Geekly articles weekly

Let's Encrypt sirve casi el 30% de los dominios

RC4 / 3DES / TLS 1.0 y certificados por cientos de años todavía están en uso. Análisis de cientos de millones de apretones de manos SSL


Si observa un conjunto de datos con 350 millones de conexiones SSL , surgen varias preguntas de inmediato:

  • quien emitió estos certificados
  • que criptografía hay
  • cual es su tiempo de vida

Encriptemos certificados emitidos para casi el 30% de los dominios


Nuestro servidor ( leebutterman.com ) recibe automáticamente los certificados Let's Encrypt: ¡esta es la autoridad de certificación más popular en Internet! Más de 47 millones de dominios están protegidos por los certificados Let's Encrypt, es decir, casi el 30% de nuestra muestra.

352,3 millones de dominios pudieron establecer 158,7 millones de conexiones con el certificado y el emisor. Top Ten:

  47,2 millones Vamos a encriptar
 28,9 millones de DigiCert
 13,8 millones de Comodo
 10,1 millones de google
 7.2 millones de GoDaddy
 7.1 millones de Sectigo
 7.0 millones de cpanel
 6.1 millones de GlobalSign
 3,4 millones de CloudFlare0
 2.5 millones de Amazon
 2,1 millones (firma personal anónima)
 1,1 millones de Plesk

