CZ.NIC, z.s.p.o. je zájmové sdružení právnických osob založené v roce 1998 předními poskytovateli internetových služeb v České republice. K hlavním úkolům a aktivitám sdružení patří zajištění provozu doménového registru .CZ a DNS serverů pro českou doménu nejvyšší úrovně (ccTLD).

Domain report je každoročně vydávaná on-line publikace, která nabízí klíčová statistická fakta o stavu a vývoji domény .CZ, již primárně využívají subjekty v České republice – jednotlivci i organizace.

Grafy a tabulky jsou uspořádané do několika oddílů, které ilustrují různé aspekty provozu registru a domény. Grafy jsou většinou interaktivní, dodatečné informace lze získat umístěním kurzoru myši nad jednotlivé prvky. V grafech s více proměnnými lze každou z proměnných vypnout nebo zapnout kliknutím na odpovídající položku v legendě.

Registrace domén

V loňském domain reportu jsme upozornili na jasné známky saturace časové řady počtu domén druhé úrovně pod .CZ, a pro rok 2020 jsme předpovídali jeho stagnaci či dokonce pokles. Jak ale ukazuje následující graf, tato předpověď nevyšla: počet domén vzrostl na 1,37 milionu, což znamená navýšení o 3,2 % oproti konci roku 2019.

Tento celkem výrazný nárůst v roce 2020 byl bezpochyby způsoben pandemií COVID-19. Ilustruje to následující histogram, v němž jsou vyneseny měsíční počty doménových registrací v posledních třech letech. Největší relativní přírůstky jsou v roce 2020 jasně vidět v obdobích březen–červen a říjen–prosinec, která odpovídají dvěma vlnám pandemie.

Přinejmenším 2 500 domén registrovaných v roce 2020 je pravděpodobně přímo spojeno s pandemií, neboť jejich jména obsahují alespoň jeden z dvanácti vybraných slovních kmenů souvisejících s COVID-19, jako například corona/korona, covid, virus či respirator. Denní počty takových registrací spolu s kumulativními součty ukazuje následující graf. Další detaily je možno nalézt v ADAM reportu 1/2020.

Doménový zeměpis

Každá doména je registrována na konkrétního držitele, což může být fyzická osoba nebo společnost – každý z těchto dvou typů držitelů má skoro přesně 50% podíl. Držitelé většiny domén pod .CZ (1,27 milionu, tj. 92,8 %) přirozeně mají českou adresu. Následující tabulka a mapa ukazuje jejich rozložení ve 14 krajích ČR a též počet domén na 100 obyvatel každého kraje.

Kraj Domén Domains per 100 citizens
Praha 409 145 31.03
Jihomoravský 154 490 12.98
Středočeský 132 276 9.57
Moravskoslezský 96 842 8.06
Zlínský 58 226 9.99
Jihočeský 52 858 8.21
Ústecký 50 667 6.17
Pardubický 48 096 9.22
Královéhradecký 47 883 8.68
Neznámý 45 496 NA
Olomoucký 44 539 7.05
Plzeňský 42 713 7.25
Vysočina 37 291 7.31
Liberecký 36 786 8.30
Karlovarský 15 404 5.23

Podíl zahraničních držitelů domén je v současné době 7,2 %. Deset zemí s nejvyššími počty držitelů ukazuje tato tabulka:

Stát Domén
Slovensko
Slovensko
Slovensko 24 397 24397
Německo
Německo
Německo 14 923 14923
Spojené státy
Spojené státy
Spojené státy 10 079 10079
Spojené království
Spojené království
Spojené království 5 419 5419
Polsko
Polsko
Polsko 5 123 5123
Francie
Francie
Francie 4 358 4358
Nizozemsko
Nizozemsko
Nizozemsko 3 951 3951
Švýcarsko
Švýcarsko
Švýcarsko 3 133 3133
Bahamy
Bahamy
Bahamy 2 999 2999
Čína
Čína
Čína 2 526 2526
Other 21 463 21463

Změny během posledních tří let jsou vidět v následujícím grafu. Zajímavým případem jsou Bahamy – počet domén držených v tomto ostrovním státě vzrostl ze 70 na 2 999.

