Geekly articles weekly

Let's Encrypt bedient fast 30% der Domains

RC4 / 3DES / TLS 1.0 und Zertifikate werden seit Hunderten von Jahren verwendet. Analyse von Hunderten Millionen SSL-Handshakes


Wenn Sie sich einen Datensatz mit 350 Millionen SSL-Verbindungen ansehen, stellen sich sofort mehrere Fragen:

  • wer hat diese Zertifikate ausgestellt
  • Welche Kryptographie gibt es?
  • Was ist ihre Lebenszeit

Verschlüsseln wir ausgestellte Zertifikate für fast 30% der Domains


Unser Server ( leebutterman.com ) empfängt automatisch Let's Encrypt-Zertifikate - dies ist die beliebteste Zertifizierungsstelle im Internet! Über 47 Millionen Domains sind durch Let's Encrypt-Zertifikate geschützt, dh fast 30% unserer Stichprobe.

352,3 Millionen Domains konnten 158,7 Millionen Verbindungen mit dem Zertifikat und dem Aussteller herstellen. Top Ten:

  47,2 Millionen Verschlüsseln wir
 28,9 Millionen DigiCert
 13,8 Millionen Comodo
 10,1 Millionen Google
 7,2 Millionen GoDaddy
 7,1 Millionen Sectigo
 7,0 Millionen cpanel
 6,1 Millionen GlobalSign
 3,4 Millionen CloudFlare0
 2,5 Millionen Amazon
 2,1 Millionen (anonyme Selbstsignierung)
 1,1 Millionen Plesk

