世界と日本のDNSSEC

IIJ
IIJIIJ
世界と日本のDNSSEC やまぐち@iij
はじめに • なんとなく気になったので、DNSSEC の普及状況を調べてみた • 権威サーバ(署名側) • ほかにも調べてる人はたくさんいるので新規性はない • 他人の調査結果を探してくるより、自分でやったほうが早い、という程度 • 過去の調査事例: https://dnsops.jp/event/20140627/SummerDays2014ohmoto.pdf • ほんとは定期的に観測して推移を見られればいいんだろうけど、 やってません • 発作的な思いつきをそのまま実行に移しただけなので • 次回未定
調査対象 • Alexa Top 1M にリストされている100万ドメイン • .arpa は含まない • Top 1M ランク外のドメインに対しては何の調査もしていない • DS レコードの登録状況を調査 • DNSKEY レコードや、正しく検証できるかどうかはまったく見ていない • 2017/10/29 付のリストに含まれるドメインの DS を 10/30-31 に調査
結果 • 署名ドメイン数 17247/100万 = 1.7% • Q. .jp は 1.7% より高い? 低い? 署名あり 17247 署名なし 982753 DNSSEC対応ドメイン 署名あり 署名なし
ランク上位の署名ドメイン 67 paypal.com 82 mozilla.org 138 nih.gov 148 avito.ru 195 4chan.org 203 abs-cbn.com 318 xfinity.com 332 gmx.net 335 web.de 342 canva.com
• 2.5%/1000 → 2.4%/1万 → 1.9%/10万 → 1.7%/100万 • 上位ほど署名割合も高くなる傾向(といっても微々たるもの…) ランクによる署名割合 署名あり 25 署名なし 975 1-1000位 署名あり 244 署名なし 9756 1-10000位 署名あり 1926 署名なし 98074 1-100000位 署名あり 17247 署名なし 982753 1-1000000位
TLD ごとの署名割合(1) • Alexa Top 1M に出現する全 TLD のう ち、ひとつでも署名ドメインが存在し た TLD 187/755 = 25% • ある TLD に署名ドメインがなかったか らといって、DNSSEC 非対応 TLD とは 限らないことに注意 • TLD としては対応していても、署名済み ドメインが Top 1M ランク入りしなかった だけの可能性 署名ドメインが 存在したTLD 187 署名ドメインが存 在しなかったTLD 568
TLD ごとの署名割合(2) • レガシー gTLD (com, net, org, gov, edu, mil, int) TLD ドメイン数 署名ドメイン数 割合 .com 476049 4638 0.97% .net 49923 618 1.2% .org 47070 571 1.2% .gov 1073 405 38% .edu 3278 87 2.7% .mil 52 50 96% .int 106 0 0% 合計 577551 6369 1.1%
TLD ごとの署名割合(3) • ICANN 設立から2010年ぐらいまでの gTLD + sTLD TLD ドメイン数 署名ドメイン 割合 TLD ドメイン数 署名ドメイン 割合 .aero 134 0 0% .museum 19 1 5.3% .asia 423 0 0% .name 243 1 0.41% .biz 2870 16 0.56% .post 7 7 100% .cat 455 5 1.1% .pro 1320 3 0.23% .coop 120 0 0% .tel 6 0 0% .info 9926 86 0.87% .travel 177 0 0% .jobs 152 0 0% .xxx 483 1 0.21% .mobi 686 0 0% 合計 17021 120 0.71%
TLD ごとの署名割合(4) • それ以外の gTLD (いわゆる新 gTLD + IDN TLD) 10ドメイン以上ランク入りしている TLD のうち、割合上位10TLD 合計は10ドメイン未満のTLDを含む • 新gTLD総数 494、うちひとつでも署名ドメインが存在したTLD 95(19%) TLD ドメイン数 署名ドメイン 割合 TLD ドメイン数 署名ドメイン 割合 .bank 41 41 100% .photo 21 3 14% .ovh 81 39 48% .ist 10 1 10% .google 10 3 30% .nrw 11 1 9.1% .bzh 19 4 21% .brussels 11 1 9.1% .paris 22 4 18% .email 37 3 8.1% 計494TLD 24836 263 1.1%
TLD ごとの署名割合(5) • ccTLD 署名割合ベスト/ワースト10 • 2.8% (10495/381015)0 順位 TLD ドメイン数 署名ドメイン 割合 順位 TLD ドメイン数 署名ドメイン 割合 1 .cz 4909 2098 43% 69 .ie 1300 2 0.15% 2 .nl 4806 1657 34% 70 .by 1399 2 0.14% 3 .no 2318 728 31% 71 .sg 1079 1 0.093% 4 .se 3442 806 23% 72 .za 2793 2 0.072% 5 .nu 305 49 16% 73 .ru 50772 36 0.071% 6 .pm 31 4 13% 74 .il 1490 1 0.067% 7 .hu 2897 360 12% 75 .cn 12777 6 0.047% 8 .br 17254 1659 9.6% 76 .ar 2662 1 0.038% 9 .th 1120 94 8.4% 77 .kr 5906 2 0.034% 10 .fr 12604 1027 8.1% 78 .ua 7038 1 0.014% 合計 240 TLD 381015 10495 2.8%
.jp はどうなの? • 署名ドメイン数/総数 = 40/21995 = 0.18% • 平均(1.7%)のはるか下 • ひとつでも署名ドメインが存在する 187 TLD のうち、下から14番目 • ひとつでも署名ドメインが存在する 78 ccTLD のうち、下から11番目 • が、署名ドメインが存在するだけでもマシという考え方もできる • 全 755 TLD 中 174位 • 240 ccTLD 中 68位
jp ドメイン内訳 ドメイン数 署名ドメイン 割合 ドメイン数 署名ドメイン 割合 ac.jp 548 6 1.1% lg.jp 203 0 0% ad.jp 8 2 25% ne.jp 463 1 0.22% co.jp 6266 10 0.16% or.jp 905 3 0.33% ed.jp 115 0 0% 都道府県 型・地域型 366 0 0% go.jp 179 6 3.4% 汎用 12815 12 0.094% gr.jp 127 0 0% 合計 21995 40 0.18%
jp 以外の日本関連TLD 地域TLD ドメイン数 署名ドメイン数 ブランドTLD ドメイン数 署名ドメイン数 .tokyo 246 0 .canon 3 0 .osaka 5 0 .hitachi 2 0 .yokohama 7 0 .jcb 2 0 .kyoto 3 0 .komatsu 3 0 .nagoya 10 0 .nec 1 0 .okinawa 7 0 .nico 4 0 .ryukyu 3 0 .pioneer 1 0 .ricoh 2 0 • 以上 15TLD 299ドメインひとつも署名なし • .moe(インターリンク 2/110), .earth(インターリンク 0/1), .shop(GMO 3/148) • 署名5ドメインのレジストラントはいずれも海外の人っぽい
IDN (国際化ドメイン名) • IDN TLD (example.xn--*) • 23 TLD 1079 ドメイン中署名ドメインなし • うち950ドメインが .рф (.xn--p1ai) • 非 IDN TLD (xn--*.example) • 56 TLD 1465 ドメイン中署名ドメイン22 (1.5%) • .com(10/796) .se(3/7) .no(3/4) .fr(3/6) .de(1/41) .eu(1/7) .nu(1/4) • .net(0/159) .jp(0/119) .xyz(0/79) .biz(0/39) .ua(0/25) .tokyo(0/16) .org(0/15) .kr(0/13) .es (0/13) .su(0/12) 以下略 • 計 0.86% (22/2544)
DNSSEC 非対応 TLD • Top-1M に1ドメインでもランク入りしている TLD のうち、署名ドメイン がひとつもない TLD = 568/755 = 75% • Top-1M に100ドメイン以上ランク入りしている TLD のうち、署名ドメイ ンがひとつもない TLD = 80/188 = 43% • Top-1M に1000ドメイン以上ランク入りしている TLD のうち、署名ドメ インがひとつもない TLD = 8/71 = 11% • .it (13963) .ir (12959) .tr (2906) .vn (2682) .sk (2270) .kz (1444) .pk (1401) .su (1124) • DNSSEC 対応 TLD だが、署名済みドメインが Top 1M ランク入りしな かっただけの可能性もあることに注意
署名アルゴリズム • RSASHA1(-NSEC3-SHA1) が半数 • ECDSA が予想以上に普及 • ほとんど Cloudflare 収容ドメイン • これから新規に DNSSEC をはじめる なら ECDSA がいいんじゃないかな • 署名サイズが小さいというメリット • RSASHA256 からの移行(アルゴリズム ロールオーバー)は超めんどくさいので 十分に検討してから • TLD ごとに割合が大きく偏っている • .cz、.br、.fr などで RSASHA1 の割合 が高い RSASHA1 17% RSASHA1- NSEC3-SHA1 34% RSASHA256 25% ECDSAP256SHA256 22% その他 2%
アルゴリズム推移 https://twitter.com/reseauxsansfil/status/928010426402725888
.jp 署名アルゴリズム(1) RSASHA1 17% RSASHA1- NSEC3-SHA1 34% RSASHA256 25% ECDSAP256SHA256 22% その他 2% top-1m 全体(再掲) RSASHA1 1 RSASHA1- NSEC3-SHA1 1 RSASHA256 38 .jp (40ドメイン)
.jp 署名アルゴリズム(2) Q. なぜ jp には ECDSA 署名のドメインがないの? A. ECDSA 鍵を登録しようとしても受け付けてくれないから (追記: 発表後、2018年対応予定とコメントいただきました)
ダイジェストアルゴリズム • Top 1M 全体(DS 総数20821) • SHA1 (26%) • SHA256 (73%) • GOST (0.60%) • SHA512 (0.25%) • .jp 40ドメイン(DS 総数59) • SHA1 (32%) • SHA256 (68%) • .jp では GOST と SHA512 は使用不可
まとめ • TLD によって DNSSEC の対応状況は差があるよ • .bank(100%) .mil(96%), .ovh(48%), .cz(43%) • .net (1.2%) .org(1.2%) .com(0.97%) • .jp (0.18%) • 755 TLD のうち 568 が 0% • 全体 1.7% • いろんな署名アルゴリズムが使われてるよ • RSASHA1, RSASHA256, ECDSAP256SHA256 • でも jp では ECDSAP256SHA256 が使えない • 日本はみんなやる気なさげ • そういえば DNS DAY のプログラムも今年は DNSSEC Update が消えましたね
1 of 22

世界と日本のDNSSEC

Download to read offline
Internet

日本DNSオペレーターズグループ(dnsops) の BoFでの発表資料です(発表当日のものから若干修正してあります)

IIJ
IIJIIJ

Recommended

【第26回Elasticsearch勉強会】Logstashとともに振り返る、やっちまった事例ごった煮 by
【第26回Elasticsearch勉強会】Logstashとともに振り返る、やっちまった事例ごった煮【第26回Elasticsearch勉強会】Logstashとともに振り返る、やっちまった事例ごった煮
【第26回Elasticsearch勉強会】Logstashとともに振り返る、やっちまった事例ごった煮Hibino Hisashi
13.6K views40 slides
Dockerからcontainerdへの移行 by
Dockerからcontainerdへの移行Dockerからcontainerdへの移行
Dockerからcontainerdへの移行Akihiro Suda
7.6K views36 slides
SPAセキュリティ入門~PHP Conference Japan 2021 by
SPAセキュリティ入門~PHP Conference Japan 2021SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021Hiroshi Tokumaru
99.6K views107 slides
「NIST SP 800-204C サービスメッシュを利用したマイクロサービスベースのアプリケーション向けDevSecOpsの展開」概説 by
「NIST SP 800-204C サービスメッシュを利用したマイクロサービスベースのアプリケーション向けDevSecOpsの展開」概説「NIST SP 800-204C サービスメッシュを利用したマイクロサービスベースのアプリケーション向けDevSecOpsの展開」概説
「NIST SP 800-204C サービスメッシュを利用したマイクロサービスベースのアプリケーション向けDevSecOpsの展開」概説Eiji Sasahara, Ph.D., MBA 笹原英司
356 views23 slides
【SQLインジェクション対策】徳丸先生に怒られない、動的SQLの安全な組み立て方 by
【SQLインジェクション対策】徳丸先生に怒られない、動的SQLの安全な組み立て方【SQLインジェクション対策】徳丸先生に怒られない、動的SQLの安全な組み立て方
【SQLインジェクション対策】徳丸先生に怒られない、動的SQLの安全な組み立て方kwatch
34K views58 slides
TIME_WAITに関する話 by
TIME_WAITに関する話TIME_WAITに関する話
TIME_WAITに関する話Takanori Sejima
24.6K views51 slides

More Related Content

What's hot

コンテナにおけるパフォーマンス調査でハマった話 by
コンテナにおけるパフォーマンス調査でハマった話コンテナにおけるパフォーマンス調査でハマった話
コンテナにおけるパフォーマンス調査でハマった話Yuta Shimada
2.2K views25 slides
Hybrid Public Key Encryption (HPKE) by
Hybrid Public Key Encryption (HPKE)Hybrid Public Key Encryption (HPKE)
Hybrid Public Key Encryption (HPKE)Jun Kurihara
1K views40 slides
WebSocket / WebRTCの技術紹介 by
WebSocket / WebRTCの技術紹介WebSocket / WebRTCの技術紹介
WebSocket / WebRTCの技術紹介Yasuhiro Mawarimichi
50.2K views139 slides
はじめてのElasticsearchクラスタ by
はじめてのElasticsearchクラスタはじめてのElasticsearchクラスタ
はじめてのElasticsearchクラスタSatoyuki Tsukano
39.4K views63 slides
Redisの特徴と活用方法について by
Redisの特徴と活用方法についてRedisの特徴と活用方法について
Redisの特徴と活用方法についてYuji Otani
101.6K views65 slides
30分で理解するLet's Encryptの仕組みとSSL証明書の使い方 by
30分で理解するLet's Encryptの仕組みとSSL証明書の使い方30分で理解するLet's Encryptの仕組みとSSL証明書の使い方
30分で理解するLet's Encryptの仕組みとSSL証明書の使い方法林浩之
6.5K views60 slides

What's hot(20)

コンテナにおけるパフォーマンス調査でハマった話 by Yuta Shimada
コンテナにおけるパフォーマンス調査でハマった話コンテナにおけるパフォーマンス調査でハマった話
コンテナにおけるパフォーマンス調査でハマった話
Yuta Shimada2.2K views
Hybrid Public Key Encryption (HPKE) by Jun Kurihara
Hybrid Public Key Encryption (HPKE)Hybrid Public Key Encryption (HPKE)
Hybrid Public Key Encryption (HPKE)
Jun Kurihara1K views
WebSocket / WebRTCの技術紹介 by Yasuhiro Mawarimichi
WebSocket / WebRTCの技術紹介WebSocket / WebRTCの技術紹介
WebSocket / WebRTCの技術紹介
Yasuhiro Mawarimichi50.2K views
はじめてのElasticsearchクラスタ by Satoyuki Tsukano
はじめてのElasticsearchクラスタはじめてのElasticsearchクラスタ
はじめてのElasticsearchクラスタ
Satoyuki Tsukano39.4K views
Redisの特徴と活用方法について by Yuji Otani
Redisの特徴と活用方法についてRedisの特徴と活用方法について
Redisの特徴と活用方法について
Yuji Otani101.6K views
30分で理解するLet's Encryptの仕組みとSSL証明書の使い方 by 法林浩之
30分で理解するLet's Encryptの仕組みとSSL証明書の使い方30分で理解するLet's Encryptの仕組みとSSL証明書の使い方
30分で理解するLet's Encryptの仕組みとSSL証明書の使い方
法林浩之6.5K views
Keycloak入門 by Hiroyuki Wada
Keycloak入門Keycloak入門
Keycloak入門
Hiroyuki Wada11.9K views
分散トレーシング技術について(Open tracingやjaeger) by NTT Communications Technology Development
分散トレーシング技術について(Open tracingやjaeger)分散トレーシング技術について(Open tracingやjaeger)
分散トレーシング技術について(Open tracingやjaeger)
NTT Communications Technology Development23.3K views
LIFULL HOME'SでのSolrの構成と運用の変遷 by LIFULL Co., Ltd.
LIFULL HOME'SでのSolrの構成と運用の変遷LIFULL HOME'SでのSolrの構成と運用の変遷
LIFULL HOME'SでのSolrの構成と運用の変遷
LIFULL Co., Ltd.720 views
OpenStackで始めるクラウド環境構築入門(Horizon 基礎編) by VirtualTech Japan Inc.
OpenStackで始めるクラウド環境構築入門(Horizon 基礎編)OpenStackで始めるクラウド環境構築入門(Horizon 基礎編)
OpenStackで始めるクラウド環境構築入門(Horizon 基礎編)
VirtualTech Japan Inc.20.7K views
CyberAgentのプライベートクラウド Cycloudの運用及びモニタリングについて #CODT2020 / Administration and M... by whywaita
CyberAgentのプライベートクラウド Cycloudの運用及びモニタリングについて #CODT2020 / Administration and M...CyberAgentのプライベートクラウド Cycloudの運用及びモニタリングについて #CODT2020 / Administration and M...
CyberAgentのプライベートクラウド Cycloudの運用及びモニタリングについて #CODT2020 / Administration and M...
whywaita4.6K views
MQTTとAMQPと.NET by terurou
MQTTとAMQPと.NETMQTTとAMQPと.NET
MQTTとAMQPと.NET
terurou39.8K views
どうやって決める?kubernetesでのシークレット管理方法(Cloud Native Days 2020 発表資料) by NTT DATA Technology & Innovation
どうやって決める?kubernetesでのシークレット管理方法(Cloud Native Days 2020 発表資料)どうやって決める?kubernetesでのシークレット管理方法(Cloud Native Days 2020 発表資料)
どうやって決める?kubernetesでのシークレット管理方法(Cloud Native Days 2020 発表資料)
NTT DATA Technology & Innovation3.4K views
イエラエセキュリティMeet up 20210820 by GMOサイバーセキュリティ byイエラエ株式会社
イエラエセキュリティMeet up 20210820イエラエセキュリティMeet up 20210820
イエラエセキュリティMeet up 20210820
GMOサイバーセキュリティ byイエラエ株式会社1.4K views
トランザクションの設計と進化 by Kumazaki Hiroki
トランザクションの設計と進化トランザクションの設計と進化
トランザクションの設計と進化
Kumazaki Hiroki71.4K views
さくらのVPS で IPv4 over IPv6ルータの構築 by Tomocha Potter
さくらのVPS で IPv4 over IPv6ルータの構築さくらのVPS で IPv4 over IPv6ルータの構築
さくらのVPS で IPv4 over IPv6ルータの構築
Tomocha Potter54.2K views
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理 by NTT DATA Technology & Innovation
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理
NTT DATA Technology & Innovation12.9K views
電子署名(PKI)ハンズオン資料 V1.00 by Naoto Miyachi
電子署名(PKI)ハンズオン資料 V1.00電子署名(PKI)ハンズオン資料 V1.00
電子署名(PKI)ハンズオン資料 V1.00
Naoto Miyachi4.7K views
Goss入門 by ShuyaMotouchi1
Goss入門Goss入門
Goss入門
ShuyaMotouchi12.4K views
OpenStack勉強会 by Yuki Obara
OpenStack勉強会OpenStack勉強会
OpenStack勉強会
Yuki Obara42K views

