Geekly articles weekly

Let's Encrypt melayani hampir 30% domain

RC4 / 3DES / TLS 1.0 dan sertifikat selama ratusan tahun masih digunakan. Analisis ratusan juta jabat tangan SSL


Jika Anda melihat kumpulan data dengan 350 juta koneksi SSL , beberapa pertanyaan segera muncul:

  • yang menerbitkan sertifikat ini
  • kriptografi apa yang ada di sana
  • apa waktu hidup mereka

Mari Enkripsi sertifikat yang dikeluarkan untuk hampir 30% domain


Server kami ( leebutterman.com ) secara otomatis menerima sertifikat Mari Enkripsi - ini adalah otoritas sertifikat paling populer di Internet! Lebih dari 47 juta domain dilindungi oleh sertifikat Mari Enkripsi, yaitu hampir 30% dari sampel kami.

352,3 juta domain mampu membangun 158,7 juta koneksi dengan sertifikat dan penerbit. Sepuluh Teratas:

  47,2 juta Mari Enkripsi
 28,9 juta DigiCert
 13,8 juta Comodo
 10,1 juta google
 7,2 juta GoDaddy
 7,1 juta Sectigo
 7,0 juta cpanel
 6,1 juta GlobalSign
 3,4 juta CloudFlare0
 2,5 juta Amazon
 2,1 juta (penandatanganan mandiri anonim)
 1,1 juta Plesk

