面白い記事が流れてきた。

 

「『最近のウェブで、SSLはどのように使われているのか』という既存データセットがなかったので自分で作った」というリー・バターマン(@leebutterman)さんが、その3億5000万件のSSL接続データセットを分析し、「どこの証明書が多く使われているか」やどういった暗号スイートが人気かという情報をまとめて公開しています。

 

ということで、Gigazineの訳文ではなく原文を開いてみることに。タイトルにRC4/3DES/TLS 1.0も使ってはるとも書かれている。

証明書の発行数はGigazineにも書かれているように、Let's Encryptが最も多い。

47.2M	Let’s Encrypt
28.9M	DigiCert
13.8M	Comodo
10.1M	Google
7.2M	GoDaddy
7.1M	Sectigo
7.0M	cPanel
6.1M	GlobalSign
3.4M	CloudFlare0
2.5M	Amazon
2.1M	(anonymous self-signed)
1.1M	Plesk

 PleskってParallels Virtuozzoとかを使っているVPSの証明書だろうか。

 

Let's Encryptで当ブログといえばこのエントリ。Let's Encryptがサービスインする前で、サービス内容を予想するもの。

変なブックマークコメントついてたなあ。

『証明書を無料で発行、HTTPSの導入を支援する「Let's Encrypt」』は何に使え、何に使えないのか - いろいろやってみるにっき

この方、PKIの意味を全く理解出来ていないらしい。ちなみにこの記事のお陰でLet's EncryptはPKIの基盤を崩壊させるおそれがあることがわかった。

2014/11/23 09:14

このブコメにはてなスターは付いてない。そして5年経った今、Let's EncryptによってPKIの基盤は崩壊しているだろうか?オレなら恥ずかしくてコメント消すところである。

 

上記エントリでは「OV証明書を取るほどじゃないけど証明書が必要な用途」という感じで用途を想定していたが、3割という比率から言えば多分そういう用途のものがLet's Encryptを使っているサイトのほとんどだろう。たまに「おいおいLet'sで運用しているのかよ、OV取れよ。まあいいけど」っていうサイトに当たることもあるｗ

 

Let's Encryptがこれだけのシェアを持っているということは、サーバ証明書商売は少しずつシュリンクしていくんだろうなあ。そういえば、こんな問題もあった。

こっちからもLet's Encryptに流れた可能性もある。

 

下記はこないだ書いたエントリだが、EVとOVの変遷も知りたいところ。ブラウザの仕様変更によってEVが減っているかもしれない。というか減っているような気がする。さらにサーバ証明書屋さんの儲けが減るという図式。

 

原文のほうにはあと２つ表が載っている。

 

暗号スイートの表は、1億6,000万の接続のうち1億5,000万を超える接続が楕円曲線ディフィー・ヘルマン鍵共有(ECDH)かAESを使用しているけど、6件DESが残ってるしRC4もまだ残っているよ、1.8%RC6や3DES残ってるという表である。

120457325	TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
16750820	TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
13808304	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
2393679	TLS_RSA_WITH_RC4_128_SHA
1768423	TLS_RSA_WITH_AES_256_CBC_SHA
1653084	TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
1397638	TLS_RSA_WITH_AES_128_CBC_SHA
373383	TLS_ECDHE_RSA_WITH_RC4_128_SHA
157929	TLS_RSA_WITH_3DES_EDE_CBC_SHA
17663	TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
4041	TLS_ECDHE_ECDSA_WITH_RC4_128_SHA
2794	TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
458	TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
205	TLS_RSA_WITH_RC4_128_MD5
115	TLS_DH_RSA_WITH_AES_128_CBC_SHA
28	unknown
6	TLS_RSA_WITH_DES_CBC_SHA
1	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

 

3つめの表はセキュリティプロトコルである。SSLv3がまだ残ってるなんて。

154500876	TLSv1.2
4263887	TLSv1.0
19352	TLSv1.1
1781	SSLv3

 

Gigazineにも記述はあったが、表になっていない部分で期限切れの記載がある。原文とGoogle 翻訳による直訳文を引用する。

Thousands of certs served expire after the year 3000

Over 3K certs served don’t expire this millenium. Over 8K certs expire after 2200. Over 200K certs expire after 2100. (Over 1.5M expire in the 2040s alone!)

Over a hundred thousand certs alone expire in 2117, and over a thousand expire in 3017. Perhaps something in 2017 inspired confidence in long-lived certs?

直訳はこちら。

提供された数千の証明書は、3000年後に失効します
提供される3K以上の証明書は、このミレニアムを失効させません。8K以上の証明書は2200年後に期限切れになります。200K以上の証明書は2100年後に期限切れになります（2040年代だけで150万以上の期限切れになります！）

2117年には10万件以上の証明書だけが期限切れになり、3017年には1000件以上の証明書が期限切れになります。

直訳だと「2xxx年に○○件以上期限切れ」という表現だけど、言い換えると期限が長過ぎである。

証明書が長持ちでもサイトはそんなにもつんですかね？確かに更新ミスしてアクセスできない事態を招きたくはないけど、3,000年はやりすぎだろｗ