Doménová jména

Každou doménu druhé úrovně identifikuje v registru .CZ její unikátní jmenovka (label, část před .cz). Podle RFC 1035 může jmenovka sestávat nejvýše ze 63 znaků. Příliš dlouhá doménová jména ovšem nejsou pro praktické použití příliš vhodná, a tak pouze pět .CZ domén má jmenovky s maximální povolenou délkou. Krátká doménová jména jsou naproti tomu výrazně populárnější. Pokud jde třeba o jednoznakové jmenovky, tak všech 36 možností (26 písmen anglické abecedy a 10 číslic) už je zabraných.

Následující histogram ukazuje skutečné rozdělení délek jmenovek. Medián je 10 znaků.

Doména z pohledu resolverů

CZ.NIC v současné době provozuje více než 120 DNS serverů pro zónu .CZ, rozmístěných ve 12 zemích ze 4 kontinentů. Denně se na ně obrací v průměru 1,25 milionu různých resolverů s 16 tisíci dotazů za vteřinu (QPS). Požadavky resolverů se doručují „nejbližšímu“ serveru v závislosti na nastavení směrování IP anycastu. Výsledné globální schéma komunikace ukazuje následující diagram, v němž je zachyceno průměrné rozdělení QPS z top 15 zemí v posledních třech měsících roku 2020.

Topologická vzdálenost mezi DNS resolverem a odpovídajícím autoritativním serverem ovlivňuje latenci transakcí DNS, jež je důležitým faktorem kvality internetového připojení, jak ji vnímají koncoví uživatelé. CZ.NIC zpracovává od roku 2019 analýzu dostupnosti serverů .CZ. Jejím účelem je získat relevantní data pro rozhodování o tom, kde přinese instalace nových serverů největší užitek.

V dalším grafu je vynesena střední doba odezvy (RTT) resolverů proti střední hodnotě QPS pro 22 geografických oblastí. Šipky označují, jak se každá z oblastí v tomto grafu posunula od října 2019.

Vidíme zde, že s výjimkou Mikronésie se střední RTT snížila pro všechny uvedené geografické oblasti. Ty z nich, které jsou významnými zdroji DNS dotazů (poblíž pravého okraje grafu) již mají RTT na velmi dobré úrovni. Dostupnost serverů .CZ se také v minulém roce zásadně zlepšila v oblastech východní a jihovýchodní Asie, především díky spuštění dvou nových serverů v Singapuru.

IPv6

Následující graf ukazuje, jak se od roku 2010 vyvíjela podpora IPv6 v rámci .CZ domén. Tato klasifikace je založena na verzi (verzích) IP adres DNS serverů každé domény druhé úrovně. 32,5 % domén používá v tomto smyslu jak IPv4, tak i IPv6, a 101 domén má své DNS servery pouze s adresami IPv6.

DNSSEC

Bezpečnostní rozšíření DNS (DNSSEC) umožňují zabezpečit data v DNS prostřednictvím kryptografie s veřejným klíčem. V posledním desetiletí investovalo sdružení CZ.NIC mnoho úsilí do popularizace a praktického nasazení DNSSEC. Doména .CZ byla také jednou z prvních domén nejvyšší úrovně, kde byl DNSSEC zaveden.

Nasazování DNSSEC

Tento graf ukazuje rostoucí počty domén druhé úrovně zabezpečených pomocí DNSSEC (modré sloupečky) v porovnání s celkovým počtem .CZ domén (černá čára).

V roce 2020 překročil podíl DNSSEC domén hranici 60 %. Podle pořadí domén, které zveřejnil Viktor Dukhovni, je norská .NO jedinou národní doménou (ccTLD), která má vyšší podíl DNSSEC domén než .CZ (63 %).

Algoritmy DNSSEC

Důležitým provozním aspektem nasazení DNSSEC je volba šifrovacího algoritmu. Následující graf ukazuje, jak se měnilo zastoupení jednotlivých algoritmů v doméně .CZ od roku 2008.

Jak je vidět, až do roku 2015 byl absolutně dominantním algoritmem RSASHA1 (RSASHA1-NSEC3-SHA1 je stejný, pouze slouží jistým účelům zpětné kompatibility). Tento algoritmus používá rozptylovací (hash) funkci SHA-1, o níž se ví, že je slabá, ovšem podle aktuálních doporučení ještě nepředstavuje žádné významnější ohrožení bezpečnosti DNSSEC. Předchozí graf ukazuje, že téměř 70 % zabezpečených domén druhé úrovně pod .CZ nyní používá některý ze silnějších algoritmů.

