RC4 / 3DES / TLS 1.0 وشهادات لمئات السنين لا تزال قيد الاستخدام. تحليل مئات الملايين من مصافحات SSL
إذا نظرت إلى
مجموعة بيانات بها 350 مليون اتصال SSL ، فثمة أسئلة عديدة تظهر على الفور:
- الذي أصدر هذه الشهادات
- ما تشفير هناك
- ما هو وقت حياتهم
دعونا تشفير الشهادات الصادرة لنحو 30 ٪ من المجالات
خادمنا (
leebutterman.com ) يتلقى تلقائيًا شهادات "دعونا
نشفّر " - وهذا هو المرجع الأكثر شعبية على الإنترنت! أكثر من 47 مليون نطاق محمية بشهادات Let's Encrypt ، أي ما يقرب من 30 ٪ من عينة لدينا.
تمكن 352.3 مليون نطاق من إنشاء 158.7 مليون اتصال بالشهادة والمصدر. العشرة الأوائل:
47.2 مليون دعونا تشفير
28.9 مليون DigiCert
13.8 مليون كمودو
10.1 مليون جوجل
7.2 مليون GoDaddy
7.1 مليون سيكتيجو
7.0 مليون لوحة
6.1 مليون GlobalSign
3.4 مليون CloudFlare0
2.5 مليون أمازون
2.1 مليون (توقيع مجهول الهوية)
1.1 مليون بليسك
تم العثور على هذا الإصدار التجميعي أكثر من 100 ألف مرة:193590544 فارغة 47237383 C = الولايات المتحدة ، O = فلنشفر ، CN = فلنشفر المرجع X3 13367305 C = الولايات المتحدة ، O = DigiCert Inc ، OU = www.digicert.com ، CN = DigiCert SHA2 High Assurance Server CA 13092572 C = GB ، ST = مانشستر الكبرى ، L = Salford ، O = COMODO CA Limited ، CN = خادم آمن للتحقق من صحة النطاق COMODO RSA CA 10081610 C = الولايات المتحدة ، O = Google Trust Services ، CN = Google Internet Authority G3 7048258 C = الولايات المتحدة ، ST = TX ، L = هيوستن ، O = cPanel، Inc. ، CN = cPanel، Inc. المرجع المصدق 6772537 C = GB ، ST = Greater Manchester ، L = Salford ، O = Sectigo Limited ، CN = Sectigo RSA Server Secure Validation CA CA 4946970 C = الولايات المتحدة ، O = DigiCert Inc ، OU = www.digicert.com ، CN = RapidSSL RSA CA 2018 3926261 C = GB، ST = Greater Manchester، L = Salford، O = COMODO CA Limited، CN = COMODO ECC Validation المجال خادم آمن CA 2 3727005 C = الولايات المتحدة ، ST = أريزونا ، L = سكوتسديل ، O = GoDaddy .com، Inc.، OU = http: //certs.godaddy.com/repository/، CN = Go Daddy Secure Certificate Authority - G2 3483129 C = US، ST = Arizona، L = Scottsdale، O = Starfield Technologies، Inc. ، OU = http: //certs.starfieldtech.com/repository/ ، CN = هيئة شهادة تأمين Starfield - G2 3404488 C = الولايات المتحدة ، ST = CA ، L = سان فرانسيسكو ، O = CloudFlare، Inc. ، CN = CloudFlare Inc ECC CA-2 2523036 C = الولايات المتحدة ، O = Amazon ، OU = الخادم CA 1B ، CN = Amazon 2498667 C = الولايات المتحدة ، O = DigiCert Inc ، OU = www.digicert.com ، CN = Thawte TLS RSA CA G1 2431104 C = BE ، O = GlobalSign nv-sa ، CN = التحقق من صحة مجال GlobalSign CA - SHA256 - G2 2422131 C = BE ، O = GlobalSign nv-sa ، CN = AlphaSSL CA - SHA256 - G2 2310140 C = الولايات المتحدة ، O = DigiCert Inc ، CN = DigiCert SHA2 Secure Server CA 1791127 C = الولايات المتحدة ، O = DigiCert Inc ، OU = www.digicert.com ، CN = التشفير في كل مكان DV TLS CA - G1 1298054 C = GB ، ST = مانشستر الكبرى ، L = Salford ، O = COMODO CA Limited ، CN = خادم آمن للتحقق من صحة منظمة COMODO RSA CA 1019337 C = الولايات المتحدة ، O = DigiCert Inc ، OU = www.digicert.com ، CN = GeoTrust RSA CA 2018 853367 C = الولايات المتحدة ، O = DigiCert Inc ، CN = DigiCert ECC Secure Server CA 842994 C = US، ST = Someprovince، L = Sometown، O = none، OU = none، CN = localhost، emailAddress = webmaster @ localhost 828175 C = CH ، L = Schaffhausen ، O = Plesk ، CN = Plesk ، emailAddress=info@plesk.com 800601 C = الولايات المتحدة ، O = DigiCert Inc ، OU = www.digicert.com ، CN = Thawte RSA CA 2018 736336 C = BE ، O = GlobalSign nv-sa ، CN = التحقق من صحة منظمة GlobalSign CA - SHA256 - G2 679798 C = FR ، ST = Paris ، L = Paris ، O = Gandi ، CN = Gandi Standard SSL CA 2 648187 OU = خادم الويب الافتراضي ، CN = www.example.com ، emailAddress=postmaster@example.com 572342 C = - ، ST = SomeState ، L = SomeCity ، O = SomeOrganization ، OU = S omeOrganizationalUnit، CN = server.ab-archive.net، emailAddress=root@server.ab-archive.net 546456 C = DE، ST = Bayern، L = Muenchen، O = ispgateway، CN = webserver.ispgateway.de، emailAddress = hostmaster@ispgateway.de 501592 C = الولايات المتحدة ، ST = فرجينيا ، L = هرندون ، O = المتوازيات ، OU = لوحة المتوازيات ، CN = لوحة المتوازيات ، emailAddress=info@parallels.com 501093 C = الولايات المتحدة ، ST = كاليفورنيا ، O = DreamHost ، CN = sni.dreamhost.com 480،468 C = CN ، O = TrustAsia Technologies، Inc. ، OU = مجال التحقق من صحة SSL ، CN = TrustAsia TLS RSA CA 468190 C = BE ، O = GlobalSign nv-sa ، CN = GlobalSign CloudSSL CA - SHA256 - G3 464242 C = -، ST = SomeState، L = SomeCity، O = SomeOrganization، OU = SomeOrganizationalUnit، CN = localhost.localdomain، emailAddress=root@localhost.localdomain 455067 C = PL، O = home.pl SA ، CN = Certyfikat SSL 445550 C = الولايات المتحدة ، O = DigiCert Inc ، OU = www.digicert.com ، CN = التشفير في كل مكان DV TLS CA - G2 417062 C = PL ، O = Unizeto Technologies SA ، OU = المرجع المصدق ، CN = التحقق من صحة مجال الشهادة CA SHA2 416966 C = JP ، ST = Tokyo ، L = Chiyoda-ku ، O = G ehirn Inc.، CN = هيئة إصدار الشهادات المدارة من Gehirn - RSA DV 384480 C = IT ، ST = Bergamo ، L = بونتي سان بيترو ، O = Actalis SpA / 03358520967 ، CN = خادم التحقق من صحة منظمة Actalis CA G2 368708 C = JP ، ST = OSAKA ، L = OSAKA ، O = SecureCore ، CN = SecureCore RSA DV CA 353716 C = الولايات المتحدة ، O = DigiCert Inc ، OU = www.digicert.com ، CN = RapidSSL TLS RSA CA G1 343034 C = الولايات المتحدة ، O = DigiCert Inc ، CN = DigiCert Global CA G2 278170 C = PL، O = nazwa.pl sp. z oo، OU = http: //nazwa.pl، CN = nazwaSSL 267784 C = US، ST = Illinois، L = Chicago، O = Trustwave Holdings، Inc.، CN = Trustwave Organization Validation SHA256 CA، Level 1، emailAddress = ca@trustwave.com 251987 C = IT ، ST = Bergamo ، L = Ponte San Pietro ، O = Actalis SpA / 03358520967 ، CN = خادم التحقق من صحة Actalis CA G2 244273 C = JP ، O = Cybertrust Japan Co.، Ltd. ، CN = Cybertrust Japan Public CA G3 236 608 C = US، ST = Washington، L = Seattle، O = Odin، OU = Plesk، CN = Plesk، emailAddress=info@plesk.com 228615 C = GB، ST = Greater Manchester، L = Salford، O = Sectigo Limited، CN = Sectigo RSA Organization Server Validation CA CA 202529 C = US، O = DigiCert Inc، OU = www.digicert.com، CN = GeoTrust TLS RSA CA G1 184627 C = US، ST = MI ، L = Ann Arbor ، O = Internet2 ، OU = InCommon ، CN = InCommon RSA Server CA 184276 C = الولايات المتحدة ، O = Entrust، Inc. ، OU = انظر
www.entrust.net/legal-terms ، OU = © 2012 Entrust ، Inc. - للاستخدام المصرح به فقط ، CN = مرجع مصادقة Entrust - L1K 177315 C = NL ، ST = Noord-Holland ، L = Amsterdam ، O = TERENA ، CN = TERENA SSL CA 3 171469 C = LV ، L = Riga ، O = GoGetSSL ، CN = GoGetSSL RSA DV CA 168933 C = الولايات المتحدة ، O = GeoTrust Inc. ، CN = RapidSSL SHA256 CA 150830 C = RU، ST = Moscow، L = Moscow، O = Odin، OU = Odin Automation، CN = odin.com ، emailAddress=webmaster@odin.com 122399 C = JP، O = Japan Registry Services Co.، Ltd.، CN = JPRS Authority Validation Domain - G2 118029 C = GB، ST = Greater Manchester، L = Salford، O = Sectigo Limited ، CN = Sectigo ECC Server Validation المجال الآمن CA 109435 C = GB ، ST = Berkshire ، L = Newbury ، O = My Company Ltd 108309 C = الولايات المتحدة ، ST = واشنطن ، L = Redmond ، O = Microsoft Corporation ، OU = Microsoft IT ، CN = Microsoft IT TLS CA 2 108016 C = الولايات المتحدة ، O = GeoTrust Inc. ، CN = RapidSSL SHA256 CA - G3 107719 C = -، ST = SomeState، L = SomeCity، O = SomeOrganization، OU = SomeOrganizationalUnit، CN = ns546485.ip-158-69-252.net ، emailAddress=root@ns546485.ip-158-69-252.net 106164 C = الولايات المتحدة ، ST = DE ، L = Wilmington ، O = Corporation Se rvice Company، CN = موثوق به لشهادة التأمين الآمنة DV 104634 CN = مضيف محلي
في مخطط zgrab ، هذا هو
.data.tls.server_certificates.certificate.parsed.issuer_dn ، يمكن إعادة إنتاج النتائج باستخدام
zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_certificates.certificate.parsed.issuer_dn | sort | uniq -c zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_certificates.certificate.parsed.issuer_dn | sort | uniq -c zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_certificates.certificate.parsed.issuer_dn | sort | uniq -c zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_certificates.certificate.parsed.issuer_dn | sort | uniq -c zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_certificates.certificate.parsed.issuer_dn | sort | uniq -c zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_certificates.certificate.parsed.issuer_dn | sort | uniq -c تُعد شهادات Let Encrypt صالحة لمدة ثلاثة أشهر ، مما يحفز دورة التحديث المنتظمة ، لكن اليوم لا تزال هناك العديد من طرق الأمان القديمة على الإنترنت.
