「ネット世界の証明書の30％はLet’s Encrypt製」「3017年まで有効な証明書が1000件以上」など3億5000万件のSSL接続データセットからわかったことは？

by TBIT

「『最近のウェブで、SSLはどのように使われているのか』という既存データセットがなかったので自分で作った」というリー・バターマン(@leebutterman)さんが、その3億5000万件のSSL接続データセットを分析し、「どこの証明書が多く使われているか」やどういった暗号スイートが人気かという情報をまとめて公開しています。

Let’s Encrypt makes certs for almost 30% of web domains! RC4/3DES/TLS 1.0 are still used! Certs for hundreds of years! Analyzing hundreds of millions of SSL handshakes | Little Short Bulletins
https://www.leebutterman.com/2019/08/05/analyzing-hundreds-of-millions-of-ssl-connections.html

リーさんによると、証明書の発行数を多い順に並べるとトップ12件は以下のような結果だったとのこと。

1位：Let's Encrypt(4720万件)
2位：DigiCert(2890万件)
3位：Comodo(1380万件)
4位：Google(1010万件)
5位：GoDaddy(720万件)
6位：Sectigo(710万件)
7位：cPanel(700万件)
8位：GlobalSign(610万件)
9位：CloudFlare0(340万件)
10位：Amazon(250万件)
11位：匿名の個人証明書(210万件)
12位：Plesk(110万件)

Let's EncryptはSSL証明書を無料で発行できますが、有効期間が90日間なので、証明書の「新陳代謝」に貢献しています。一方で、「古代の証明書」もまだまだ生き残っていて、有効期間も1000年以上残っているようなものが多数あるとのこと。たとえば、2117年に期限切れとなるものが10万件以上あるほか、3017年まで有効なものも1000件以上あります。

また、リー氏がデータセット作成のためにスキャンを実行した2019年7月に期限切れを迎えた証明書が160万のドメインで見つかったほか、2019年1月～6月に期限切れになったものが370万ドメイン、2010年代に失効したものが960万以上のドメインで見つかったそうです。

用いられている暗号スイートは、1億6000万件の接続のうち1億5000万件がECDHとAES。次に人気があったのは、Microsoftが無効化を推奨し、TLSの全バージョンで使用が禁止されているRC4でした。また、3DESよりも前の暗号アルゴリズムであるDESを利用しているケースも「6件」とごくわずかながら存在していました。