Lebih dari 100 ribu kali agregat issuer_dn ini ditemukan:
193590544 null 47237383 C = AS, O = Ayo Enkripsi, CN = Ayo Enkripsi Otoritas X3 13367305 C = AS, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert SHA2 Server Assurance Tinggi CA 13092572 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Domain Validasi Server Aman CA 10081610 C = AS, O = Layanan Kepercayaan Google, CN = Otoritas Internet Google G3 7048258 C = AS, ST = TX, L = Houston, O = cPanel, Inc., CN = cPanel, Inc. Otoritas Sertifikasi 6772537 C = GB, ST = Greater Manchester, L = Salford, O = Sectigo Limited, CN = Sectigo RSA Domain Validasi Server Aman CA 4946970 C = AS, O = DigiCert Inc, OU = www.digicert.com, CN = RapidSSL RSA CA 2018 3926261 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO ECC Domain Validasi Server Aman CA 2 3727005 C = AS, ST = Arizona, L = Scottsdale, O = GoDaddy .com, Inc., OU = http: //certs.godaddy.com/repository/, CN = Go Daddy Secure Certificate Authority - G2 3483129 C = AS, ST = Arizona, L = Scottsdale, O = Starfield Technologies, Inc. , OU = http: //certs.starfieldtech.com/repository/, CN = Otoritas Sertifikat Aman Starfield - G2 3404488 C = AS, ST = CA, L = San Francisco, O = CloudFlare, Inc., CN = CloudFlare Inc ECC CA-2 2523036 C = AS, O = Amazon, OU = Server CA 1B, CN = Amazon 2498667 C = AS, O = DigiCert Inc, OU = www.digicert.com, CN = Thawte TLS RSA CA G1 2431104 C = BE , O = GlobalSign nv-sa, CN = Validasi Domain GlobalSign CA - SHA256 - G2 2422131 C = BE, O = GlobalSign nv-sa, CN = AlphaSSL CA - SHA256 - G2 2310140 C = AS, O = DigiCert Inc, CN = DigiCert SHA2 Server Aman CA 1791127 C = AS, O = DigiCert Inc, OU = www.digicert.com, CN = Enkripsi Di Mana Saja DV TLS CA - G1 1298054 C = GB, ST = Manchester Besar, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Organisasi Validasi Server Aman CA 1019337 C = AS, O = DigiCert Inc, OU = www.digicert.com, CN = GeoTrust RSA CA 2018 853367 C = AS, O = DigiCert Inc, CN = DigiCert ECC Secure Server CA 842994 C = AS, ST = Someprovince, L = Suatu tempat, O = tidak ada, OU = tidak ada, CN = localhost, emailAddress = webmaster @ localhost 828175 C = CH, L = Schaffhausen, O = Plesk, CN = Plesk, emailAddress=info@plesk.com 800601 C = AS, O = DigiCert Inc, OU = www.digicert.com, CN = Thawte RSA CA 2018 736336 C = BE , O = GlobalSign nv-sa, CN = Validasi Organisasi GlobalSign CA - SHA256 - G2 679798 C = FR, ST = Paris, L = Paris, O = Gandi, CN = Standar Gandi SSL CA 2 648187 OU = Server Web standar, CN = www.example.com, emailAddress=postmaster@example.com 572342 C = -, ST = SomeState, L = SomeCity, O = SomeOrganization, OU = S omeOrganizationalUnit, CN = server.ab-archive.net, emailAddress=root@server.ab-archive.net 546456 C = DE, ST = Bayern, L = Muenchen, O = ispgateway, CN = webserver.ispgateway.de, emailAddress = hostmaster@ispgateway.de 501592 C = AS, ST = Virginia, L = Herndon, O = Parallels, OU = Parallels Panel, CN = Parallels Panel, emailAddress=info@parallels.com 501093 C = US, ST = California, O = DreamHost, CN = sni.dreamhost.com 480.468 C = CN, O = TrustAsia Technologies, Inc., OU = Domain Divalidasi SSL, CN = TrustAsia TLS RSA CA 468190 C = BE, O = GlobalSign nv-sa, CN = GlobalSign CloudSSL CA - SHA256 - G3 464242 C = -, ST = SomeState, L = SomeCity, O = SomeOrganization, OU = SomeOrganizationalUnit, CN = localhost.localdomain, emailAddress=root@localhost.localdomain 455067 C = PL, O = home.pl SA, CN = Certyfikat SSL 445550 C = AS, O = DigiCert Inc, OU = www.digicert.com, CN = Enkripsi Di Mana Saja DV TLS CA - G2 417062 C = PL, O = Teknologi Unizeto SA, OU = Otoritas Sertifikasi Certum, CN = Validasi Domain Certum CA SHA2 416966 C = JP, ST = Tokyo, L = Chiyoda-ku, O = G ehirn Inc., CN = Otoritas Sertifikasi Terkelola Gehirn - RSA DV 384480 C = IT, ST = Bergamo, L = Ponte San Pietro, O = Actalis SpA / 03358520967, CN = Organisasi Actalis yang Divalidasi Server CA G2 368708 C = JP, ST = OSAKA, L = OSAKA, O = SecureCore, CN = SecureCore RSA DV CA 353716 C = AS, O = DigiCert Inc, OU = www.digicert.com, CN = RapidSSL TLS RSA CA G1 343034 C = AS, O = DigiCert Inc , CN = DigiCert Global CA G2 278170 C = PL, O = nazwa.pl sp. z oo, OU = http: //nazwa.pl, CN = nazwaSSL 267784 C = AS, ST = Illinois, L = Chicago, O = Trustwave Holdings, Inc., CN = Validasi Organisasi Trustwave SHA256 CA, Level 1, emailAddress = ca@trustwave.com 251987 C = IT, ST = Bergamo, L = Ponte San Pietro, O = Actalis SpA / 03358520967, CN = Server Validasi Domain Actalis CA G2 244273 C = JP, O = Cybertrust Japan Co., Ltd., CN = Cybertrust Publik Jepang CA G3 236 608 C = AS, ST = Washington, L = Seattle, O = Odin, OU = Plesk, CN = Plesk, emailAddress=info@plesk.com 228615 C = GB, ST = Greater Manchester, L = Salford, O = Sectigo Limited, CN = Sectigo RSA Organisasi Validasi Server Aman CA 202529 C = AS, O = DigiCert Inc, OU = www.digicert.com, CN = GeoTrust TLS RSA CA G1 184627 C = AS, ST = MI , L = Ann Arbor, O = Internet2, OU = InCommon, CN = InCommon Server RSA CA 184276 C = AS, O = Entrust, Inc., OU = Lihat www.entrust.net/legal-terms , OU = © 2012 Entrust , Inc. - hanya untuk penggunaan resmi, CN = Otoritas Sertifikasi Entrust - L1K 177315 C = NL, ST = Belanda Utara, L = Amsterdam, O = TERENA, CN = TERENA SSL CA 3 171469 C = LV, L = Riga, O = GoGetSSL , CN = GoGetSSL RSA DV CA 168933 C = AS, O = GeoTrust Inc., CN = RapidSSL SHA256 CA 150830 C = RU, ST = Moskow, L = Moskow, L = Moskow, O = Odin, OU = Otomatisasi Odin, CN = odin.com , emailAddress=webmaster@odin.com 122399 C = JP, O = Japan Registry Services Co., Ltd., CN = Otoritas Validasi Domain JPRS - G2 118029 C = GB, ST = Manchester Besar, L = Salford, O = Sectigo Limited , CN = Sectigo ECC Domain Validasi Server Aman CA 109435 C = GB, ST = Berkshire, L = Newbury, O = Perusahaan Saya Ltd 108309 C = AS, ST = Washington, L = Redmond, O = Microsoft Corporation, OU = Microsoft IT , CN = Microsoft IT TLS CA 2 108016 C = AS, O = GeoTrust Inc., CN = RapidSSL SHA256 CA - G3 107719 C = -, ST = SomeState, L = SomeCity, O = SomeOrganization, OU = SomeOrganizationalUnit, CN = ns546485.ip-158-69-252.net, emailAddress=root@ns546485.ip-158-69-252.net 106164 C = AS, ST = DE, L = Wilmington, O = Perusahaan Se rvice Company, CN = Otoritas Sertifikat Aman Tepercaya DV 104634 CN = localhost