Más de 100 mil veces este total de issuer_dn s se encuentra:
193590544 nulo 47237383 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3 13367305 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert SHA2 High Assurance Server CA 13092572 C = GB, ST = Gran Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Validación de dominio Servidor seguro CA 10081610 C = EE. UU., O = Google Trust Services, CN = Google Internet Authority G3 7048258 C = EE. UU., ST = TX, L = Houston, O = cPanel, Inc., CN = cPanel, Inc. Autoridad de certificación 6772537 C = GB, ST = Greater Manchester, L = Salford, O = Sectigo Limited, CN = Sectigo RSA Domain Validation Secure Server CA 4946970 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = RapidSSL RSA CA 2018 3926261 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO ECC Validación de dominio Servidor seguro CA 2 3727005 C = EE. UU., ST = Arizona, L = Scottsdale, O = GoDaddy .com, Inc., OU = http: //certs.godaddy.com/repository/, CN = Go Daddy Secure Certificate Authority - G2 3483129 C = EE. UU., ST = Arizona, L = Scottsdale, O = Starfield Technologies, Inc. , OU = http: //certs.starfieldtech.com/repository/, CN = Starfield Secure Certificate Authority - G2 3404488 C = US, ST = CA, L = San Francisco, O = CloudFlare, Inc., CN = CloudFlare Inc ECC CA-2 2523036 C = EE. UU., O = Amazon, OU = Servidor CA 1B, CN = Amazon 2498667 C = EE. UU., O = DigiCert Inc, OU = www.digicert.com, CN = Thawte TLS RSA CA G1 2431104 C = BE , O = GlobalSign nv-sa, CN = GlobalSign Validación de dominio CA - SHA256 - G2 2422131 C = BE, O = GlobalSign nv-sa, CN = AlphaSSL CA - SHA256 - G2 2310140 C = EE. UU., O = DigiCert Inc, CN = Servidor seguro DigiCert SHA2 CA 1791127 C = EE. UU., O = DigiCert Inc, OU = www.digicert.com, CN = Cifrado en todas partes DV TLS CA - G1 1298054 C = GB, ST = Gran Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Organización Validación Servidor seguro CA 1019337 C = EE. UU., O = DigiCert Inc, OU = www.digicert.com, CN = GeoTrust RSA CA 2018 853367 C = US, O = DigiCert Inc, CN = DigiCert ECC Secure Server CA 842994 C = US, ST = Someprovince, L = Sometown, O = none, OU = none, CN = localhost, emailAddress = webmaster @ localhost 828175 C = CH, L = Schaffhausen, O = Plesk, CN = Plesk, emailAddress=info@plesk.com 800601 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = Thawte RSA CA 2018 736336 C = BE , O = GlobalSign nv-sa, CN = Validación de organización GlobalSign CA - SHA256 - G2 679798 C = FR, ST = París, L = París, O = Gandi, CN = Gandi SSL estándar CA 2 648187 OU = Servidor web predeterminado, CN = www.example.com, emailAddress=postmaster@example.com 572342 C = -, ST = SomeState, L = SomeCity, O = SomeOrganization, OU = S omeOrganizationalUnit, CN = server.ab-archive.net, emailAddress=root@server.ab-archive.net 546456 C = DE, ST = Bayern, L = Muenchen, O = ispgateway, CN = webserver.ispgateway.de, emailAddress = hostmaster@ispgateway.de 501592 C = EE. UU., ST = Virginia, L = Herndon, O = Parallels, OU = Panel de Parallels, CN = Panel de Parallels, emailAddress=info@parallels.com 501093 C = EE. UU., ST = California, O = DreamHost, CN = sni.dreamhost.com 480,468 C = CN, O = TrustAsia Technologies, Inc., OU = SSL validado por dominio, CN = TrustAsia TLS RSA CA 468190 C = BE, O = GlobalSign nv-sa, CN = GlobalSign CloudSSL CA - SHA256 - G3 464242 C = -, ST = SomeState, L = SomeCity, O = SomeOrganization, OU = SomeOrganizationalUnit, CN = localhost.localdomain, emailAddress=root@localhost.localdomain 455067 C = PL, O = home.pl SA, CN = Certyfikat SSL 445550 C = EE. UU., O = DigiCert Inc, OU = www.digicert.com, CN = Cifrado en todas partes DV TLS CA - G2 417062 C = PL, O = Unizeto Technologies SA, OU = Autoridad de certificación Certum, CN = Certum Domain Validation CA SHA2 416966 C = JP, ST = Tokio, L = Chiyoda-ku, O = G ehirn Inc., CN = Gehirn Managed Certification Authority - RSA DV 384480 C = IT, ST = Bergamo, L = Ponte San Pietro, O = Actalis SpA / 03358520967, CN = Actalis Organization Validated Server CA G2 368708 C = JP, ST = OSAKA, L = OSAKA, O = SecureCore, CN = SecureCore RSA DV CA 353716 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = RapidSSL TLS RSA CA G1 343034 C = US, O = DigiCert Inc , CN = DigiCert Global CA G2 278170 C = PL, O = nazwa.pl sp. z oo, OU = http: //nazwa.pl, CN = nazwaSSL 267784 C = US, ST = Illinois, L = Chicago, O = Trustwave Holdings, Inc., CN = Trustwave Organization Validation SHA256 CA, Nivel 1, emailAddress = ca@trustwave.com 251987 C = IT, ST = Bergamo, L = Ponte San Pietro, O = Actalis SpA / 03358520967, CN = Actalis Domain Validation Server CA G2 244273 C = JP, O = Cybertrust Japan Co., Ltd., CN = Cybertrust Japan Public CA G3 236 608 C = US, ST = Washington, L = Seattle, O = Odin, OU = Plesk, CN = Plesk, emailAddress=info@plesk.com 228615 C = GB, ST = Greater Manchester, L = Salford, O = Sectigo Limited, CN = Sectigo RSA Organización Validación Servidor seguro CA 202529 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = GeoTrust TLS RSA CA G1 184627 C = US, ST = MI , L = Ann Arbor, O = Internet2, OU = InCommon, CN = InCommon RSA Server CA 184276 C = US, O = Entrust, Inc., OU = Consulte www.entrust.net/legal-terms , OU = © 2012 Entrust , Inc. - solo para uso autorizado, CN = Autoridad de certificación de confianza - L1K 177315 C = NL, ST = Noord-Holland, L = Amsterdam, O = TERENA, CN = TERENA SSL CA 3 171469 C = LV, L = Riga, O = GoGetSSL , CN = GoGetSSL RSA DV CA 168933 C = EE. UU., O = GeoTrust Inc., CN = RapidSSL SHA256 CA 150830 C = RU, ST = Moscú, L = Moscú, O = Odin, OU = Odin Automation, CN = odin.com , emailAddress=webmaster@odin.com 122399 C = JP, O = Japan Registry Services Co., Ltd., CN = JPRS Autoridad de validación de dominio - G2 118029 C = GB, ST = Greater Manchester, L = Salford, O = Sectigo Limited , CN = Sectigo ECC Validación de dominio Servidor seguro CA 109435 C = GB, ST = Berkshire, L = Newbury, O = My Company Ltd 108309 C = EE. UU., ST = Washington, L = Redmond, O = Microsoft Corporation, OU = Microsoft IT , CN = Microsoft IT TLS CA 2 108016 C = EE. UU., O = GeoTrust Inc., CN = RapidSSL SHA256 CA - G3 107719 C = -, ST = SomeState, L = SomeCity, O = SomeOrganization, OU = SomeOrganizationalUnit, CN = ns546485.ip-158-69-252.net, emailAddress=root@ns546485.ip-158-69-252.net 106164 C = US, ST = DE, L = Wilmington, O = Corporation Se rvice Company, CN = Autoridad de Certificación Segura de Confianza DV 104634 CN = localhost

