Geekly articles weekly

Let's Encrypt dessert près de 30% des domaines

RC4 / 3DES / TLS 1.0 et les certificats pour des centaines d'années sont toujours utilisés. Analyse de centaines de millions de poignées de main SSL


Si vous regardez un ensemble de données avec 350 millions de connexions SSL , plusieurs questions se posent immédiatement:

  • qui a délivré ces certificats
  • quelle cryptographie est là
  • quelle est leur durée de vie

Encryptons les certificats émis pour près de 30% des domaines


Notre serveur ( leebutterman.com ) reçoit automatiquement les certificats Let's Encrypt - c'est l'autorité de certification la plus populaire sur Internet! Plus de 47 millions de domaines sont protégés par des certificats Let's Encrypt, soit près de 30% de notre échantillon.

352,3 millions de domaines ont pu établir 158,7 millions de connexions avec le certificat et l'émetteur. Dix premiers:

  47,2 millions Let's Encrypt
 28,9 millions de DigiCert
 13,8 millions Comodo
 10,1 millions de google
 7,2 millions de GoDaddy
 7,1 millions de Sectigo
 7,0 millions de panneaux
 6,1 millions GlobalSign
 3,4 millions CloudFlare0
 2,5 millions d'Amazon
 2,1 millions (auto-signature anonyme)
 1,1 million de Plesk

