Geekly articles weekly

让我们加密服务近30%的域名

RC4 / 3DES / TLS 1.0和数百年的证书仍在使用。 分析亿万SSL握手


如果查看具有3.5亿SSL连接的数据集,则会立即出现几个问题:

  • 谁颁发了这些证书
  • 那里有什么密码学
  • 他们的生活时间是多少

让我们对将近30%的域颁发的证书进行加密


我们的服务器( leebutterman.com )自动接收“让我们加密”证书-这是Internet上最受欢迎的证书颁发机构! Let's Encrypt证书保护了超过4,700万个域,即几乎占样本的30%。

3.523亿个域能够与证书和颁发者建立1.587亿个连接。 前十名:

  4720万让我们加密
 2890万DigiCert
 1380万科摩多
 1010万Google
 720万GoDaddy
 710万Sectigo
 700万个cpanel
 610万个GlobalSign
 340万个CloudFlare0
 250万亚马逊
 210万(匿名自签名)
 110万Plesk

找到此聚合issuer_dn的次数超过十万次:
193590544空47237383 C =美国,O =让我们加密,CN =让我们加密机构X3 13367305 C =美国,O = DigiCert Inc,OU = www.digicert.com,CN = DigiCert SHA2高保证服务器CA 13092572 C = GB,ST =大曼彻斯特,L =索尔福德,O = COMODO CA Limited,CN = COMODO RSA域验证安全服务器CA 10081610 C = US,O = Google Trust Services,CN = Google Internet Authority G3 7048258 C = US,ST = TX,L =休斯顿,O = cPanel,Inc.,CN = cPanel,Inc. 证书颁发机构6772537 C = GB,ST =大曼彻斯特,L =索尔福德,O = Sectigo Limited,CN = Sectigo RSA域验证安全服务器CA 4946970 C = US,O = DigiCert Inc,OU = www.digicert.com,CN = RapidSSL RSA CA 2018 3926261 C = GB,ST =大曼彻斯特,L =索尔福德,O = COMODO CA Limited,CN = COMODO ECC域验证安全服务器CA 2 3727005 C = US,ST =亚利桑那州,L = Scottsdale,O = GoDaddy .com,Inc.,OU = http://certs.godaddy.com/repository/,CN = Go Daddy安全证书颁发机构-G2 3483129 C =美国,ST =亚利桑那州,L =斯科茨代尔,O = Starfield Technologies,Inc. ,OU = http://certs.starfieldtech.com/repository/,CN = Starfield安全证书颁发机构-G2 3404488 C =美国,ST = CA,L =旧金山,O = CloudFlare,Inc.,CN = CloudFlare Inc ECC CA-2 2523036 C =美国,O =亚马逊,OU =服务器CA 1B,CN = Amazon 2498667 C =美国,O = DigiCert Inc,OU = www.digicert.com,CN = Thawte TLS RSA CA G1 2431104 C = BE ,O = GlobalSign nv-sa,CN = GlobalSign域验证CA-SHA256-G2 2422131 C = BE,O = GlobalSign nv-sa,CN = AlphaSSL CA -SHA256-G2 2310140 C =美国,O = DigiCert Inc,CN = DigiCert SHA2安全服务器CA 1791127 C = US,O = DigiCert Inc,OU = www.digicert.com,CN =随处加密DV TLS CA-G1 1298054 C = GB,ST =大曼彻斯特,L =索尔福德,O = COMODO CA Limited,CN = COMODO RSA组织验证安全服务器CA 1019337 C = US,O = DigiCert Inc,OU = www.digicert.com,CN = GeoTrust RSA CA 2018 853367 C =美国,O = DigiCert Inc,CN = DigiCert ECC安全服务器CA 842994 C = US,ST = Someprovince,L = Sometown,O =无,OU =无,CN =本地主机,emailAddress =网站管理员@本地主机828175 C = CH,L =沙夫豪森,O = Plesk,CN = Plesk,emailAddress=info@plesk.com 800601 C = US,O = DigiCert Inc,OU = www.digicert.com,CN = Thawte RSA CA 2018 736336 C = BE ,O = GlobalSign nv-sa,CN = GlobalSign组织验证CA-SHA256-G2 679798 C = FR,ST =巴黎,L =巴黎,O = Gandi,CN = Gandi标准SSL CA 2 648187 OU =默认Web服务器,CN = www.example.com,emailAddress = postmaster @ example.com 572342 C =-,ST = SomeState,L = SomeCity,O = SomeOrganization,OU = S omeOrganizationalUnit,CN = server.ab-archive.net,emailAddress=root@server.ab-archive.net 546456 C = DE,ST = Bayern,L = Muenchen,O = ispgateway,CN = webserver.ispgateway.de,emailAddress = hostmaster@ispgateway.de 501592 C =美国,ST =加利福尼亚,O = C,美国,ST =弗吉尼亚,L =赫恩登,O =平行,OU =平行面板,CN =平行面板,emailAddress=info@parallels.com DreamHost,CN = sni.dreamhost.com 480,468 C = CN,O = TrustAsia Technologies,Inc.,OU =已通过域验证的SSL,CN = TrustAsia TLS RSA CA 468190 C = BE,O = GlobalSign nv-sa,CN = GlobalSign CloudSSL CA-SHA256-G3 464242 C =-,ST = SomeState,L = SomeCity,O = SomeOrganization,OU = SomeOrganizationalUnit,CN = localhost.localdomain,emailAddress = root @ localhost.localdomain 455067 C = PL,O = home.pl SA,CN = Certyfikat SSL 445550 C =美国,O = DigiCert Inc,OU =加密各处DV TLS CA-G2 417062 C = PL,O = Unizeto Technologies SA,OU = Certum认证中心, CN =铈域验证CA SHA2 416966 C = JP,ST =东京,L =千代田区,O = G ehirn Inc.,CN = Gehirn管理的证书颁发机构-RSA DV 384480 C = IT,ST =贝加莫,L = Ponte San Pietro,O = Actalis SpA / 03358520967,CN = Actalis组织验证服务器CA G2 368708 C = JP,ST = OSAKA,L = OSAKA,O = SecureCore,CN = SecureCore RSA DV CA 353716 C = US,O = DigiCert Inc,OU = www.digicert.com,CN = RapidSSL TLS RSA CA G1 343034 C = US,O = DigiCert Inc ,CN = DigiCert Global CA G2 278170 C = PL,O = nazwa.pl sp。 z oo,OU = http://nazwa.pl,CN = nazwaSSL 267784 C =美国,ST =伊利诺伊州,L =芝加哥,O = Trustwave Holdings,Inc.,CN = Trustwave组织验证SHA256 CA,级别1,emailAddress = ca@trustwave.com 251987 C = IT,ST =贝加莫,L = Ponte San Pietro,O = Actalis SpA / 03358520967,CN = Actalis域验证服务器CA G2 244273 C = JP,O = Cyber​​trust Japan Co.,Ltd., CN = Cyber​​trust Japan Public CA G3 236608 C =美国,ST =华盛顿,L =西雅图,O =奥丁,OU = Plesk,CN = Plesk,emailAddress=info@plesk.com 228615 C = GB,ST =大曼彻斯特,L = Salford,O = Sectigo Limited,CN = Sectigo RSA组织验证安全服务器CA 202529 C =美国,O = DigiCert Inc,OU = www.digicert.com,CN = GeoTrust TLS RSA CA G1 184627 C =美国,ST = MI ,L =安娜堡,O = Internet2,OU = InCommon,CN = InCommon RSA服务器CA 184276 C =美国,O = Entrust,Inc.,OU =参见www.entrust.net/legal-terms,OU =©2012 Entrust ,Inc. -仅供授权使用,CN =委托证书颁发机构-L1K 177315 C = NL,ST = Noord-Holland,L =阿姆斯特丹,O = TERENA,CN = TERENA SSL CA 3 171469 C = LV,L =里加,O = GoGetSSL ,CN = GoGetSSL RSA DV CA 168933 C =美国,O = GeoTrust Inc.,CN = RapidSSL SHA256 CA 150830 C = RU,ST =莫斯科,L =莫斯科,O = Odin,OU = Odin Automation,CN = odin.com ,emailAddress=webmaster@odin.com 122399 C = JP,O =日本注册服务有限公司,CN = JPRS域验证机构-G2 118029 C = GB,ST =大曼彻斯特,L =索尔福德,O = Sectigo Limited ,CN = Sectigo ECC域验证安全服务器CA 109435 C = GB,ST =伯克希尔,L =纽伯里,O =我的有限公司108309 C =美国,ST =华盛顿,L =雷德蒙德,O = Microsoft Corporation,OU = Microsoft IT ,CN = Microsoft IT TLS CA 2 108016 C =美国,O = GeoTrust Inc.,CN = RapidSSL SHA256 CA-G3 107719 C =-,ST = SomeState,L = SomeCity,O = SomeOrganization,OU = SomeOrganizationalUnit,CN = ns546485.ip-158-69-252.net,电子邮件地址=root@ns546485.ip-158-69-252.net 106164 C =美国,ST = DE,L =威明顿,O =公司Se rvice Company,CN =可信安全证书颁发机构DV 104634 CN =本地主机