En el esquema zgrab, esto es .data.tls.server_certificates.certificate.parsed.issuer_dn , los resultados se pueden reproducir usando zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_certificates.certificate.parsed.issuer_dn | sort | uniq -c zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_certificates.certificate.parsed.issuer_dn | sort | uniq -c zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_certificates.certificate.parsed.issuer_dn | sort | uniq -c zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_certificates.certificate.parsed.issuer_dn | sort | uniq -c zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_certificates.certificate.parsed.issuer_dn | sort | uniq -c zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_certificates.certificate.parsed.issuer_dn | sort | uniq -c

Los certificados Let's Encrypt son válidos por tres meses, estimulando un ciclo de actualización regular, pero hoy en día muchos métodos de seguridad antiguos permanecen en Internet.

Casi tres millones de dominios con RC4 o 3DES



De los 160 millones de compuestos, más de 150 millones utilizaron curvas elípticas, el protocolo Diffie-Hellman y AES. El siguiente conjunto de cifrado más popular fue RSA con RC4, y casi el 1.8% de las conexiones utilizaron RC4 o 3DES , ¡e incluso DES en seis dominios! ( zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_hello.cipher_suite.name | sort | uniq -c zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_hello.cipher_suite.name | sort | uniq -c )

  120457325 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
 16750820 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
 13808304 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
 2393679 TLS_RSA_WITH_RC4_128_SHA
 1768423 TLS_RSA_WITH_AES_256_CBC_SHA
 1653084 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
 1397638 TLS_RSA_WITH_AES_128_CBC_SHA
 373383 TLS_ECDHE_RSA_WITH_RC4_128_SHA
 157929 TLS_RSA_WITH_3DES_EDE_CBC_SHA
 17663 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
 4041 TLS_ECDHE_ECDSA_WITH_RC4_128_SHA
 2794 TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
 458 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
 205 TLS_RSA_WITH_RC4_128_MD5
 115 TLS_DH_RSA_WITH_AES_128_CBC_SHA
 28 desconocido
 6 TLS_RSA_WITH_DES_CBC_SHA
 1 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

Tenga en cuenta que el último Chrome no puede aceptar RC4 , pero acepta 3DES (¡gracias, badssl.com !)

Más de cuatro millones de dominios con TLS heredado


De forma predeterminada, el paquete TLS in go no usa TLS 1.3: parece que el conjunto de datos se recopiló con zgrab, que no usa TLS 1.3 (probablemente sea mejor actualizarlo para los próximos inicios). Los servidores de la mayoría de los dominios usaban TLS 1.2, pero más de cuatro millones se ejecutan en TLS 1.0 ( zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_hello.version.name | sort | uniq -c zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_hello.version.name | sort | uniq -c ).

  154500876 TLSv1.2
 4263887 TLSv1.0
 19352 TLSv1.1
 1781 SSLv3

TLS 1.0 todavía está permitido en Chrome.

Cientos de miles de certificados de dominio expiran después de 2099


De acuerdo con las mejores prácticas de Best Encrypt , la vida útil de los certificados SSL debe ser de 90 días.

¡Pero las mejores prácticas no prohíben las prácticas alternativas !


Foto de Rick Goldwasser de Flagstaff, Arizona, EE. UU. [ CC BY 2.0 ], a través de Wikimedia Commons

En la naturaleza, hay certificados con un milenio de vida, como estos pinos espinosos.

Miles de certificados expiran después de 3000


Más de 3.000 certificados no caducan en este milenio. Más de 8,000 certificados expiran después de 2200. Más de 200,000 certificados, después de 2100 (más de 1.5 millones, ¡solo en la década de 2040!)

Entonces, en un año 2117, caducan más de 100,000 certificados, y en 3017, más de mil. ¿Quizás fue en 2017 que algo inspiró confianza en los certificados de larga duración?

Millones de certificados han expirado


Casi 1.6 millones de dominios han expirado recientemente un certificado (en julio, el mes de la exploración). Casi 3,7 millones de dominios expiraron en 2019. ¡Más de 9.6 millones de dominios funcionan con un certificado que expiró en la década de 2010!

Cientos de certificados servidos aún no son válidos.


Además, ¡más de cien mil certificados caducan antes del inicio de su validez!

Explora por ti mismo


Déjame saber lo que piensas! ¡Analice este conjunto de datos y comparta los resultados!

Source: https://habr.com/ru/post/466701/

More articles:


All Articles