SSL Pulseサイト(https://www.trustworthyinternet.org/ssl-pulse/)は、 ssllabsでも有名なQualys社が運営しているサイトで、 Webサイト調査のAlexa社による 世界のアクセストップ20万サイトを対象にSSL関係の統計情報を毎月公開しています。 8月に引き続き2015年10月のSSL PulseでのSSL/TLSの状況推移をグラフ化しましょう。 今月は、なかなかデータ公開してくれなくて、確か10月19日頃ようやくアップデートされたようです。新しい項目増えているわけでもないのに、なんででしょうね。
脆弱性対応の推移
RC4の利用可能率が順調に継続して下がっており、今月では53%のサイトしか使えなくなりました。
また、ECDHEやDHEの鍵交換をサポートするPFSに対応したサイトは71.5%にまで上がっており、かなりのサーバーで使えるようになってきました。
SSL/TLSプロトコルの推移
POODLEの影響でSSLv3が使えるサイトが32.5%にまで下がっています。
SSLサーバー証明書の鍵長、署名アルゴリズムの推移
Google ChromeやWindows製品のSHA1証明書のアラート対応を受けて、今月も順調にSHA2移行が進んでおりSHA1withRSAが24.1%、SHA256withRSAが74.9%まで進んでいます。あと残り1/4になりましたね〜〜〜。
新しい技術のサポートの推移
HSTSも、OCSP Staplingも、EVも徐々に上がっていますが、全く大したことない。
鍵交換の最低鍵長
鍵交換の鍵長は順調に、512bit、1024bitの利用をやめ、2048bit相当に移行が進んでいるようですが、、、
DH(E)鍵交換の最低鍵長
DH鍵交換をサポートしないサイトが48.2%もあり、暗号強度が十分でないDH1024bitも減ってはいるものの、28.9%もあり、いろんな意見はあるでしょうが、DH(E)は使わずにECDH(E)を使うのが良いのではと思います。
ECDH鍵交換の最低鍵長
ECDH/ECDHEが使えていないサイトが34.2%にまで減り、ECC 256bitを使えるサイトが61.9%にまで増えています。かなり普及してきたという感があり、「何も考えずにとりあえずECDHE使えるようにしとけ!」と思います。
おわりに
講演資料2本作らないとマジでやばす。今日はこの辺で。
関連記事
- SSL Pulseの統計情報で見るSSL/TLS (2015年8月版) (2015.08.12)
- SSL Pulseの統計情報で見るSSL/TLS (2015年6月版) (2015.06.17)
- SSL Pulseの統計情報で見るSSL/TLS (2015年5月版) (2015.05.11)
- (小ネタ)来月にはSHA2証明書の枚数がSHA1を追い越しそうな件 (2015.04.11)
- SSL Pulseの統計情報で見るSSL/TLS (2015年3月版) (2015.03.17)
- SSL Pulseの統計情報で見るSSL/TLS (2015年1月版) (2015.01.25)
- Internet Week 2014パネルで話しそびれたネタ: 統計情報でみるSSL/TLS (2014.11.22)