Plus de 100 000 fois cet ensemble issuer_dn s est trouvé:
193590544 null 47237383 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3 13367305 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert SHA2 High Assurance Server CA 13092572 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Domain Validation Secure Server CA 10081610 C = US, O = Google Trust Services, CN = Google Internet Authority G3 7048258 C = US, ST = TX, L = Houston, O = cPanel, Inc., CN = cPanel, Inc. Autorité de certification 6772537 C = GB, ST = Greater Manchester, L = Salford, O = Sectigo Limited, CN = Sectigo RSA Domain Validation Secure Server CA 4946970 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = RapidSSL RSA CA 2018 3926261 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO ECC Domain Validation Secure Server CA 2 3727005 C = US, ST = Arizona, L = Scottsdale, O = GoDaddy .com, Inc., OU = http: //certs.godaddy.com/repository/, CN = Go Daddy Secure Certificate Authority - G2 3483129 C = US, ST = Arizona, L = Scottsdale, O = Starfield Technologies, Inc. , OU = http: //certs.starfieldtech.com/repository/, CN = Starfield Secure Certificate Authority - G2 3404488 C = US, ST = CA, L = San Francisco, O = CloudFlare, Inc., CN = CloudFlare Inc ECC CA-2 2523036 C = US, O = Amazon, OU = Server CA 1B, CN = Amazon 2498667 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = Thawte TLS RSA CA G1 2431104 C = BE , O = GlobalSign nv-sa, CN = GlobalSign Domain Validation CA - SHA256 - G2 2422131 C = BE, O = GlobalSign nv-sa, CN = AlphaSSL CA - SHA256 - G2 2310140 C = US, O = DigiCert Inc, CN = DigiCert SHA2 Secure Server CA 1791127 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = Encryption Everywhere DV TLS CA - G1 1298054 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Organization Validation Secure Server CA 1019337 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = GeoTrust RSA CA 2018 853367 C = US, O = DigiCert Inc, CN = DigiCert ECC Secure Server CA 842994 C = US, ST = Someprovince, L = Sometown, O = none, OU = none, CN = localhost, emailAddress = webmaster @ localhost 828175 C = CH, L = Schaffhouse, O = Plesk, CN = Plesk, emailAddress=info@plesk.com 800601 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = Thawte RSA CA 2018 736336 C = BE , O = GlobalSign nv-sa, CN = GlobalSign Organization Validation CA - SHA256 - G2 679798 C = FR, ST = Paris, L = Paris, O = Gandi, CN = Gandi Standard SSL CA 2 648187 OU = serveur Web par défaut, CN = www.example.com, emailAddress=postmaster@example.com 572342 C = -, ST = SomeState, L = SomeCity, O = SomeOrganization, OU = S omeOrganizationalUnit, CN = server.ab-archive.net, emailAddress=root@server.ab-archive.net 546456 C = DE, ST = Bayern, L = Muenchen, O = ispgateway, CN = webserver.ispgateway.de, emailAddress = hostmaster@ispgateway.de 501592 C = US, ST = Virginia, L = Herndon, O = Parallels, OU = Parallels Panel, CN = Parallels Panel, emailAddress=info@parallels.com 501093 C = US, ST = California, O = DreamHost, CN = sni.dreamhost.com 480 468 C = CN, O = TrustAsia Technologies, Inc., OU = SSL validé par domaine, CN = TrustAsia TLS RSA CA 468190 C = BE, O = GlobalSign nv-sa, CN = GlobalSign CloudSSL CA - SHA256 - G3 464242 C = -, ST = SomeState, L = SomeCity, O = SomeOrganization, OU = SomeOrganizationalUnit, CN = localhost.localdomain, emailAddress=root@localhost.localdomain 455067 C = PL, O = home.pl SA, CN = Certyfikat SSL 445550 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = Encryption Everywhere DV TLS CA - G2 417062 C = PL, O = Unizeto Technologies SA, OU = Certum Certification Authority, CN = validation de domaine Certum CA SHA2 416966 C = JP, ST = Tokyo, L = Chiyoda-ku, O = G ehirn Inc., CN = Gehirn Managed Certification Authority - RSA DV 384480 C = IT, ST = Bergamo, L = Ponte San Pietro, O = Actalis SpA / 03358520967, CN = Actalis Organisation Validated Server CA G2 368708 C = JP, ST = OSAKA, L = OSAKA, O = SecureCore, CN = SecureCore RSA DV CA 353716 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = RapidSSL TLS RSA CA G1 343034 C = US, O = DigiCert Inc , CN = DigiCert Global CA G2 278170 C = PL, O = nazwa.pl sp. z oo, OU = http: //nazwa.pl, CN = nazwaSSL 267784 C = US, ST = Illinois, L = Chicago, O = Trustwave Holdings, Inc., CN = Trustwave Organization Validation SHA256 CA, niveau 1, emailAddress = ca@trustwave.com 251987 C = IT, ST = Bergamo, L = Ponte San Pietro, O = Actalis SpA / 03358520967, CN = Actalis Domain Validation Server CA G2 244273 C = JP, O = Cybertrust Japan Co., Ltd., CN = Cybertrust Japan Public CA G3 236 608 C = US, ST = Washington, L = Seattle, O = Odin, OU = Plesk, CN = Plesk, emailAddress=info@plesk.com 228615 C = GB, ST = Greater Manchester, L = Salford, O = Sectigo Limited, CN = Sectigo RSA Organization Validation Secure Server CA 202529 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = GeoTrust TLS RSA CA G1 184627 C = US, ST = MI , L = Ann Arbor, O = Internet2, OU = InCommon, CN = InCommon RSA Server CA 184276 C = US, O = Entrust, Inc., OU = See www.entrust.net/legal-terms , OU = © 2012 Entrust , Inc. - pour usage autorisé uniquement, CN = Autorité de certification Entrust - L1K 177315 C = NL, ST = Noord-Holland, L = Amsterdam, O = TERENA, CN = TERENA SSL CA 3 171469 C = LV, L = Riga, O = GoGetSSL , CN = GoGetSSL RSA DV CA 168933 C = US, O = GeoTrust Inc., CN = RapidSSL SHA256 CA 150830 C = RU, ST = Moscou, L = Moscou, O = Odin, OU = Odin Automation, CN = odin.com , emailAddress=webmaster@odin.com 122399 C = JP, O = Japan Registry Services Co., Ltd., CN = JPRS Domain Validation Authority - G2 118029 C = GB, ST = Greater Manchester, L = Salford, O = Sectigo Limited , CN = Sectigo ECC Domain Validation Secure Server CA 109435 C = GB, ST = Berkshire, L = Newbury, O = My Company Ltd 108309 C = US, ST = Washington, L = Redmond, O = Microsoft Corporation, OU = Microsoft IT , CN = Microsoft IT TLS CA 2 108016 C = US, O = GeoTrust Inc., CN = RapidSSL SHA256 CA - G3 107719 C = -, ST = SomeState, L = SomeCity, O = SomeOrganization, OU = SomeOrganizationalUnit, CN = ns546485.ip-158-69-252.net, emailAddress=root@ns546485.ip-158-69-252.net 106164 C = US, ST = DE, L = Wilmington, O = Corporation Se rvice Company, CN = Trusted Secure Certificate Authority DV 104634 CN = localhost

