SSL Pulseサイト(https://www.trustworthyinternet.org/ssl-pulse/)は、 ssllabsでも有名なQualys社が運営しているサイトで、 Webサイト調査のAlexa社による 世界のアクセストップ20万サイトを対象にSSL関係の統計情報を毎月公開しています。 1月に引き続き3月のSSL PulseでのSSL/TLSの状況推移をグラフ化してみましょう。

SSL Pulseのデータの追加

2015年3月より、以下のデータを追加で観測するようになりました。

  • POODLE攻撃の緩和策としてGoogleからインターネットドラフトが出され、 Google Chrome、OpenSSLの最新版などでは対応している TLS_FALLBACK_SCSVのサポート状況
  • 通信障害等によるOCSPレスポンダへのアクセス不能により、失効した証明書のサイトにつながってしまったり、認証局が利用者のサイト訪問記録を取得しないように導入されたOCSP staplingのサポート状況
  • 鍵交換の際の最低鍵長(DC、ECDHに分けた値もあるが円グラフ表示はされてない)

脆弱性対応の推移


01vuln1
今月からPOODLE攻撃を緩和する「TLS_FALLBACK_SCSVをサポートしていない率」の情報が追加されています。45%近いサイトが対応しているようです。

SSL/TLSプロトコルの推移


02proto
POODLEの影響でSSLv3の無効化が順調に下がっていますが、下がり方が鈍化しているようです。

SSLサーバー証明書の鍵長、署名アルゴリズムの推移


03key
Google ChromeやWindows製品のSHA1証明書のアラート対応を受けて、順調にSHA1からSHA2証明書への移行が進んでいていて、SHA2が42%、SHA1が57%ともう少しでクロスしそうな所まで来ています。

新しい技術のサポートの推移


04func
今月からOCSP staplingのサポート状況がグラフに記載されるようになりました。20%のサイトがOCSP staplingに対応しているようです。意外と多いなという印象です。

鍵交換の最低鍵長


05keyex
SSL Pulseで鍵交換の最低鍵長が今月から表示されるようになりました。 証明書はRSA 2048bit以上の証明書になっているので、 グラフ中の2048bitはRSAで鍵交換しているケース、 1024bitおよび512bitはDH(Diffie-Hellman)かDHEで鍵交換しているケース、 であると言えます。NISTの暗号アルゴリズム移行のガイドラインによれば、 鍵長1024bit以下のRSA、DH、DSAなどの共通鍵暗号は使ってはならないことになっており、 DH、DHEを使った暗号スイートが使えるサイトはかなりあり、 あえてDH、DHEを使うのは安全ではないことはよくわかります。 サーバー側で止めたり充分な鍵長となる設定をしていないので、 クライアント側で配慮するしかないのでは?という気がしています。 特に、PFS(Perfect Forward Secrecy)のために、DH、DHEを使おうとする 傾向がありますが、そのような場合にはECDH、ECDHEを選択するべきだと思います。

DH鍵交換の最低鍵長


06dh
このグラフを見ても明らかな事に、DH、DHEでは十分な安全性を持たない鍵長1024bitか512bitがほとんどであることがわかります。 怖いですね〜〜。このグラフはSSL Pulseのサイトでは見られない値になっています(つまり、データだけある)。

ECDH鍵交換の最低鍵長


07ecdh
ECDH、ECDHEが使える場合にはほとんどが鍵長256bit(RSA 3076bit相当)になっており、 一般に安心して利用できることがわかります。 go.jpドメインの調査でも 紹介したように571bitのECC鍵が少し使われていることも驚きます。256bit未満だと224bit、163bitがごくわずかに使われており、192bitが無いということも意外でした。 このグラフも、SSL Pulseのサイトでは見られない値になっています(つまり、データだけある)。

おわりに

以上、今月のSSL Pulseのデータからいろんな推移を見てみました。 今日はこの辺で。

関連記事