はじめに
DNSSECで使われる署名鍵はKSK(Key Signing Key)とZSK(Zone Signing Key)の2種類があります。
TLDゾーンのZSKについて、どの署名アルゴリズムがよく使わええているか、調べました。
調べ方
まず、TLDの一覧をIANAから取得します。
https://data.iana.org/TLD/tlds-alpha-by-domain.txt
それぞれのTLDに対して、digでDNSKEYレコードを引きます。
DNSKEYリリースレコードのフラグが、256のものがZSKなので、そのアルゴリズム番号を確認します。
記載の番号が具体的になんのアルゴリズムであるかは、以下に記載のとおりです。
例えば、よく使われる番号8であればRSASHA256
であることを表します。
結果
2019年11月25日時点の結果で以下の通りとなりました。 ZSKは、ロールオバーの都合などを理由にあるゾーンで複数存在し得るので、 件数の総数はTLDの数より多くなっています。
二モニック | アルゴリズム番号 | ZSKの件数 |
---|---|---|
RSASHA256 | 8 | 1568 |
RSASHA1-NSEC3-SHA1 | 7 | 488 |
RSASHA512 | 10 | 35 |
RSASHA1 | 5 | 32 |
ECDSAP256SHA256 | 13 | 8 |
RSASHA256を使用しているTLDが圧倒的でした。 今後普及してくるかもしれない、アルゴリズム番号13のECDSAを使っているTLDは具体的には以下でした。 全て、ccTLDでした。
アルゴリズム番号13のTLD |
---|
BR. |
CZ. |
LI. |
NU. |
SK. |
UA. |