Dans le schéma zgrab, il s'agit de .data.tls.server_certificates.certificate.parsed.issuer_dn , les résultats peuvent être reproduits à l'aide de zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_certificates.certificate.parsed.issuer_dn | sort | uniq -c zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_certificates.certificate.parsed.issuer_dn | sort | uniq -c zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_certificates.certificate.parsed.issuer_dn | sort | uniq -c zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_certificates.certificate.parsed.issuer_dn | sort | uniq -c zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_certificates.certificate.parsed.issuer_dn | sort | uniq -c zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_certificates.certificate.parsed.issuer_dn | sort | uniq -c

Les certificats Let's Encrypt sont valables trois mois, ce qui stimule un cycle de mise à jour régulier, mais aujourd'hui, de nombreuses méthodes de sécurité anciennes restent sur Internet.

Près de trois millions de domaines avec RC4 ou 3DES



Sur les 160 millions de composés, plus de 150 millions utilisaient des courbes elliptiques, le protocole Diffie-Hellman et AES. La deuxième suite de chiffrement la plus populaire était RSA avec RC4, et près de 1,8% des connexions utilisaient RC4 ou 3DES , et même DES sur six domaines! ( zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_hello.cipher_suite.name | sort | uniq -c zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_hello.cipher_suite.name | sort | uniq -c )

  120457325 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
 16750820 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
 13808304 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
 2393679 TLS_RSA_WITH_RC4_128_SHA
 1768423 TLS_RSA_WITH_AES_256_CBC_SHA
 1653084 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
 1397638 TLS_RSA_WITH_AES_128_CBC_SHA
 373383 TLS_ECDHE_RSA_WITH_RC4_128_SHA
 157929 TLS_RSA_WITH_3DES_EDE_CBC_SHA
 17663 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
 4041 TLS_ECDHE_ECDSA_WITH_RC4_128_SHA
 2794 TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
 458 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
 205 TLS_RSA_WITH_RC4_128_MD5
 115 TLS_DH_RSA_WITH_AES_128_CBC_SHA
 28 inconnu
 6 TLS_RSA_WITH_DES_CBC_SHA
 1 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

Veuillez noter que le dernier Chrome ne peut pas accepter RC4 , mais accepte 3DES (merci, badssl.com !)

Plus de quatre millions de domaines avec TLS hérité


Par défaut, le package TLS dans go n'utilise pas TLS 1.3 - il semble que l'ensemble de données a été collecté avec zgrab, qui n'utilise pas TLS 1.3 (il est probablement préférable de le mettre à jour pour les prochains lancements). Les serveurs de la plupart des domaines utilisaient TLS 1.2, mais plus de quatre millions fonctionnent sur TLS 1.0 ( zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_hello.version.name | sort | uniq -c zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_hello.version.name | sort | uniq -c ).

  154500876 TLSv1.2
 4263887 TLSv1.0
 19352 TLSv1.1
 1781 SSLv3

TLS 1.0 est toujours autorisé dans Chrome.

Des centaines de milliers de certificats de domaine expirent après 2099


Conformément aux meilleures pratiques de Best Encrypt , la durée de vie des certificats SSL doit être de 90 jours.

Mais les bonnes pratiques n'interdisent pas les pratiques alternatives !


Photo de Rick Goldwasser de Flagstaff, Arizona, États-Unis [ CC BY 2.0 ], via Wikimedia Commons

Dans la nature, il y a des certificats avec un millénaire de vie, comme ces pins épineux.

Des milliers de certificats expirent après 3000


Plus de 3 000 certificats n'expirent pas au cours de ce millénaire. Plus de 8 000 certificats expirent après 2200. Plus de 200 000 certificats - après 2100 (plus de 1,5 million - uniquement dans les années 2040!)

Ainsi, en un an 2117, plus de 100 000 certificats expirent et en 3017, plus d'un millier. C'est peut-être en 2017 que quelque chose a inspiré la confiance dans les certificats à long terme?

Des millions de certificats ont expiré


Près de 1,6 million de domaines ont récemment expiré un certificat (en juillet, le mois de la numérisation). Près de 3,7 millions de domaines ont expiré en 2019. Plus de 9,6 millions de domaines fonctionnent avec un certificat qui a expiré dans les années 2010!

Des centaines de certificats délivrés ne sont pas encore valides.


De plus, plus de cent mille certificats expirent avant le début de leur validité!

Explorez par vous-même


Dites moi ce que vous en pensez! Analysez cet ensemble de données et partagez les résultats!

Source: https://habr.com/ru/post/fr466701/

More articles:


All Articles