Cum se utilizează infrastructura certificatelor SSL în domeniul .ru? Am încercat recent să o văd în weekend. Pentru ceea ce am colectat certificate de la noduri, care arată domeniile. Câteva rezultate preliminare sunt în acest articol, dar, deoarece există o descriere destul de lungă cu numere, o ascund sub "citit complet". În general, va fi interesant să faceți o monitorizare regulată. Probabil lunar. Și privește ce se schimbă.
Deci, certificatele SSL și domeniul .RU.
Deci acest lucru nu este cel mai riguros studiu. Dar, totuși, situația ilustrează. Strictețea va fi introdusă în următoarele etape.
85 mii). Mai mult, deoarece multe servere utilizează certificate intermediare emise de CA pentru a confirma lanțul propriului certificat. Aceasta este o practică obișnuită.
Resursele de calcul au fost salvate, deci nu am efectuat validarea certificatelor colectate. Sau așa: deocamdată nu am efectuat, auditul este planificat. Dar este deja clar că majoritatea certificatelor sunt cu siguranță nevalide din punctul de vedere al unui browser tipic (a se vedea mai jos).
Certificatele colectate au fost "ignorate" prin utilitarul openssl pentru a prelua datele (cea mai logică opțiune de procesare, da). Și deja rezultatele, emise de openssl, au fost prelucrate / numărate.
Astfel, rezultatele studiului zonei .ru pentru utilizarea certificatelor SSL:
Certificate totale: 87176
"Autodeclarat" (Emitent == Subiect): 52173
Lansat (într-o formă sau alta) pentru localhost. 5998
"Eliberat" de Ulei de șarpe. 1042
(Notă: Snake Oil - acestea sunt urme vizibile și brute utilizarea directă pe mod_ssl configurația de testare server sau alte instrumente Da, admin-ul pur și simplu nu deranjez pentru a configura un server tocmai se întâmplă ceva Puțini mai târziu de numărare Snake Oil nu este considerat de aproximativ 1000 de unități ..... ).
Liderii printre „CA condiționată“ (este doar o valoare de câmp CN, în cazul în care este completat de Emitent, fără grupare de reală CAs, care, evident, nu are nici un sens să facă acest lucru ca valabilitatea certificatelor nu este verificată, numărul de certificate găsite date):
0. (* localhost * se așteaptă ca toate câștigurile să aibă rezultatul = 5998)
Liderii printre „autentifică“ (care este valoarea câmpului Subiect NC, și anume domeniu, indicând faptul că „obiectul“, care atestă certificatul; localhost - retras pentru că el a fost din nou la locul de zero):
Printre conducători se număra un certificat de la Plesk. Este pre-instalat pe găzduire, așa cum o înțeleg. Adică, numărul indică popularitatea acestui set de instrumente de găzduire. Aproximativ aceeași poveste cu LLC SCS Sovintel CA - sute de copii ale certificatului corespunzător sunt vizibile pe o varietate de servere.
A doua listă, la fel ca prima, este completă cu referințe la centre de certificare cunoscute. Acest lucru este de așteptat: în eșantion, nu au existat certificate intermediare emise de servere, pe care le vedem în cele mai multe cazuri. În general, aceste nume și numere indică nivelul de popularitate al revânzătorilor de servicii al CA-urilor occidentale. (De exemplu, dezghețarea primară a rădăcinii CA.)
Certificatele SSL sunt asociate cu concepte criptografice, cum ar fi lungimea cheii folosite și exponentul de criptare. Există recomandări bine fundamentate cu privire la alegerea și lungimea cheii și la valoarea exponentului, dar nu le voi aduce aici. Cu toate acestea, o lungime cheie de 512 biți sau mai puțin (vorbire despre RSA) - în timpul nostru nu este considerată suficient de persistentă. Lungimile bune ale cheilor sunt 1024, 2048 biți. O lungime mare este o soluție excesivă. Expozantul este acum ales să fie egal cu 65537.
Statisticile privind certificatele colectate pentru zona .ru arată destul de banal:
Lungime cheie, bit (număr de certificate pentru fiecare lungime):
Mai ales amuzante sunt 11 certificate cu o lungime cheie de 1021 biți. Dar, în general, totul se încadrează în tradiția modernă: marea majoritate a certificatelor utilizează chei la 1024 și 2048 de biți. Cheile anormale sunt simple. Probabil, acestea sunt doar greșeli.
Expozanti (valoarea exponentului este in stanga, numarul de certificate este in dreapta):
Din nou, totul sa dovedit a fi de așteptat: 65537 - peste 95% din certificate.
Au existat aproximativ 400 de certificate auto-semnate (dintre care există multe copii), în descrierile cărora sunt specificate Bitrix și Bitrixsoft. Faceți cunoștință cu o varietate de site-uri web, desigur, care lucrează sub CMS "1C-Bitrix". Aceasta este o urmă a distribuției Bitrix, furnizată ca o imagine pentru o mașină virtuală cu întregul pachet software înăuntru. Se pare că aproximativ 400 de servere (o verificare rapidă a arătat că este cel mai probabil doar servere virtuale dedicate unuia dintre hosteri), lucrează cu o mașină virtuală "bitrix" care suportă și https.
Cele patru certificate din câmpul Subiect conțin următoarele subrețele: "NOT SECURE. / emailAddress = INSTALAȚI CERTIFICATUL DUMNEAVOASTRĂ ". Evident, nu ajută.
În „sălbatic“ am găsit certificate (două bucăți găsite - pe servere aparținând litres.ru și euroset.ru), emise de către AC emitentă Yandex bani Procesarea plăților. (Certificat Root Yandex Money Root CA, SHA1: A0: 2A: 33: 93: 8B: FD: 9B: FB: 64: 74: 1C: D3: 74: 5F: 9C: ED: 39: AB: B8: D6) .
Certificate emise de YandexExternalCA - 20 buc.
Accesul omniprezent prin https este un semn al unui Internet securizat. Din nefericire, aceasta este încă una pur teoretică. În "natura sălbatică", în interiorul zonei .ru, se predomină certificate auto-semnate din suitele de test care fac parte din distribuțiile sistemului. Doar o mică parte din site-uri sunt disponibile pe https. În același timp, fără introducerea unor măsuri suplimentare, certificatele cu auto-semnare nu sunt în principiu potrivite pentru rolul unui mijloc de îmbunătățire a securității.
Note asemănătoare:
În continuare - opinii și discuții
(Mesajele de mai jos sunt adăugate de cititorii site-ului, prin intermediul formularului din partea de jos a paginii.)
este o tendință generală sau specificitate rusă?
Folosesc certificatele lor gratuite, deși (1) pe servere xmpp (2) nu în zona .ru.
În ceea ce privește specificul - în opinia mea, nu există prea multe specificități aici, SSL este implementat oriunde așa este.
Despre StartSSL: Am înțeles că acesta este StartCom. Acestea apar destul de des:
[Autoritatea de certificare StartCom]
720 de certificate, [CA Server de prim-intermediar pentru serverul StartCom Class 1]
imha mea crede că pentru a acoperi canalul de la parole halal de captură, etc suficient și samopala.
"Confirmă autenticitatea", ținând seama de compromisul posibil al SA - cumva este ...
Da, este clar că bărbații în mijloc își înșelă efectiv casa, dar nu este clar cum se evaluează riscurile.
Căutarea simplă
Ștergări selectate
Trimiteți-le prietenilor: