Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

世界と日本のDNSSEC

2,050 views

Published on

日本DNSオペレーターズグループ(dnsops) の BoFでの発表資料です(発表当日のものから若干修正してあります)

Published in: Internet
  • Hey guys! Who wants to chat with me? More photos with me here 👉 http://www.bit.ly/katekoxx
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

世界と日本のDNSSEC

  1. 1. 世界と日本のDNSSEC やまぐち@iij
  2. 2. はじめに • なんとなく気になったので、DNSSEC の普及状況を調べてみた • 権威サーバ(署名側) • ほかにも調べてる人はたくさんいるので新規性はない • 他人の調査結果を探してくるより、自分でやったほうが早い、という程度 • 過去の調査事例: https://dnsops.jp/event/20140627/SummerDays2014ohmoto.pdf • ほんとは定期的に観測して推移を見られればいいんだろうけど、 やってません • 発作的な思いつきをそのまま実行に移しただけなので • 次回未定
  3. 3. 調査対象 • Alexa Top 1M にリストされている100万ドメイン • .arpa は含まない • Top 1M ランク外のドメインに対しては何の調査もしていない • DS レコードの登録状況を調査 • DNSKEY レコードや、正しく検証できるかどうかはまったく見ていない • 2017/10/29 付のリストに含まれるドメインの DS を 10/30-31 に調査
  4. 4. 結果 • 署名ドメイン数 17247/100万 = 1.7% • Q. .jp は 1.7% より高い? 低い? 署名あり 17247 署名なし 982753 DNSSEC対応ドメイン 署名あり 署名なし
  5. 5. ランク上位の署名ドメイン 67 paypal.com 82 mozilla.org 138 nih.gov 148 avito.ru 195 4chan.org 203 abs-cbn.com 318 xfinity.com 332 gmx.net 335 web.de 342 canva.com
  6. 6. • 2.5%/1000 → 2.4%/1万 → 1.9%/10万 → 1.7%/100万 • 上位ほど署名割合も高くなる傾向(といっても微々たるもの…) ランクによる署名割合 署名あり 25 署名なし 975 1-1000位 署名あり 244 署名なし 9756 1-10000位 署名あり 1926 署名なし 98074 1-100000位 署名あり 17247 署名なし 982753 1-1000000位
  7. 7. TLD ごとの署名割合(1) • Alexa Top 1M に出現する全 TLD のう ち、ひとつでも署名ドメインが存在し た TLD 187/755 = 25% • ある TLD に署名ドメインがなかったか らといって、DNSSEC 非対応 TLD とは 限らないことに注意 • TLD としては対応していても、署名済み ドメインが Top 1M ランク入りしなかった だけの可能性 署名ドメインが 存在したTLD 187 署名ドメインが存 在しなかったTLD 568
  8. 8. TLD ごとの署名割合(2) • レガシー gTLD (com, net, org, gov, edu, mil, int) TLD ドメイン数 署名ドメイン数 割合 .com 476049 4638 0.97% .net 49923 618 1.2% .org 47070 571 1.2% .gov 1073 405 38% .edu 3278 87 2.7% .mil 52 50 96% .int 106 0 0% 合計 577551 6369 1.1%
  9. 9. TLD ごとの署名割合(3) • ICANN 設立から2010年ぐらいまでの gTLD + sTLD TLD ドメイン数 署名ドメイン 割合 TLD ドメイン数 署名ドメイン 割合 .aero 134 0 0% .museum 19 1 5.3% .asia 423 0 0% .name 243 1 0.41% .biz 2870 16 0.56% .post 7 7 100% .cat 455 5 1.1% .pro 1320 3 0.23% .coop 120 0 0% .tel 6 0 0% .info 9926 86 0.87% .travel 177 0 0% .jobs 152 0 0% .xxx 483 1 0.21% .mobi 686 0 0% 合計 17021 120 0.71%
  10. 10. TLD ごとの署名割合(4) • それ以外の gTLD (いわゆる新 gTLD + IDN TLD) 10ドメイン以上ランク入りしている TLD のうち、割合上位10TLD 合計は10ドメイン未満のTLDを含む • 新gTLD総数 494、うちひとつでも署名ドメインが存在したTLD 95(19%) TLD ドメイン数 署名ドメイン 割合 TLD ドメイン数 署名ドメイン 割合 .bank 41 41 100% .photo 21 3 14% .ovh 81 39 48% .ist 10 1 10% .google 10 3 30% .nrw 11 1 9.1% .bzh 19 4 21% .brussels 11 1 9.1% .paris 22 4 18% .email 37 3 8.1% 計494TLD 24836 263 1.1%
  11. 11. TLD ごとの署名割合(5) • ccTLD 署名割合ベスト/ワースト10 • 2.8% (10495/381015)0 順位 TLD ドメイン数 署名ドメイン 割合 順位 TLD ドメイン数 署名ドメイン 割合 1 .cz 4909 2098 43% 69 .ie 1300 2 0.15% 2 .nl 4806 1657 34% 70 .by 1399 2 0.14% 3 .no 2318 728 31% 71 .sg 1079 1 0.093% 4 .se 3442 806 23% 72 .za 2793 2 0.072% 5 .nu 305 49 16% 73 .ru 50772 36 0.071% 6 .pm 31 4 13% 74 .il 1490 1 0.067% 7 .hu 2897 360 12% 75 .cn 12777 6 0.047% 8 .br 17254 1659 9.6% 76 .ar 2662 1 0.038% 9 .th 1120 94 8.4% 77 .kr 5906 2 0.034% 10 .fr 12604 1027 8.1% 78 .ua 7038 1 0.014% 合計 240 TLD 381015 10495 2.8%