ما يقرب من ثلاثة ملايين المجالات مع RC4 أو 3DES
من بين 160 مليون مركبة ، استخدم أكثر من 150 مليون منحنيات إهليلجية وبروتوكول Diffie-Hellman و AES. كان جناح التشفير الأكثر شيوعًا هو RSA مع RC4 ، وحوالي 1.8٪ من الاتصالات استخدمت
RC4 أو
3DES ، وحتى DES على ستة مجالات! (
zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_hello.cipher_suite.name | sort | uniq -c zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_hello.cipher_suite.name | sort | uniq -c )
120457325 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
16750820 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
13808304 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
2393679 TLS_RSA_WITH_RC4_128_SHA
1768423 TLS_RSA_WITH_AES_256_CBC_SHA
1653084 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
1397638 TLS_RSA_WITH_AES_128_CBC_SHA
373383 TLS_ECDHE_RSA_WITH_RC4_128_SHA
157929 TLS_RSA_WITH_3DES_EDE_CBC_SHA
17663 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
4041 TLS_ECDHE_ECDSA_WITH_RC4_128_SHA
2794 TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
458 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
205 TLS_RSA_WITH_RC4_128_MD5
115 TLS_DH_RSA_WITH_AES_128_CBC_SHA
28 غير معروف
6 TLS_RSA_WITH_DES_CBC_SHA
1 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
يرجى ملاحظة أن أحدث إصدار من Chrome لا يمكنه قبول
RC4 ، ولكنه يقبل
3DES (شكرًا ،
badssl.com !)
أكثر من أربعة ملايين نطاقات مع TLS القديمة
بشكل افتراضي ، لا تستخدم حزمة TLS قيد التنفيذ TLS 1.3 - يبدو أنه تم جمع مجموعة البيانات باستخدام zgrab ، والذي لا يستخدم TLS 1.3 (من الأفضل أن يتم تحديثه لعمليات الإطلاق التالية). تستخدم خوادم معظم المجالات TLS 1.2 ، ولكن أكثر من أربعة ملايين تعمل على TLS 1.0 (
zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_hello.version.name | sort | uniq -c zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_hello.version.name | sort | uniq -c ).
154500876 TLSv1.2
4263887 TLSv1.0
19352 TLSv1.1
1781 SSLv3
لا يزال
TLS 1.0 مسموحًا به في Chrome.
تنتهي مئات الآلاف من شهادات النطاق بعد عام 2099
وفقًا
لأفضل ممارسات Best Encrypt ، يجب أن يكون عمر شهادات SSL 90 يومًا.
لكن أفضل الممارسات لا تحظر
الممارسات البديلة !
صورة لريك جولدواسر من فلاجستاف ، أريزونا ، الولايات المتحدة الأمريكية [ CC BY 2.0 ] ، عبر ويكيميديا كومنزفي البرية ، هناك شهادات مع ألف عام من الحياة ، مثل هذه الصنوبر الشائكة.
تنتهي آلاف الشهادات بعد 3000
أكثر من 3000 شهادة لا تنتهي في هذه الألفية. أكثر من 8000 شهادة تنتهي بعد 2200. أكثر من 200000 شهادة - بعد 2100 (أكثر من 1.5 مليون - فقط في الأربعينيات!)
لذلك ، في سنة واحدة 2117 ، تنتهي صلاحية أكثر من 100000 شهادة ، وفي 3017 ، أكثر من ألف. ربما كان في عام 2017 أن شيء ما ألهم الثقة في شهادات طويلة الأجل؟
انتهت صلاحية ملايين الشهادات
لقد انتهت صلاحية ما يقرب من 1.6 مليون نطاق مؤخرًا شهادة (في يوليو ، شهر المسح). انتهت صلاحية حوالي 3.7 مليون نطاق في عام 2019. أكثر من 9.6 مليون نطاق تعمل مع شهادة انتهت صلاحيتها في 2010s!
مئات الشهادات التي تم تقديمها غير صالحة بعد.
علاوة على ذلك ، تنتهي صلاحية أكثر من مائة ألف شهادة قبل بدء صلاحيتها!
استكشف بنفسك
اسمحوا لي أن أعرف ما هو رأيك! تحليل مجموعة البيانات هذه ومشاركة النتائج!