Už to bude skoro půl roku, co jsme na naší konferenci IT 16.2 prezentovali záměr změnit algoritmus DNSSEC klíče zóny CZ. Kolega Zdeněk Brůna tehdy ve své prezentaci detailně popsal výhody algoritmů založených na eliptických křivkách a to zejména algoritmu ECDSA. Nicméně vzhledem k situaci, kdy není možné tento krok provést kvůli nepodpoře tohoto algoritmu v kořenové zóně, přesunuli se naše aktivity zejména k osvětě a ke sledování dopadů osvěty na stav podpory této nové technologie. Na semináři s registrátory, který jsme měli na konci února, jsme zaznamenali pozitivní odezvu na některé vlastnosti ECDSA, jako jsou menší velikost zónového souboru nebo menší velikost DNS odpovědi. Někteří registrátoři již na místě deklarovali zájem na ECDSA přejít také. Zároveň registrátoři navrhli, abychom na našem webu zveřejnit statistiky ukazující, jak jsou různé DNSSEC algoritmy v CZ zóně používané. Tento nápad se nám líbil a tak nyní tyto statistiky zveřejňujeme.
Ze statistik vyplývá, že stále nejpoužívanějším algoritmem je RSASHA1. Tento algoritmus má bohužel řadu nevýhod. Tou hlavní je jeho nekompatibilita s NSEC3 technologií a tudíž je primárně určen pro zóny, u kterých nevadí, že jejich obsah je veřejně dostupný. Druhou nevýhodou je jeho orientace na „dosluhující“ hashovací funkci SHA1. Proto je důležité, aby správci domén používající pro DNSSEC tento algoritmus zvážili přechod na jiný typ algoritmu. Co nás těší je, že ECDSA algoritmus již rozhodně není v CZ zóně něco exotického. Aktuálně ho využívá přes 80 000 domén, tedy necelých 13 %, a je to třetí nejpoužívanější DNSSEC algoritmus. Jak jsme se do tohoto stavu dostali ukazuje následující graf.
Vývoj podpory algoritmu označovaného jako ECDSAP256SHA256 je možné sledovat na fialové křivce. Do prosince 2016 se jednalo o pár stovek domén. Sem patří kolem stovky našich vlastních domén, a zbytek jsou domény provozované na infrastruktuře společnosti Cloudflare. Tato společnost je celosvětově hlavním tahounem podpory ECDSA. U nás má několik tisíc domén, nicméně díky neexistující vazbě mezi DNS operátory a registrátory není u všech DNSSEC nastaven. To by se mohlo změnit s projektem automatizované správy keysetů, na kterém aktuálně pracujeme.
V prosinci 2016 je v grafu vidět první velký skok, který je způsobem přechodem na ECDSA u všech domén hostovaných u registrátora Zoner a který se týkal zhruba 30 000 domén. Z grafu je také vidět, že se jednalo o přechod z algoritmu RSASHA1-NSEC3-SHA1. Druhý velký skok se udál před dvěma týdny, kdy obdobným způsobem převedl všechny své domény na ECDSA také registrátor IGNUM. Tentokrát to bylo přes 50 000 domén a bylo to na úkor algoritmu RSASHA1. Oba registrátoři označili tento přechod za bezproblémový. Jsme samozřejmě rádi, že mezi našimi registrátory jsou i takoví, kteří prokazatelně zvládnou ne úplně triviální rotaci DNSSEC klíčů. Změna algoritmu totiž není totéž jako běžná změna klíče, vyžaduje více kroků a větší pozornost. Pokusíme se získat jejich podrobnější zprávu, třeba již na červnové konferenci IT 17.