SSL Pulseサイト(https://www.trustworthyinternet.org/ssl-pulse/)は、 ssllabsでも有名なQualys社が運営しているサイトで、 Webサイト調査のAlexa社による 世界のアクセストップ20万サイトを対象にSSL関係の統計情報を毎月公開しています。 1月に引き続き3月のSSL PulseでのSSL/TLSの状況推移をグラフ化してみましょう。
SSL Pulseのデータの追加
2015年3月より、以下のデータを追加で観測するようになりました。
- POODLE攻撃の緩和策としてGoogleからインターネットドラフトが出され、 Google Chrome、OpenSSLの最新版などでは対応している TLS_FALLBACK_SCSVのサポート状況
- 通信障害等によるOCSPレスポンダへのアクセス不能により、失効した証明書のサイトにつながってしまったり、認証局が利用者のサイト訪問記録を取得しないように導入されたOCSP staplingのサポート状況
- 鍵交換の際の最低鍵長(DC、ECDHに分けた値もあるが円グラフ表示はされてない)
脆弱性対応の推移
今月からPOODLE攻撃を緩和する「TLS_FALLBACK_SCSVをサポートしていない率」の情報が追加されています。45%近いサイトが対応しているようです。
SSL/TLSプロトコルの推移
POODLEの影響でSSLv3の無効化が順調に下がっていますが、下がり方が鈍化しているようです。
SSLサーバー証明書の鍵長、署名アルゴリズムの推移
Google ChromeやWindows製品のSHA1証明書のアラート対応を受けて、順調にSHA1からSHA2証明書への移行が進んでいていて、SHA2が42%、SHA1が57%ともう少しでクロスしそうな所まで来ています。
新しい技術のサポートの推移
今月からOCSP staplingのサポート状況がグラフに記載されるようになりました。20%のサイトがOCSP staplingに対応しているようです。意外と多いなという印象です。
鍵交換の最低鍵長
SSL Pulseで鍵交換の最低鍵長が今月から表示されるようになりました。
証明書はRSA 2048bit以上の証明書になっているので、
グラフ中の2048bitはRSAで鍵交換しているケース、
1024bitおよび512bitはDH(Diffie-Hellman)かDHEで鍵交換しているケース、
であると言えます。NISTの暗号アルゴリズム移行のガイドラインによれば、
鍵長1024bit以下のRSA、DH、DSAなどの共通鍵暗号は使ってはならないことになっており、
DH、DHEを使った暗号スイートが使えるサイトはかなりあり、
あえてDH、DHEを使うのは安全ではないことはよくわかります。
サーバー側で止めたり充分な鍵長となる設定をしていないので、
クライアント側で配慮するしかないのでは?という気がしています。
特に、PFS(Perfect Forward Secrecy)のために、DH、DHEを使おうとする
傾向がありますが、そのような場合にはECDH、ECDHEを選択するべきだと思います。
DH鍵交換の最低鍵長
このグラフを見ても明らかな事に、DH、DHEでは十分な安全性を持たない鍵長1024bitか512bitがほとんどであることがわかります。
怖いですね〜〜。このグラフはSSL Pulseのサイトでは見られない値になっています(つまり、データだけある)。
ECDH鍵交換の最低鍵長
ECDH、ECDHEが使える場合にはほとんどが鍵長256bit(RSA 3076bit相当)になっており、
一般に安心して利用できることがわかります。
go.jpドメインの調査でも
紹介したように571bitのECC鍵が少し使われていることも驚きます。256bit未満だと224bit、163bitがごくわずかに使われており、192bitが無いということも意外でした。
このグラフも、SSL Pulseのサイトでは見られない値になっています(つまり、データだけある)。
おわりに
以上、今月のSSL Pulseのデータからいろんな推移を見てみました。 今日はこの辺で。