More from IIJ

プロダクトオーナーと開発者が別会社・別組織でも前のめりなチームを生み出す取り組み事例 by
プロダクトオーナーと開発者が別会社・別組織でも前のめりなチームを生み出す取り組み事例プロダクトオーナーと開発者が別会社・別組織でも前のめりなチームを生み出す取り組み事例
プロダクトオーナーと開発者が別会社・別組織でも前のめりなチームを生み出す取り組み事例IIJ
58 views28 slides
IIJ_デジタルワークプレース事業紹介資料 by
IIJ_デジタルワークプレース事業紹介資料IIJ_デジタルワークプレース事業紹介資料
IIJ_デジタルワークプレース事業紹介資料IIJ
1.1K views9 slides
監視 Overview by
監視 Overview監視 Overview
監視 OverviewIIJ
277 views30 slides
HTTPを理解する by
HTTPを理解するHTTPを理解する
HTTPを理解するIIJ
556 views41 slides
DevOps Overview by
DevOps OverviewDevOps Overview
DevOps OverviewIIJ
194 views31 slides
ただいま三河。あれから1年、チームNOCKncokが開発しないスクラムで成果を出した経験から得た学び by
ただいま三河。あれから1年、チームNOCKncokが開発しないスクラムで成果を出した経験から得た学びただいま三河。あれから1年、チームNOCKncokが開発しないスクラムで成果を出した経験から得た学び
ただいま三河。あれから1年、チームNOCKncokが開発しないスクラムで成果を出した経験から得た学びIIJ
466 views47 slides

More from IIJ(20)