Mehr als 100.000 Mal wurde dieses Aggregat issuer_dn s gefunden:
193590544 null 47237383 C = US, O = Verschlüsseln, CN = Verschlüsseln der Behörde X3 13367305 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert SHA2 Hochsicherungsserver CA 13092572 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA-Domänenvalidierung Sicherer Server CA 10081610 C = USA, O = Google Trust Services, CN = Google Internet Authority G3 7048258 C = USA, ST = TX, L. = Houston, O = cPanel, Inc., CN = cPanel, Inc. Zertifizierungsstelle 6772537 C = GB, ST = Greater Manchester, L = Salford, O = Sectigo Limited, CN = Sectigo RSA-Domänenvalidierung Sicherer Server CA 4946970 C = USA, O = DigiCert Inc, OU = www.digicert.com, CN = RapidSSL RSA CA 2018 3926261 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO ECC-Domänenvalidierung Sicherer Server CA 2 3727005 C = USA, ST = Arizona, L = Scottsdale, O = GoDaddy .com, Inc., OU = http: //certs.godaddy.com/repository/, CN = Sichere Zertifizierungsstelle für Go Daddy - G2 3483129 C = USA, ST = Arizona, L = Scottsdale, O = Starfield Technologies, Inc. , OU = http: //certs.starfieldtech.com/repository/, CN = Starfield Secure Certificate Authority - G2 3404488 C = USA, ST = CA, L = San Francisco, O = CloudFlare, Inc., CN = CloudFlare Inc ECC CA-2 2523036 C = US, O = Amazon, OU = Server CA 1B, CN = Amazon 2498667 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = Thawte TLS RSA CA G1 2431104 C = BE , O = GlobalSign nv-sa, CN = GlobalSign-Domänenvalidierung CA - SHA256 - G2 2422131 C = BE, O = GlobalSign nv-sa, CN = AlphaSSL CA. - SHA256 - G2 2310140 C = US, O = DigiCert Inc, CN = DigiCert SHA2 Secure Server CA 1791127 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = Verschlüsselung überall DV TLS CA - G1 1298054 C. = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Organisationsvalidierung Sicherer Server CA 1019337 C = USA, O = DigiCert Inc, OU = www.digicert.com, CN = GeoTrust RSA CA. 2018 853367 C = USA, O = DigiCert Inc, CN = DigiCert ECC Secure Server CA 842994 C = USA, ST = Someprovince, L = Sometown, O = keine, OU = keine, CN = localhost, emailAddress = webmaster @ localhost 828175 C. = CH, L = Schaffhausen, O = Plesk, CN = Plesk, emailAddress=info@plesk.com 800601 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = Thawte RSA CA 2018 736336 C = BE , O = GlobalSign nv-sa, CN = Validierung der GlobalSign-Organisation CA - SHA256 - G2 679798 C = FR, ST = Paris, L = Paris, O = Gandi, CN = Gandi Standard-SSL CA 2 648187 OU = Standard-Webserver, CN = www.example.com, emailAddress=postmaster@example.com 572342 C = -, ST = SomeState, L = SomeCity, O = SomeOrganization, OU = S. omeOrganizationalUnit, CN = server.ab-archive.net, emailAddress=root@server.ab-archive.net 546456 C = DE, ST = Bayern, L = München, O = ispgateway, CN = webserver.ispgateway.de, emailAddress = hostmaster@ispgateway.de 501592 C = US, ST = Virginia, L = Herndon, O = Parallels, OU = Parallels Panel, CN = Parallels Panel, emailAddress=info@parallels.com 501093 C = US, ST = Kalifornien, O = DreamHost, CN = sni.dreamhost.com 480.468 C = CN, O = TrustAsia Technologies, Inc., OU = Domänenvalidiertes SSL, CN = TrustAsia TLS RSA CA 468190 C = BE, O = GlobalSign nv-sa, CN = GlobalSign CloudSSL CA - SHA256 - G3 464242 C = -, ST = SomeState, L = SomeCity, O = SomeOrganization, OU = SomeOrganizationalUnit, CN = localhost.localdomain, emailAddress=root@localhost.localdomain 455067 C = PL, O = home.pl. SA, CN = Certyfikat SSL 445550 C = USA, O = DigiCert Inc, OU = www.digicert.com, CN = Verschlüsselung überall DV TLS CA - G2 417062 C = PL, O = Unizeto Technologies SA, OU = Zertifizierungsstelle, CN = Certum Domain Validation CA SHA2 416966 C = JP, ST = Tokio, L = Chiyoda-ku, O = G. ehirn Inc., CN = von Gehirn verwaltete Zertifizierungsstelle - RSA DV 384480 C = IT, ST = Bergamo, L = Ponte San Pietro, O = Actalis SpA / 03358520967, CN = Validierter Server der Actalis-Organisation CA G2 368708 C = JP, ST = OSAKA, L = OSAKA, O = SecureCore, CN = SecureCore RSA DV CA 353716 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = RapidSSL TLS RSA CA G1 343034 C = US, O = DigiCert Inc. , CN = DigiCert Global CA G2 278170 C = PL, O = nazwa.pl sp. z oo, OU = http: //nazwa.pl, CN = nazwaSSL 267784 C = USA, ST = Illinois, L = Chicago, O = Trustwave Holdings, Inc., CN = Validierung der Trustwave-Organisation SHA256 CA, Ebene 1, E-Mail-Adresse = ca@trustwave.com 251987 C = IT, ST = Bergamo, L = Ponte San Pietro, O = Actalis SpA / 03358520967, CN = Actalis-Domänenvalidierungsserver CA G2 244273 C = JP, O = Cybertrust Japan Co., Ltd. CN = Cybertrust Japan Public CA G3 236 608 C = USA, ST = Washington, L = Seattle, O = Odin, OU = Plesk, CN = Plesk, emailAddress=info@plesk.com 228615 C = GB, ST = Greater Manchester, L. = Salford, O = Sectigo Limited, CN = Sectigo RSA Organisationsvalidierung Sicherer Server CA 202529 C = USA, O = DigiCert Inc, OU = www.digicert.com, CN = GeoTrust TLS RSA CA G1 184627 C = USA, ST = MI , L = Ann Arbor, O = Internet2, OU = InCommon, CN = InCommon RSA-Server CA 184276 C = US, O = Entrust, Inc., OU = Siehe www.entrust.net/legal-terms , OU = © 2012 Entrust , Inc. - Nur zur autorisierten Verwendung, CN = Entrust Certification Authority - L1K 177315 C = NL, ST = Nordholland, L = Amsterdam, O = TERENA, CN = TERENA SSL CA 3 171469 C = LV, L = Riga, O = GoGetSSL , CN = GoGetSSL RSA DV CA 168933 C = US, O = GeoTrust Inc., CN = RapidSSL SHA256 CA 150830 C = RU, ST = Moskau, L = Moskau, O = Odin, OU = Odin Automation, CN = odin.com , emailAddress=webmaster@odin.com 122399 C = JP, O = Japan Registry Services Co., Ltd., CN = JPRS-Domainvalidierungsbehörde - G2 118029 C = GB, ST = Greater Manchester, L = Salford, O = Sectigo Limited , CN = Sectigo ECC-Domänenvalidierung Sicherer Server CA 109435 C = GB, ST = Berkshire, L = Newbury, O = My Company Ltd 108309 C = USA, ST = Washington, L = Redmond, O = Microsoft Corporation, OU = Microsoft IT , CN = Microsoft IT TLS CA 2 108016 C = USA, O = GeoTrust Inc., CN = RapidSSL SHA256 CA - G3 107719 C = -, ST = SomeState, L = SomeCity, O = SomeOrganization, OU = SomeOrganizationalUnit, CN = ns546485.ip-158-69-252.net, emailAddress=root@ns546485.ip-158-69-252.net 106164 C = US, ST = DE, L = Wilmington, O = Corporation Se rvice Company, CN = Vertrauenswürdige sichere Zertifizierungsstelle DV 104634 CN = localhost