DANE

DANE (DNS-based Authentication of Named Entities) je technologie využívající hierarchie DNS ve spojení s DNSSEC k ověření pravosti digitálních certifikátů X.509.

Z celkového počtu 589 070 různých mailových serverů specifikovaných v MX záznamech všech .CZ domén druhé úrovně jich pouze 667 (0,11 %) má odpovídající DANE záznam typu TLSA. Vzhledem ke koncentraci poštovních služeb vychází výrazně lépe podíl .CZ domén používajících mailové servery chráněné pomocí DANE – je jich 10,7 % (148 124 domén).

Identifikovali jsme také 170 domén s DANE záznamy pro webové služby běžící buď na www.<doména>.cz anebo na <doména>.cz. Tento velmi nízký počet (který je navíc ještě menší než loni) je důsledkem toho, že DANE byla dosud výrobci webových prohlížečů z několika důvodů ignorována, a zřejmě také nadále bude.

Serverový software

Tento oddíl obsahuje odhady tržních podílů různých implementací nejběžnějších služeb Internetu: DNS, webu a e-mailu. Data byla získána pomocí dotazů na všechny domény druhé úrovně v prosinci 2020 s využitím nástroje DNS crawler. Výsledky je ovšem potřeba brát s rezervou, protože závisejí na ochotě administrátorů jednotlivých serverů ke zveřejnění pravdivých informací. Je také třeba brát v úvahu, že stejné doménové jméno může sdílet více různých serverů. Pokud takové servery používají rozdílné implementace, započte se taková doména všem těmto implementacím.

Autoritativní DNS servery

Detekované implementace autoritativních DNS serverů spolu s jejich početním zastoupením uvádí následující tabulka (samostatně pro IPv4 a IPv6).

IPv4
IPv6
Software Domén Servery Domén Servery
Knot DNS 419 420 233 397 286 137
unknown 360 864 6 753 322 520 4 055
BIND 170 992 5 268 129 613 811
PowerDNS 108 080 1 950 83 948 605
GLUX-DNS 42 643 14 38 664 9
NSD 1 325 57 1 340 23

Webové servery

Webové služby v doméně .CZ běží většinou na serveru Apache anebo NGINX. Následující histogram ukazuje tržní podíly nejběžnějších implementací webových serverů použitých pro „hlavní“ stránku každé domény, tedy buď www.<domena>.cz anebo jen <domena>.cz.

Mailové servery

Další tabulka pak ukazuje tržní podíly implementací mailových serverů specifikovaných v záznamech typu MX u domén druhé úrovně.

Software Domén Servery
Neznámý 776 641 459 270
Postfix 520 263 152 980
Exim 36 962 6 542
Microsoft 31 245 29 148
IceWarp 21 220 17 437
Haraka 11 360 123
Sendmail 5 815 990
Kerio 1 185 731
Symantec 401 125
qmail 318 22
Barracuda 177 54

Webový obsah

DNS crawler se používá také k pravidelnému stahování obsahu webových stránek všech domén druhé úrovně, za podmínek uvedených v popisu projektu. Rozsáhlá data získaná tímto způsobem byla použita pro klasifikaci domén z hlediska obsahu jejich hlavních webových stránek. Zpracovali jsme nezávisle dva případy, jejichž srovnání ukazuje další aspekty dopadu pandemie:

  1. všechny domény druhé úrovně v registru .CZ,
  2. domény, které byly (naposled) zaregistrovány v roce 2020.

Nejprve jsme použili automatickou klasifikaci založenou na strojovém učení, jak je blíže popsáno v ADAM reportu 2/2020. Její výsledky vypadají takto:

Nejvýraznějším rozdílem mezi oběma případy je masivní nárůst relativního zastoupení zaparkovaných domén v případě registrací roku 2020 – je zřejmé, že domény zaregistrované se spekulativním záměrem rostly během pandemie jako houby po dešti.

Pro oba případy jsme ještě podrobili webové stránky z kategorie Normální manuální klasifikaci do 14 podkategorií podle jejich obsahu. Použili jsme k tomu dva náhodné vzorky, každý s 1 200 doménami.

Vzhledem k tomu, že běžný maloobchodní prodej byl zastaven po většinu minulého roku, není asi příliš překvapivé relativně větší zastoupení e-shopů mezi doménami registrovanými v roce 2020.