はじめに
DNSSECで使われる署名鍵はKSK(Key Signing Key)とZSK(Zone Signing Key)の2種類があります。
TLDゾーンのZSKについて、どの署名アルゴリズムがよく使わええているか、調べました。
調べ方
まず、TLDの一覧をIANAから取得します。
https://data.iana.org/TLD/tlds-alpha-by-domain.txt
それぞれのTLDに対して、digでDNSKEYレコードを引きます。
DNSKEYリリースレコードのフラグが、256のものがZSKなので、そのアルゴリズム番号を確認します。
記載の番号が具体的になんのアルゴリズムであるかは、以下に記載のとおりです。
例えば、よく使われる番号8であればRSASHA256であることを表します。
結果
2019年11月25日時点の結果で以下の通りとなりました。 ZSKは、ロールオバーの都合などを理由にあるゾーンで複数存在し得るので、 件数の総数はTLDの数より多くなっています。
| 二モニック | アルゴリズム番号 | ZSKの件数 |
|---|---|---|
| RSASHA256 | 8 | 1568 |
| RSASHA1-NSEC3-SHA1 | 7 | 488 |
| RSASHA512 | 10 | 35 |
| RSASHA1 | 5 | 32 |
| ECDSAP256SHA256 | 13 | 8 |
RSASHA256を使用しているTLDが圧倒的でした。 今後普及してくるかもしれない、アルゴリズム番号13のECDSAを使っているTLDは具体的には以下でした。 全て、ccTLDでした。
| アルゴリズム番号13のTLD |
|---|
| BR. |
| CZ. |
| LI. |
| NU. |
| SK. |
| UA. |
