GoogleのCertificate Transparency (解説 [1] [2] [3]) のログデータベースはパブリックなHTTPSサイトに関する証明書のログデータベースなので、いろんな情報が取得できます。2015年3月27日時点で、6,949,166枚のSSLサーバー証明書に関する情報が格納されており、毎日1万枚以上増え続けています。これだけの枚数ですから、ここ数年有効な全世界のSSLサーバー証明書は網羅されているとして良いのかなと思います。以前紹介したgo.jpドメインのHTTPSサイトの調査もこの公開データをもとに調査しました。
本当は講演資料つくらないとマジでヤバイ感じなんですが、現実逃避して、ちょっと訳あってDSAやECDSA公開鍵のSSLサーバー証明書の利用、発行状況について調べてみたのでご報告を。そもそもはDSA公開鍵のSSLサーバー証明書を使っているDSSの暗号スイートなんて本当に使える公開サイトなんかあんのかって話を知りたかったわけです。
ほとんどの証明書はRSA公開鍵のSSLサーバー証明書であり、SSL Pulseの調査結果を見てもECDSAの証明書など割合からしてちょびっとな状況なわけですが、ログデータベースで見てみるとこんな感じです。(以下、2015年3月27日時点)
証明書 | 枚数 | 比率(%) |
---|---|---|
登録サーバー証明書(ログエントリ)の枚数 | 6,949,166枚 | 100% |
うちECDSA公開鍵のSSLサーバー証明書の枚数 | 398,841枚 | 5.3% |
うちDSA公開鍵のSSLサーバー証明書の枚数 | 100枚 | 0.0014% |
念のため補足しとくと、DSA公開鍵のSSLサーバー証明書とはSubjectPublicKeyInfoフィールドにDSA公開鍵が格納された証明書の事を意味し、これを発行する認証局の鍵のアルゴリズムはRSAでもDSAでもECC(ECDSA)でも何でも構いません。SSLサーバー証明書のSubjectPublicKeyInfoのアルゴリズムにより、SSL/TLSで通信した場合の暗号スイートの認証や鍵交換が決まり、DSA公開鍵の場合にはDSSの暗号スイートが使用されます。ECC(ECDSA)証明書についても同じような感じです。
DSA公開鍵のSSLサーバー証明書
100枚の証明書のうち、さらに実際に接続してみて現在も利用可能なサイトを調べてみました。
証明書 | 枚数 | 比率(%) |
---|---|---|
登録サーバー証明書(ログエントリ)の枚数 | 6,949,166枚 | 100% |
うちDSA公開鍵のSSLサーバー証明書の枚数 | 100枚 | 0.0014% |
うち接続可能なDSA公開鍵のSSLサーバー証明書のサイト | 11 | 0.00016% |
うちシマンテック以外のDSA公開鍵のSSLサーバー証明書のサイト | 3 | 0.00004% |
ちなみに、Firefox 36、Chrome 41 でこのDSA証明書のサイトへアクセスしてみると、以下のように表示され、暗号スイートとしてそもそもサポートしていなかったり、信頼するルートに入っていなかったりで接続できません。OpenSSLのs_clientコマンドで接続するしかないわけです。
ECDSA公開鍵のSSLサーバー証明書
ECDSA証明書については5%とそれなりに数はあるわけですが、 ちょっとドメインのリスト見てみると殆どcloudflaressl.comドメインばっかりなんですよ。
証明書 | 枚数 | 比率(%) |
---|---|---|
ECDSA公開鍵のSSLサーバー証明書の枚数 | 398,841枚 | 100% |
うちcloudflaressl.comのECDSA公開鍵のSSLサーバー証明書の枚数 | 398,262枚 | 99.85% |
うちcloudflaressl.com以外のECDSA公開鍵のSSLサーバー証明書の枚数 | 569枚 | 0.15% |
あ、そうそうGoogleでは*.google.comとかECCの公開鍵のSSLサーバー証明書を使っていてSSL/TLSで接続するとECDHE_ECDSAの暗号スイートになるんですが、その証明書の発行する認証局の鍵はRSAでSHA1withRSAで署名してるんですよね。「ChromeでSHA2移行をせかせる割には、お前はSHA1なんかいっっつ!!」みたいな。
おわりに
というわけで、全世界でどれくらいDSA証明書、ECDSA証明書が使われているのかを見てみました。結構興味深い事実もわかって個人的にはよかったかなと思います。オレはまだ本気出してないだけ。明日から講演資料作成頑張りまっすorz Certificate Transparencyについてはいろいろ深く突っ込んで調査しており、どこかで吐き出したいんですが、雑務に追われなかなかチャンスが無いなぁ。