プロダクトオーナーと開発者が別会社・別組織でも前のめりなチームを生み出す取り組み事例 by IIJ
プロダクトオーナーと開発者が別会社・別組織でも前のめりなチームを生み出す取り組み事例プロダクトオーナーと開発者が別会社・別組織でも前のめりなチームを生み出す取り組み事例
プロダクトオーナーと開発者が別会社・別組織でも前のめりなチームを生み出す取り組み事例
IIJ58 views
IIJ_デジタルワークプレース事業紹介資料 by IIJ
IIJ_デジタルワークプレース事業紹介資料IIJ_デジタルワークプレース事業紹介資料
IIJ_デジタルワークプレース事業紹介資料
IIJ1.1K views
監視 Overview by IIJ
監視 Overview監視 Overview
監視 Overview
IIJ277 views
HTTPを理解する by IIJ
HTTPを理解するHTTPを理解する
HTTPを理解する
IIJ556 views
DevOps Overview by IIJ
DevOps OverviewDevOps Overview
DevOps Overview
IIJ194 views
ただいま三河。あれから1年、チームNOCKncokが開発しないスクラムで成果を出した経験から得た学び by IIJ
ただいま三河。あれから1年、チームNOCKncokが開発しないスクラムで成果を出した経験から得た学びただいま三河。あれから1年、チームNOCKncokが開発しないスクラムで成果を出した経験から得た学び
ただいま三河。あれから1年、チームNOCKncokが開発しないスクラムで成果を出した経験から得た学び
IIJ466 views
上っ面スクラムチームにならないために気を付けたいこと by IIJ
上っ面スクラムチームにならないために気を付けたいこと上っ面スクラムチームにならないために気を付けたいこと
上っ面スクラムチームにならないために気を付けたいこと
IIJ958 views
Super Easy Memory Forensics by IIJ
Super Easy Memory ForensicsSuper Easy Memory Forensics
Super Easy Memory Forensics
IIJ4.6K views
チームみを大切にした 私たちの“受託アジャイル・スクラム”体験談 by IIJ
チームみを大切にした 私たちの“受託アジャイル・スクラム”体験談チームみを大切にした 私たちの“受託アジャイル・スクラム”体験談
チームみを大切にした 私たちの“受託アジャイル・スクラム”体験談
IIJ3K views
【解説】IKE(IIJ Kubernetes Engine):= Vanilla Kubernetes + 何? by IIJ
【解説】IKE(IIJ Kubernetes Engine):= Vanilla Kubernetes + 何?【解説】IKE(IIJ Kubernetes Engine):= Vanilla Kubernetes + 何?
【解説】IKE(IIJ Kubernetes Engine):= Vanilla Kubernetes + 何?
IIJ3.6K views
コロナ禍での白井データセンターキャンパスの運用施策 by IIJ
コロナ禍での白井データセンターキャンパスの運用施策コロナ禍での白井データセンターキャンパスの運用施策
コロナ禍での白井データセンターキャンパスの運用施策
IIJ4.5K views
コロナ禍の開発勉強会~社内教育ツールの開発と実装 by IIJ
コロナ禍の開発勉強会~社内教育ツールの開発と実装コロナ禍の開発勉強会~社内教育ツールの開発と実装
コロナ禍の開発勉強会~社内教育ツールの開発と実装
IIJ4.4K views
セキュリティ動向2020 by IIJ
セキュリティ動向2020セキュリティ動向2020
セキュリティ動向2020
IIJ5K views
バックボーン運用から見るインターネットの実情 by IIJ
バックボーン運用から見るインターネットの実情バックボーン運用から見るインターネットの実情
バックボーン運用から見るインターネットの実情
IIJ6K views
データセンターのエネルギーコントロールの仕組み by IIJ
データセンターのエネルギーコントロールの仕組みデータセンターのエネルギーコントロールの仕組み
データセンターのエネルギーコントロールの仕組み
IIJ5.5K views
世界のインターネット事情 by IIJ
世界のインターネット事情世界のインターネット事情
世界のインターネット事情
IIJ5.3K views
フロントからバックエンドまで - WebAssemblyで広がる可能性 by IIJ
フロントからバックエンドまで - WebAssemblyで広がる可能性フロントからバックエンドまで - WebAssemblyで広がる可能性
フロントからバックエンドまで - WebAssemblyで広がる可能性
IIJ5.5K views
あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルールについて~ by IIJ
あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルールについて~あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルールについて~
あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルールについて~
IIJ6.2K views
インシデント調査システムが内製すぎる件~CHAGEのご紹介~ by IIJ
インシデント調査システムが内製すぎる件~CHAGEのご紹介~インシデント調査システムが内製すぎる件~CHAGEのご紹介~
インシデント調査システムが内製すぎる件~CHAGEのご紹介~
IIJ5.4K views
IIJ Technical DAY 2019 ~ IIJのサーバインフラはここまでやっています by IIJ
IIJ Technical DAY 2019 ~ IIJのサーバインフラはここまでやっていますIIJ Technical DAY 2019 ~ IIJのサーバインフラはここまでやっています
IIJ Technical DAY 2019 ~ IIJのサーバインフラはここまでやっています
IIJ5.3K views

