6.4 | 1 306 | 1 | 1 304 | 1 |
| 9 | 2.3.3 | 491 | 3 | 491 | 3 |
| 10 | 2.3.0 | 278 | 2 | 278 | 2 |
Webové servery
Webové služby v doméně .CZ běží většinou na serveru Apache anebo NGINX. V tomto průzkumu je zahrnuta
„hlavní“ stránka každé domény, tedy buď
www.<domena>.cz anebo jen
<domena>.cz, pokud existuje a běží na ní webový
server. Stejně jako v případě DNS může být pro stejnou doménu použito
více implementací zároveň. I zde pak taková doména přispívá do počtu
každé z implementací.
| Software | Domény | Servery | Domény | Servery |
|---|---|---|---|---|
| Apache | 637 044 | 31 807 | 228 070 | 8 026 |
| NGINX | 310 595 | 13 510 | 124 245 | 2 011 |
| Microsoft-IIS | 61 767 | 4 430 | 9 065 | 213 |
| OpenResty | 48 301 | 258 | 13 731 | 22 |
| ATS | 33 221 | 83 | 52 | 42 |
| Cloudflare | 8 253 | 13 284 | 7 533 | 12 947 |
| lighttpd | 840 | 184 | 45 | 22 |
| Jiný nebo neznámý | 125 786 | 24 404 | 19 922 | 3 773 |
Mailové servery
Následující tabulka ukazuje tržní podíly jednotlivých implementací mailových serverů. Data zahrnují servery vyznačené pro každou doménu ve všech MX záznamech. I zde je třeba brát výsledky s rezervou – mnozí správci nejsou ochotni odhalit identitu svých mailových serverů.
| Software | Domény | Servery |
|---|---|---|
| Postfix | 360 291 | 37 638 |
| Exim | 26 621 | 3 867 |
| Microsoft | 21 857 | 19 983 |
| Haraka | 12 712 | 31 |
| IceWarp | 11 479 | 7 876 |
| Sendmail | 5 331 | 747 |
| rblsmtpd | 2 024 | 534 |
| Kerio | 1 003 | 624 |
| Barracuda | 184 | 34 |
| Symantec | 105 | 53 |
| qmail | 75 | 33 |
| Jiný nebo neznámý | 409 773 | 119 264 |
Obsah webových stránek
Pro klasifikaci obsahu hlavních webových stránek (s doménovými jmény
www.<domena>.cz) jsme použili náhodný vzorek 1 200
domén. Výsledky jsou shrnuty v následujícím sloupcovém grafu.
Doména z pohledu resolverů
Sdružení CZ.NIC v současné době provozuje více než 100 DNS serverů pro zónu .CZ, rozmístěných v 17 lokalitách, 10 zemích a 4 kontinentech. V průměru se na ně obrací denně 1,25 milionu různých resolverů. Dotazy každého resolveru jsou směrovány vždy na „nejbližší“ server podle konfigurace IP anycast routingu.
Dotazy DNS
Počet dotazů za sekundu (QPS) zodpovězených všemi .CZ servery osciluje mezi 12 a 18 tisíci. Zhruba 30 % dotazů se posílá pomocí IPv6. Následující graf ukazuje denní průměry QPS během posledního čtvrtletí roku 2019.
Latence DNS
Latence (časové zpoždění) DNS transakcí je důležitým faktorem, který ovlivňuje celkovou kvalitu internetového připojení, jak ji vnímají koncoví uživatelé. V různých částech světa se resolvery u svých dotazů na .CZ zónu mohou setkávat s různými hodnotami zpoždění, které závisí nejen na fyzickém rozmístění DNS serverů zóny .CZ, ale také na konfiguraci IP routingu.
Sdružení CZ.NIC realizovalo v roce 2019 studii dostupnosti DNS serverů zóny .CZ. Jejím cílem bylo získat relevantní data, která mohou být využita k plánování budoucích instalací DNS serverů. Ze záznamů o DNS provozu jsme určili střední dobu odezvy (round-trip time, RTT) pro klienty každého serveru, kteří své dotazy posílají pomocí TCP. Následující mapa světa shrnuje získané výsledky.
Zcela podle očekávání byly nejnižší hodnoty RTT zjištěny pro resolvery v České republice, od nich pochází přibližně jedna třetina všech dotazů. Obecně lze říct, že latence je docela uspokojivá v téměř všech zemích Evropy s výjimkou Francie, Španělska, Portugalska a Irska. Opravdu špatné hodnoty RTT (300 ms a více) byly zjištěny v několika exotických oblastech, z nichž ovšem pochází jen poměrně málo dotazů. Výsledky v těchto oblastech mohou být také negativně ovlivněny celkově chabou úrovní internetové konektivity.
V posledním obrázku jsou vyneseny střední hodnoty RTT proti průměrnému počtu dotazů pro 50 zemí s nejvyšším počtem dotazů. Je z něj jasně vidět, že některé světové regiony, zejména jihovýchodní Asie a Austrálie, jsou dobrými kandidáty pro budoucí instalace DNS serverů.