Dalam skema zgrab, ini .data.tls.server_certificates.certificate.parsed.issuer_dn , hasilnya dapat direproduksi menggunakan zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_certificates.certificate.parsed.issuer_dn | sort | uniq -c zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_certificates.certificate.parsed.issuer_dn | sort | uniq -c zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_certificates.certificate.parsed.issuer_dn | sort | uniq -c zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_certificates.certificate.parsed.issuer_dn | sort | uniq -c zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_certificates.certificate.parsed.issuer_dn | sort | uniq -c zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_certificates.certificate.parsed.issuer_dn | sort | uniq -c

Mari Enkripsi sertifikat berlaku selama tiga bulan, menstimulasi siklus pembaruan rutin, tetapi hari ini banyak metode keamanan kuno tetap ada di Internet.

Hampir tiga juta domain dengan RC4 atau 3DES



Dari 160 juta senyawa, lebih dari 150 juta menggunakan kurva eliptik, protokol Diffie-Hellman, dan AES. Cipher suite paling populer berikutnya adalah RSA dengan RC4, dan hampir 1,8% koneksi menggunakan RC4 atau 3DES , dan bahkan DES pada enam domain! ( zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_hello.cipher_suite.name | sort | uniq -c zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_hello.cipher_suite.name | sort | uniq -c )

  120457325 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
 16750820 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
 13808304 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
 2393679 TLS_RSA_WITH_RC4_128_SHA
 1768423 TLS_RSA_WITH_AES_256_CBC_SHA
 1653084 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
 1397638 TLS_RSA_WITH_AES_128_CBC_SHA
 373383 TLS_ECDHE_RSA_WITH_RC4_128_SHA
 157929 TLS_RSA_WITH_3DES_EDE_CBC_SHA
 17663 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
 4041 TLS_ECDHE_ECDSA_WITH_RC4_128_SHA
 2794 TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
 458 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
 205 TLS_RSA_WITH_RC4_128_MD5
 115 TLS_DH_RSA_WITH_AES_128_CBC_SHA
 28 tidak dikenal
 6 TLS_RSA_WITH_DES_CBC_SHA
 1 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

Harap perhatikan bahwa Chrome terbaru tidak dapat menerima RC4 , tetapi menerima 3DES (terima kasih, badssl.com !)

Lebih dari empat juta domain dengan TLS lama


Secara default, paket TLS in go tidak menggunakan TLS 1.3 - tampaknya kumpulan data dikumpulkan dengan zgrab, yang tidak menggunakan TLS 1.3 (mungkin lebih baik untuk memperbaruinya untuk peluncuran berikutnya). Server sebagian besar domain menggunakan TLS 1.2, tetapi lebih dari empat juta dijalankan pada TLS 1.0 ( zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_hello.version.name | sort | uniq -c zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_hello.version.name | sort | uniq -c ).

  154500876 TLSv1.2
 4263887 TLSv1.0
 19352 TLSv1.1
 1781 SSLv3

TLS 1.0 masih diizinkan di Chrome.

Ratusan ribu sertifikat domain berakhir setelah 2099


Sesuai dengan praktik terbaik Enkripsi Terbaik , masa berlaku sertifikat SSL harus 90 hari.

Tetapi praktik terbaik tidak melarang praktik alternatif !


Foto oleh Rick Goldwasser dari Flagstaff, Arizona, USA [ CC BY 2.0 ], melalui Wikimedia Commons

Di alam liar, ada sertifikat dengan milenium kehidupan, seperti pinus spinosus ini.

Ribuan sertifikat berakhir setelah 3000


Lebih dari 3.000 sertifikat tidak kedaluwarsa dalam milenium ini. Lebih dari 8.000 sertifikat berakhir setelah 2200. Lebih dari 200.000 sertifikat - setelah tahun 2100 (lebih dari 1,5 juta - hanya pada tahun 2040-an!)

Jadi, dalam satu tahun 2117, lebih dari 100.000 sertifikat berakhir, dan pada 3017, lebih dari seribu. Mungkin pada tahun 2017 sesuatu yang menginspirasi kepercayaan pada sertifikat berumur panjang?

Jutaan sertifikat telah kedaluwarsa


Hampir 1,6 juta domain baru-baru ini kedaluwarsa sertifikat (pada bulan Juli, bulan pemindaian). Hampir 3,7 juta domain berakhir pada 2019. Lebih dari 9,6 juta domain bekerja dengan sertifikat yang kedaluwarsa pada 2010-an!

Ratusan sertifikat yang dilayani belum valid.


Selain itu, lebih dari seratus ribu sertifikat berakhir sebelum dimulainya validitasnya!

Jelajahi sendiri


Biarkan saya tahu apa yang Anda pikirkan! Analisis kumpulan data ini dan bagikan hasilnya!

Source: https://habr.com/ru/post/id466701/

More articles:


All Articles