  12. 12. .jp はどうなの? • 署名ドメイン数/総数 = 40/21995 = 0.18% • 平均(1.7%)のはるか下 • ひとつでも署名ドメインが存在する 187 TLD のうち、下から14番目 • ひとつでも署名ドメインが存在する 78 ccTLD のうち、下から11番目 • が、署名ドメインが存在するだけでもマシという考え方もできる • 全 755 TLD 中 174位 • 240 ccTLD 中 68位
  13. 13. jp ドメイン内訳 ドメイン数 署名ドメイン 割合 ドメイン数 署名ドメイン 割合 ac.jp 548 6 1.1% lg.jp 203 0 0% ad.jp 8 2 25% ne.jp 463 1 0.22% co.jp 6266 10 0.16% or.jp 905 3 0.33% ed.jp 115 0 0% 都道府県 型・地域型 366 0 0% go.jp 179 6 3.4% 汎用 12815 12 0.094% gr.jp 127 0 0% 合計 21995 40 0.18%
  14. 14. jp 以外の日本関連TLD 地域TLD ドメイン数 署名ドメイン数 ブランドTLD ドメイン数 署名ドメイン数 .tokyo 246 0 .canon 3 0 .osaka 5 0 .hitachi 2 0 .yokohama 7 0 .jcb 2 0 .kyoto 3 0 .komatsu 3 0 .nagoya 10 0 .nec 1 0 .okinawa 7 0 .nico 4 0 .ryukyu 3 0 .pioneer 1 0 .ricoh 2 0 • 以上 15TLD 299ドメインひとつも署名なし • .moe(インターリンク 2/110), .earth(インターリンク 0/1), .shop(GMO 3/148) • 署名5ドメインのレジストラントはいずれも海外の人っぽい
  15. 15. IDN (国際化ドメイン名) • IDN TLD (example.xn--*) • 23 TLD 1079 ドメイン中署名ドメインなし • うち950ドメインが .рф (.xn--p1ai) • 非 IDN TLD (xn--*.example) • 56 TLD 1465 ドメイン中署名ドメイン22 (1.5%) • .com(10/796) .se(3/7) .no(3/4) .fr(3/6) .de(1/41) .eu(1/7) .nu(1/4) • .net(0/159) .jp(0/119) .xyz(0/79) .biz(0/39) .ua(0/25) .tokyo(0/16) .org(0/15) .kr(0/13) .es (0/13) .su(0/12) 以下略 • 計 0.86% (22/2544)
  16. 16. DNSSEC 非対応 TLD • Top-1M に1ドメインでもランク入りしている TLD のうち、署名ドメイン がひとつもない TLD = 568/755 = 75% • Top-1M に100ドメイン以上ランク入りしている TLD のうち、署名ドメイ ンがひとつもない TLD = 80/188 = 43% • Top-1M に1000ドメイン以上ランク入りしている TLD のうち、署名ドメ インがひとつもない TLD = 8/71 = 11% • .it (13963) .ir (12959) .tr (2906) .vn (2682) .sk (2270) .kz (1444) .pk (1401) .su (1124) • DNSSEC 対応 TLD だが、署名済みドメインが Top 1M ランク入りしな かっただけの可能性もあることに注意
  17. 17. 署名アルゴリズム • RSASHA1(-NSEC3-SHA1) が半数 • ECDSA が予想以上に普及 • ほとんど Cloudflare 収容ドメイン • これから新規に DNSSEC をはじめる なら ECDSA がいいんじゃないかな • 署名サイズが小さいというメリット • RSASHA256 からの移行(アルゴリズム ロールオーバー)は超めんどくさいので 十分に検討してから • TLD ごとに割合が大きく偏っている • .cz、.br、.fr などで RSASHA1 の割合 が高い RSASHA1 17% RSASHA1- NSEC3-SHA1 34% RSASHA256 25% ECDSAP256SHA256 22% その他 2%
  18. 18. アルゴリズム推移 https://twitter.com/reseauxsansfil/status/928010426402725888
  19. 19. .jp 署名アルゴリズム(1) RSASHA1 17% RSASHA1- NSEC3-SHA1 34% RSASHA256 25% ECDSAP256SHA256 22% その他 2% top-1m 全体(再掲) RSASHA1 1 RSASHA1- NSEC3-SHA1 1 RSASHA256 38 .jp (40ドメイン)
  20. 20. .jp 署名アルゴリズム(2) Q. なぜ jp には ECDSA 署名のドメインがないの? A. ECDSA 鍵を登録しようとしても受け付けてくれないから (追記: 発表後、2018年対応予定とコメントいただきました)
  21. 21. ダイジェストアルゴリズム • Top 1M 全体(DS 総数20821) • SHA1 (26%) • SHA256 (73%) • GOST (0.60%) • SHA512 (0.25%) • .jp 40ドメイン(DS 総数59) • SHA1 (32%) • SHA256 (68%) • .jp では GOST と SHA512 は使用不可
  22. 22. まとめ • TLD によって DNSSEC の対応状況は差があるよ • .bank(100%) .mil(96%), .ovh(48%), .cz(43%) • .net (1.2%) .org(1.2%) .com(0.97%) • .jp (0.18%) • 755 TLD のうち 568 が 0% • 全体 1.7% • いろんな署名アルゴリズムが使われてるよ • RSASHA1, RSASHA256, ECDSAP256SHA256 • でも jp では ECDSAP256SHA256 が使えない • 日本はみんなやる気なさげ • そういえば DNS DAY のプログラムも今年は DNSSEC Update が消えましたね

×