いろいろやってみるにっき

なんとか自分の会社を立ち上げるところまで漕ぎ着けた、てきとーに生きている奴の日記

https化に伴い、表示できなくなっているリンクについて修復中。
2018年から遡って修正し、2015年分まで修正完了。


ネット世界の証明書の30%はLet’s Encrypt製……ということは

面白い記事が流れてきた。

 

「『最近のウェブで、SSLはどのように使われているのか』という既存データセットがなかったので自分で作った」というリー・バターマン(@leebutterman)さんが、その3億5000万件のSSL接続データセットを分析し、「どこの証明書が多く使われているか」やどういった暗号スイートが人気かという情報をまとめて公開しています。

 

ということで、Gigazineの訳文ではなく原文を開いてみることに。タイトルにRC4/3DES/TLS 1.0も使ってはるとも書かれている。


証明書の発行数はGigazineにも書かれているように、Let's Encryptが最も多い。

47.2M Let’s Encrypt
28.9M DigiCert
13.8M Comodo
10.1M Google
7.2M GoDaddy
7.1M Sectigo
7.0M cPanel
6.1M GlobalSign
3.4M CloudFlare0
2.5M Amazon
2.1M (anonymous self-signed)
1.1M Plesk

 PleskってParallels Virtuozzoとかを使っているVPSの証明書だろうか。

 

Let's Encryptで当ブログといえばこのエントリ。Let's Encryptがサービスインする前で、サービス内容を予想するもの。

変なブックマークコメントついてたなあ。

『証明書を無料で発行、HTTPSの導入を支援する「Let's Encrypt」』は何に使え、何に使えないのか - いろいろやってみるにっき

この方、PKIの意味を全く理解出来ていないらしい。ちなみにこの記事のお陰でLet's EncryptはPKIの基盤を崩壊させるおそれがあることがわかった。

2014/11/23 09:14

このブコメはてなスターは付いてない。そして5年経った今、Let's EncryptによってPKIの基盤は崩壊しているだろうか?オレなら恥ずかしくてコメント消すところである。

 

上記エントリでは「OV証明書を取るほどじゃないけど証明書が必要な用途」という感じで用途を想定していたが、3割という比率から言えば多分そういう用途のものがLet's Encryptを使っているサイトのほとんどだろう。たまに「おいおいLet'sで運用しているのかよ、OV取れよ。まあいいけど」っていうサイトに当たることもあるw

SSL/TLSを理解する ~共通鍵暗号・公開鍵暗号・ハッシュ関数・電子署名・証明書~

SSL/TLSを理解する ~共通鍵暗号・公開鍵暗号・ハッシュ関数・電子署名・証明書~

 

 

Let's Encryptがこれだけのシェアを持っているということは、サーバ証明書商売は少しずつシュリンクしていくんだろうなあ。そういえば、こんな問題もあった。

こっちからもLet's Encryptに流れた可能性もある。

 

下記はこないだ書いたエントリだが、EVとOVの変遷も知りたいところ。ブラウザの仕様変更によってEVが減っているかもしれない。というか減っているような気がする。さらにサーバ証明書屋さんの儲けが減るという図式。

 

原文のほうにはあと2つ表が載っている。

 

暗号スイートの表は、1億6,000万の接続のうち1億5,000万を超える接続が楕円曲線ディフィー・ヘルマン鍵共有(ECDH)かAESを使用しているけど、6件DESが残ってるしRC4もまだ残っているよ、1.8%RC6や3DES残ってるという表である。

120457325 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
16750820 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
13808304 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
2393679 TLS_RSA_WITH_RC4_128_SHA
1768423 TLS_RSA_WITH_AES_256_CBC_SHA
1653084 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
1397638 TLS_RSA_WITH_AES_128_CBC_SHA
373383 TLS_ECDHE_RSA_WITH_RC4_128_SHA
157929 TLS_RSA_WITH_3DES_EDE_CBC_SHA
17663 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
4041 TLS_ECDHE_ECDSA_WITH_RC4_128_SHA
2794 TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
458 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
205 TLS_RSA_WITH_RC4_128_MD5
115 TLS_DH_RSA_WITH_AES_128_CBC_SHA
28 unknown
6 TLS_RSA_WITH_DES_CBC_SHA
1 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

 

3つめの表はセキュリティプロトコルである。SSLv3がまだ残ってるなんて。

154500876 TLSv1.2
4263887 TLSv1.0
19352 TLSv1.1
1781 SSLv3

 

Gigazineにも記述はあったが、表になっていない部分で期限切れの記載がある。原文とGoogle 翻訳による直訳文を引用する。

Thousands of certs served expire after the year 3000

Over 3K certs served don’t expire this millenium. Over 8K certs expire after 2200. Over 200K certs expire after 2100. (Over 1.5M expire in the 2040s alone!)

Over a hundred thousand certs alone expire in 2117, and over a thousand expire in 3017. Perhaps something in 2017 inspired confidence in long-lived certs?

直訳はこちら。

提供された数千の証明書は、3000年後に失効します
提供される3K以上の証明書は、このミレニアムを失効させません。8K以上の証明書は2200年後に期限切れになります。200K以上の証明書は2100年後に期限切れになります(2040年代だけで150万以上の期限切れになります!)

2117年には10万件以上の証明書だけが期限切れになり、3017年には1000件以上の証明書が期限切れになります。

直訳だと「2xxx年に○○件以上期限切れ」という表現だけど、言い換えると期限が長過ぎである。

証明書が長持ちでもサイトはそんなにもつんですかね?確かに更新ミスしてアクセスできない事態を招きたくはないけど、3,000年はやりすぎだろw