Im zgrab-Schema ist dies .data.tls.server_certificates.certificate.parsed.issuer_dn . Die Ergebnisse können mit zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_certificates.certificate.parsed.issuer_dn | sort | uniq -c zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_certificates.certificate.parsed.issuer_dn | sort | uniq -c zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_certificates.certificate.parsed.issuer_dn | sort | uniq -c reproduziert werden zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_certificates.certificate.parsed.issuer_dn | sort | uniq -c zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_certificates.certificate.parsed.issuer_dn | sort | uniq -c zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_certificates.certificate.parsed.issuer_dn | sort | uniq -c

Lassen Sie uns Zertifikate verschlüsseln, die drei Monate lang gültig sind und einen regelmäßigen Aktualisierungszyklus anregen. Heute sind jedoch noch viele alte Sicherheitsmethoden im Internet verfügbar.

Fast drei Millionen Domains mit RC4 oder 3DES



Von den 160 Millionen Verbindungen verwendeten mehr als 150 Millionen elliptische Kurven, das Diffie-Hellman-Protokoll und AES. Die nächstbeliebteste Cipher Suite war RSA mit RC4, und fast 1,8% der Verbindungen verwendeten RC4 oder 3DES und sogar DES auf sechs Domänen! ( zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_hello.cipher_suite.name | sort | uniq -c zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_hello.cipher_suite.name | sort | uniq -c )

  120457325 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
 16750820 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
 13808304 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
 2393679 TLS_RSA_WITH_RC4_128_SHA
 1768423 TLS_RSA_WITH_AES_256_CBC_SHA
 1653084 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
 1397638 TLS_RSA_WITH_AES_128_CBC_SHA
 373383 TLS_ECDHE_RSA_WITH_RC4_128_SHA
 157929 TLS_RSA_WITH_3DES_EDE_CBC_SHA
 17663 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
 4041 TLS_ECDHE_ECDSA_WITH_RC4_128_SHA
 2794 TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
 458 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
 205 TLS_RSA_WITH_RC4_128_MD5
 115 TLS_DH_RSA_WITH_AES_128_CBC_SHA
 28 unbekannt
 6 TLS_RSA_WITH_DES_CBC_SHA
 1 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

Bitte beachten Sie, dass das neueste Chrome RC4 nicht akzeptiert, aber 3DES akzeptiert (danke, badssl.com !)

Über vier Millionen Domains mit altem TLS


Standardmäßig verwendet das TLS-Paket in go kein TLS 1.3 - es scheint, dass der Datensatz mit zgrab erfasst wurde, das kein TLS 1.3 verwendet (es ist wahrscheinlich besser, ihn für die nächsten Starts zu aktualisieren). Die Server der meisten Domänen verwendeten TLS 1.2, aber mehr als vier Millionen laufen unter TLS 1.0 ( zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_hello.version.name | sort | uniq -c zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_hello.version.name | sort | uniq -c ).

  154500876 TLSv1.2
 4263887 TLSv1.0
 19352 TLSv1.1
 1781 SSLv3

TLS 1.0 ist in Chrome weiterhin zulässig.

Hunderttausende von Domain-Zertifikaten verfallen nach 2099


Gemäß den Best Practices von Best Encrypt sollte die Lebensdauer von SSL-Zertifikaten 90 Tage betragen.

Best Practices verbieten jedoch keine alternativen Praktiken !


Foto von Rick Goldwasser aus Flagstaff, Arizona, USA [ CC BY 2.0 ], über Wikimedia Commons

In freier Wildbahn gibt es Zertifikate mit einem Jahrtausend Leben, wie diese Dornkiefern.

Tausende Zertifikate verfallen nach 3000


Mehr als 3.000 Zertifikate verfallen in diesem Jahrtausend nicht. Über 8.000 Zertifikate verfallen nach 2200. Mehr als 200.000 Zertifikate - nach 2100 (mehr als 1,5 Millionen - nur in den 2040er Jahren!)

In einem Jahr 2117 verfallen also mehr als 100.000 Zertifikate und in 3017 mehr als tausend. Vielleicht hat 2017 etwas das Vertrauen in langlebige Zertifikate geweckt?

Millionen von Zertifikaten sind abgelaufen


Fast 1,6 Millionen Domains haben kürzlich ein Zertifikat abgelaufen (im Juli, dem Monat des Scannens). Fast 3,7 Millionen Domains sind 2019 abgelaufen. Über 9,6 Millionen Domains arbeiten mit einem Zertifikat, das in den 2010er Jahren abgelaufen ist!

Hunderte von Zertifikaten sind noch nicht gültig.


Darüber hinaus verfallen mehr als hunderttausend Zertifikate vor Beginn ihrer Gültigkeit!

Entdecken Sie selbst


Lass mich wissen, was du denkst! Analysieren Sie diesen Datensatz und teilen Sie die Ergebnisse!

Source: https://habr.com/ru/post/de466701/

More articles:


All Articles