世界と日本のDNSSEC

  • 2. はじめに • なんとなく気になったので、DNSSEC の普及状況を調べてみた • 権威サーバ(署名側) • ほかにも調べてる人はたくさんいるので新規性はない • 他人の調査結果を探してくるより、自分でやったほうが早い、という程度 • 過去の調査事例: https://dnsops.jp/event/20140627/SummerDays2014ohmoto.pdf • ほんとは定期的に観測して推移を見られればいいんだろうけど、 やってません • 発作的な思いつきをそのまま実行に移しただけなので • 次回未定
  • 3. 調査対象 • Alexa Top 1M にリストされている100万ドメイン • .arpa は含まない • Top 1M ランク外のドメインに対しては何の調査もしていない • DS レコードの登録状況を調査 • DNSKEY レコードや、正しく検証できるかどうかはまったく見ていない • 2017/10/29 付のリストに含まれるドメインの DS を 10/30-31 に調査
  • 4. 結果 • 署名ドメイン数 17247/100万 = 1.7% • Q. .jp は 1.7% より高い? 低い? 署名あり 17247 署名なし 982753 DNSSEC対応ドメイン 署名あり 署名なし
  • 5. ランク上位の署名ドメイン 67 paypal.com 82 mozilla.org 138 nih.gov 148 avito.ru 195 4chan.org 203 abs-cbn.com 318 xfinity.com 332 gmx.net 335 web.de 342 canva.com
  • 6. • 2.5%/1000 → 2.4%/1万 → 1.9%/10万 → 1.7%/100万 • 上位ほど署名割合も高くなる傾向(といっても微々たるもの…) ランクによる署名割合 署名あり 25 署名なし 975 1-1000位 署名あり 244 署名なし 9756 1-10000位 署名あり 1926 署名なし 98074 1-100000位 署名あり 17247 署名なし 982753 1-1000000位
  • 7. TLD ごとの署名割合(1) • Alexa Top 1M に出現する全 TLD のう ち、ひとつでも署名ドメインが存在し た TLD 187/755 = 25% • ある TLD に署名ドメインがなかったか らといって、DNSSEC 非対応 TLD とは 限らないことに注意 • TLD としては対応していても、署名済み ドメインが Top 1M ランク入りしなかった だけの可能性 署名ドメインが 存在したTLD 187 署名ドメインが存 在しなかったTLD 568
  • 8. TLD ごとの署名割合(2) • レガシー gTLD (com, net, org, gov, edu, mil, int) TLD ドメイン数 署名ドメイン数 割合 .com 476049 4638 0.97% .net 49923 618 1.2% .org 47070 571 1.2% .gov 1073 405 38% .edu 3278 87 2.7% .mil 52 50 96% .int 106 0 0% 合計 577551 6369 1.1%
  • 9. TLD ごとの署名割合(3) • ICANN 設立から2010年ぐらいまでの gTLD + sTLD TLD ドメイン数 署名ドメイン 割合 TLD ドメイン数 署名ドメイン 割合 .aero 134 0 0% .museum 19 1 5.3% .asia 423 0 0% .name 243 1 0.41% .biz 2870 16 0.56% .post 7 7 100% .cat 455 5 1.1% .pro 1320 3 0.23% .coop 120 0 0% .tel 6 0 0% .info 9926 86 0.87% .travel 177 0 0% .jobs 152 0 0% .xxx 483 1 0.21% .mobi 686 0 0% 合計 17021 120 0.71%
  • 10. TLD ごとの署名割合(4) • それ以外の gTLD (いわゆる新 gTLD + IDN TLD) 10ドメイン以上ランク入りしている TLD のうち、割合上位10TLD 合計は10ドメイン未満のTLDを含む • 新gTLD総数 494、うちひとつでも署名ドメインが存在したTLD 95(19%) TLD ドメイン数 署名ドメイン 割合 TLD ドメイン数 署名ドメイン 割合 .bank 41 41 100% .photo 21 3 14% .ovh 81 39 48% .ist 10 1 10% .google 10 3 30% .nrw 11 1 9.1% .bzh 19 4 21% .brussels 11 1 9.1% .paris 22 4 18% .email 37 3 8.1% 計494TLD 24836 263 1.1%
  • 11. TLD ごとの署名割合(5) • ccTLD 署名割合ベスト/ワースト10 • 2.8% (10495/381015)0 順位 TLD ドメイン数 署名ドメイン 割合 順位 TLD ドメイン数 署名ドメイン 割合 1 .cz 4909 2098 43% 69 .ie 1300 2 0.15% 2 .nl 4806 1657 34% 70 .by 1399 2 0.14% 3 .no 2318 728 31% 71 .sg 1079 1 0.093% 4 .se 3442 806 23% 72 .za 2793 2 0.072% 5 .nu 305 49 16% 73 .ru 50772 36 0.071% 6 .pm 31 4 13% 74 .il 1490 1 0.067% 7 .hu 2897 360 12% 75 .cn 12777 6 0.047% 8 .br 17254 1659 9.6% 76 .ar 2662 1 0.038% 9 .th 1120 94 8.4% 77 .kr 5906 2 0.034% 10 .fr 12604 1027 8.1% 78 .ua 7038 1 0.014% 合計 240 TLD 381015 10495 2.8%
