セキュリティ

「ネット世界の証明書の30%はLet’s Encrypt製」「3017年まで有効な証明書が1000件以上」など3億5000万件のSSL接続データセットからわかったことは?

by TBIT

『最近のウェブで、SSLはどのように使われているのか』という既存データセットがなかったので自分で作った」というリー・バターマン(@leebutterman)さんが、その3億5000万件のSSL接続データセットを分析し、「どこの証明書が多く使われているか」やどういった暗号スイートが人気かという情報をまとめて公開しています。

Let’s Encrypt makes certs for almost 30% of web domains! RC4/3DES/TLS 1.0 are still used! Certs for hundreds of years! Analyzing hundreds of millions of SSL handshakes | Little Short Bulletins
https://www.leebutterman.com/2019/08/05/analyzing-hundreds-of-millions-of-ssl-connections.html


リーさんによると、証明書の発行数を多い順に並べるとトップ12件は以下のような結果だったとのこと。

1位:Let's Encrypt(4720万件)
2位:DigiCert(2890万件)
3位:Comodo(1380万件)
4位:Google(1010万件)
5位:GoDaddy(720万件)
6位:Sectigo(710万件)
7位:cPanel(700万件)
8位:GlobalSign(610万件)
9位:CloudFlare0(340万件)
10位:Amazon(250万件)
11位:匿名の個人証明書(210万件)
12位:Plesk(110万件)

Let's EncryptはSSL証明書を無料で発行できますが、有効期間が90日間なので、証明書の「新陳代謝」に貢献しています。一方で、「古代の証明書」もまだまだ生き残っていて、有効期間も1000年以上残っているようなものが多数あるとのこと。たとえば、2117年に期限切れとなるものが10万件以上あるほか、3017年まで有効なものも1000件以上あります。


また、リー氏がデータセット作成のためにスキャンを実行した2019年7月に期限切れを迎えた証明書が160万のドメインで見つかったほか、2019年1月~6月に期限切れになったものが370万ドメイン、2010年代に失効したものが960万以上のドメインで見つかったそうです。

用いられている暗号スイートは、1億6000万件の接続のうち1億5000万件がECDHAES。次に人気があったのは、Microsoftが無効化を推奨し、TLSの全バージョンで使用が禁止されているRC4でした。また、3DESよりも前の暗号アルゴリズムであるDESを利用しているケースも「6件」とごくわずかながら存在していました。

この記事のタイトルとURLをコピーする

・関連記事
無料SSL認証サービス「Let’s Encrypt」が「2019年にHTTPSがどれだけ普及するか」の予測を発表 - GIGAZINE

無料SSL認証サービス「Let’s Encrypt」のルート証明書が全ての端末で信頼されるまで5年はかかりそう - GIGAZINE

2020年には主要なブラウザでTLS1.0とTLS1.1が無効化される予定 - GIGAZINE

中国最大級の認証局「WoSign」がニセの証明書を発行していたことが判明 - GIGAZINE

in セキュリティ, Posted by logc_nt

You can read the machine translated English article here.