在zgrab方案中,这是.data.tls.server_certificates.certificate.parsed.issuer_dn ,可以使用zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_certificates.certificate.parsed.issuer_dn | sort | uniq -c zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_certificates.certificate.parsed.issuer_dn | sort | uniq -c zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_certificates.certificate.parsed.issuer_dn | sort | uniq -c复制结果zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_certificates.certificate.parsed.issuer_dn | sort | uniq -c zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_certificates.certificate.parsed.issuer_dn | sort | uniq -c zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_certificates.certificate.parsed.issuer_dn | sort | uniq -c zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_certificates.certificate.parsed.issuer_dn | sort | uniq -c zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_certificates.certificate.parsed.issuer_dn | sort | uniq -c zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_certificates.certificate.parsed.issuer_dn | sort | uniq -c

让我们加密证书的有效期为三个月,这刺激了定期的更新周期,但如今,Internet上仍保留了许多古老的安全方法。

使用RC4或3DES的近300万个域



在1.6亿种化合物中,超过1.5亿种使用了椭圆曲线,Diffie-Hellman协议和AES。 下一个最受欢迎的密码套件是带有RC4的RSA,几乎1.8%的连接使用RC43DES ,甚至在六个域上使用DES! ( zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_hello.cipher_suite.name | sort | uniq -c zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_hello.cipher_suite.name | sort | uniq -c

  120457325 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
 16750820 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
 13808304 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
 2393679 TLS_RSA_WITH_RC4_128_SHA
 1768423 TLS_RSA_WITH_AES_256_CBC_SHA
 1653084 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
 1397638 TLS_RSA_WITH_AES_128_CBC_SHA
 373383 TLS_ECDHE_RSA_WITH_RC4_128_SHA
 157929 TLS_RSA_WITH_3DES_EDE_CBC_SHA
 17663 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
 4041 TLS_ECDHE_ECDSA_WITH_RC4_128_SHA
 2794 TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
 458个TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
 205个TLS_RSA_WITH_RC4_128_MD5
 115 TLS_DH_RSA_WITH_AES_128_CBC_SHA
 28未知
 6个TLS_RSA_WITH_DES_CBC_SHA
 1个TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

请注意,最新的Chrome浏览器不能接受RC4 ,但可以接受3DES (谢谢badssl.com !)

超过四百万个具有旧式TLS的域


默认情况下,go中的TLS软件包不使用TLS 1.3-似乎是通过zgrab收集了数据集,而zgrab不使用TLS 1.3(最好在下一次启动时对其进行更新)。 大多数域的服务器使用TLS 1.2,但超过四百万的服务器在TLS 1.0上运行( zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_hello.version.name | sort | uniq -c zcat 2019-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_hello.version.name | sort | uniq -c )。

  154500876 TLSv1.2
 4263887 TLSv1.0
 19352 TLSv1.1
 1781 SSLv3

Chrome仍允许使用TLS 1.0

2099年后成千上万的域证书过期


根据Best Encrypt的最佳做法 ,SSL证书的有效期应为90天。

但是最佳实践并不禁止替代实践


美国亚利桑那州弗拉格斯塔夫的里克·戈德瓦瑟(Rick Goldwasser)摄影[ CC BY 2.0 ], 通过Wikimedia Commons

在野外,有像这样的棘刺松树一样具有千年生命的证明。

成千上万的证书在3000后过期


在这个千年中,没有超过3,000个证书过期。 2200年后,有8,000多个证书过期。 2100年后超过200,000个证书(仅在2040年代就超过了150万个!)

因此,在2117年中,有超过100,000个证书过期,到3017年,有超过一千个证书过期。 也许是在2017年,一些事情激发了人们对长期证书的信心?

数百万证书已过期


最近有近160万个域的证书过期(在扫描月份的7月)。 2019年有近370万个域过期。 超过960万个域使用的证书在2010年代到期!

所提供的数百个证书尚未生效。


此外,十万多个证书在有效期开始之前就已过期!

自己探索


让我知道你的想法! 分析此数据集并共享结果!

Source: https://habr.com/ru/post/zh-CN466701/

More articles:


All Articles