  • 12. .jp はどうなの? • 署名ドメイン数/総数 = 40/21995 = 0.18% • 平均(1.7%)のはるか下 • ひとつでも署名ドメインが存在する 187 TLD のうち、下から14番目 • ひとつでも署名ドメインが存在する 78 ccTLD のうち、下から11番目 • が、署名ドメインが存在するだけでもマシという考え方もできる • 全 755 TLD 中 174位 • 240 ccTLD 中 68位
  • 13. jp ドメイン内訳 ドメイン数 署名ドメイン 割合 ドメイン数 署名ドメイン 割合 ac.jp 548 6 1.1% lg.jp 203 0 0% ad.jp 8 2 25% ne.jp 463 1 0.22% co.jp 6266 10 0.16% or.jp 905 3 0.33% ed.jp 115 0 0% 都道府県 型・地域型 366 0 0% go.jp 179 6 3.4% 汎用 12815 12 0.094% gr.jp 127 0 0% 合計 21995 40 0.18%
  • 14. jp 以外の日本関連TLD 地域TLD ドメイン数 署名ドメイン数 ブランドTLD ドメイン数 署名ドメイン数 .tokyo 246 0 .canon 3 0 .osaka 5 0 .hitachi 2 0 .yokohama 7 0 .jcb 2 0 .kyoto 3 0 .komatsu 3 0 .nagoya 10 0 .nec 1 0 .okinawa 7 0 .nico 4 0 .ryukyu 3 0 .pioneer 1 0 .ricoh 2 0 • 以上 15TLD 299ドメインひとつも署名なし • .moe(インターリンク 2/110), .earth(インターリンク 0/1), .shop(GMO 3/148) • 署名5ドメインのレジストラントはいずれも海外の人っぽい
  • 15. IDN (国際化ドメイン名) • IDN TLD (example.xn--*) • 23 TLD 1079 ドメイン中署名ドメインなし • うち950ドメインが .рф (.xn--p1ai) • 非 IDN TLD (xn--*.example) • 56 TLD 1465 ドメイン中署名ドメイン22 (1.5%) • .com(10/796) .se(3/7) .no(3/4) .fr(3/6) .de(1/41) .eu(1/7) .nu(1/4) • .net(0/159) .jp(0/119) .xyz(0/79) .biz(0/39) .ua(0/25) .tokyo(0/16) .org(0/15) .kr(0/13) .es (0/13) .su(0/12) 以下略 • 計 0.86% (22/2544)
  • 16. DNSSEC 非対応 TLD • Top-1M に1ドメインでもランク入りしている TLD のうち、署名ドメイン がひとつもない TLD = 568/755 = 75% • Top-1M に100ドメイン以上ランク入りしている TLD のうち、署名ドメイ ンがひとつもない TLD = 80/188 = 43% • Top-1M に1000ドメイン以上ランク入りしている TLD のうち、署名ドメ インがひとつもない TLD = 8/71 = 11% • .it (13963) .ir (12959) .tr (2906) .vn (2682) .sk (2270) .kz (1444) .pk (1401) .su (1124) • DNSSEC 対応 TLD だが、署名済みドメインが Top 1M ランク入りしな かっただけの可能性もあることに注意
  • 17. 署名アルゴリズム • RSASHA1(-NSEC3-SHA1) が半数 • ECDSA が予想以上に普及 • ほとんど Cloudflare 収容ドメイン • これから新規に DNSSEC をはじめる なら ECDSA がいいんじゃないかな • 署名サイズが小さいというメリット • RSASHA256 からの移行(アルゴリズム ロールオーバー)は超めんどくさいので 十分に検討してから • TLD ごとに割合が大きく偏っている • .cz、.br、.fr などで RSASHA1 の割合 が高い RSASHA1 17% RSASHA1- NSEC3-SHA1 34% RSASHA256 25% ECDSAP256SHA256 22% その他 2%
  • 20. .jp 署名アルゴリズム(2) Q. なぜ jp には ECDSA 署名のドメインがないの? A. ECDSA 鍵を登録しようとしても受け付けてくれないから (追記: 発表後、2018年対応予定とコメントいただきました)
  • 21. ダイジェストアルゴリズム • Top 1M 全体(DS 総数20821) • SHA1 (26%) • SHA256 (73%) • GOST (0.60%) • SHA512 (0.25%) • .jp 40ドメイン(DS 総数59) • SHA1 (32%) • SHA256 (68%) • .jp では GOST と SHA512 は使用不可
  • 22. まとめ • TLD によって DNSSEC の対応状況は差があるよ • .bank(100%) .mil(96%), .ovh(48%), .cz(43%) • .net (1.2%) .org(1.2%) .com(0.97%) • .jp (0.18%) • 755 TLD のうち 568 が 0% • 全体 1.7% • いろんな署名アルゴリズムが使われてるよ • RSASHA1, RSASHA256, ECDSAP256SHA256 • でも jp では ECDSAP256SHA256 が使えない • 日本はみんなやる気なさげ • そういえば DNS DAY のプログラムも今年は DNSSEC Update が消えましたね