Az SSL-tanúsítványok használatának tanulmányozása a domainben
Hogyan használják a .ru tartományban az SSL tanúsítvány infrastruktúrát? Nemrég próbáltam látni a hétvégén. Amit összegyűjtöttem a csomópontokból származó tanúsítványokat, amelyek a tartományokat mutatják. Néhány előzetes eredmény van ebben a cikkben, de mivel meglehetősen hosszú leírás van a számokkal, elrejtem a "teljesen olvastam" alatt. Általában érdekes lehet a rendszeres megfigyelés. Valószínűleg havonta. És nézd, mi változik.
Tehát SSL tanúsítványok és .RU domainek.
Tehát ez nem a legszigorúbb tanulmány. Ennek ellenére a helyzet illusztrálja. A szigorúság a következő szakaszokban kerül bevezetésre.
85 ezer). Továbbra is, mert sok kiszolgáló a CA által kiadott köztes tanúsítványokat használja, hogy megerősítse a lánc saját tanúsítványát. Ez általános gyakorlat.
A számítástechnikai erőforrások mentésre kerültek, ezért nem végeztem érvényesíteni az összegyűjtött tanúsítványokat. Vagy úgy, hogy egyelőre nem végeztem, az ellenőrzést tervezik. De már világos, hogy a legtöbb tanúsítvány bizonyára érvénytelen egy tipikus böngésző szempontjából (lásd alább).
Az összegyűjtött tanúsítványokat az openssl segédprogramon keresztül "kihagyták" az adatok lekéréséhez (a leglogikusabb feldolgozási opció igen). És már az openssl által kiadott eredményeket feldolgozták / számolták.
Tehát a .ru zóna tanulmány eredményei az SSL tanúsítványok használatához:
Teljes bizonyítványok: 87176
"Saját aláíró" (kibocsátó == tárgy): 52173
Kiadva (egy formában vagy másban) a localhost számára. 5998
"Kiadta" a Snake Oil. 1042
(Megjegyzés: Snake Oil - ezek nyilvánvaló és súlyos nyomokat a közvetlen használatát a szerver tesztkonfigurációjának mod_ssl vagy egyéb eszközök Igen, az adminisztrátor egyszerűen nem zavarja, hogy hozzanak létre a szerveren történik Csak valamit mintegy 1000 egység Kissé később számlálást Snake Oil nem tekinthető ..... ).
A vezetők között a „feltételes CA” (ez csak egy mező értékét CN, ha tele van a Kibocsátó, csoportosítás nélküli valós CA, ami nyilvánvalóan nincs értelme, hogy úgy viselkedjen, mint a tanúsítványok érvényességének nincs bejelölve, a szám talált bizonyítványok megadva):
0. (* localhost * elvárja, hogy minden nyert eredmény = 5998)
A vezetők között a „hitelesített” (ami az értéke a Tárgy mezőbe CN, azaz a mező azt jelzi, hogy a „tárgy”, amely hitelesíti; localhost - visszavonták, mert ő volt ismét a nulla hely):
A vezetők közül Plesk bizonyítványa volt. Előre telepítve van a tárhely, ahogy értem. Ez azt jelenti, hogy a szám a hosting eszközkészlet népszerűségét jelzi. Körülbelül ugyanaz a történet az LLC SCS Sovintel CA-val - a megfelelő tanúsítvány több száz példánya látható számos szerveren.
A második lista, mint az első, tele van jól ismert tanúsítási központokkal. Ez várható: a mintában nem létezett a szerverek által kiállított köztes tanúsítvány, amelyet a legtöbb esetben látunk. Általában ezek a nevek és számok jelzik a nyugati CA-k szolgáltatásainak viszonteladók népszerűségét. (Például thawte Primary Root CA.)
Az SSL tanúsítványok kriptográfiai fogalmakhoz kapcsolódnak, például a használt kulcs hosszúsága és a titkosítási exponens. Jól megalapozott ajánlások vannak a kulcs megválasztására és hosszára, valamint az exponens értékére, de nem hozom őket ide. Az 512 vagy annál kisebb bits (RSA-ról szóló beszéd) kulcshossza azonban időnként nem tekinthető eléggé tartósnak. Jó hosszúságú kulcsok 1024, 2048 bit. A nagy hosszúság túlzott megoldás. A kiállító most 65537-re áll.
A .ru zóna gyűjtött tanúsítványaira vonatkozó statisztikák meglehetősen triviálisak:
Kulcshossz, bit (az egyes hosszúságú tanúsítványok száma):
Különösen szórakoztató 11 bizonyítvány, 1021 bit hosszúságú kulcsokkal. Általánosságban azonban minden a modern hagyomány keretein belül van: a tanúsítványok túlnyomó többsége 1024 és 2048 bites kulcsokat használ. A rendellenes kulcsok egyetlenek. Valószínűleg ezek csak hibák.
Kiállító (az exponens értéke bal oldalon, a tanúsítványok száma a jobb oldalon található):
Ismét mindent elvártak: 65537 - a tanúsítványok több mint 95% -a.
Körülbelül 400 önállóan aláírt tanúsítvány létezett (köztük sok példány található), amelyek leírása tartalmazza a Bitrix és a Bitrixsoft. Ismerje meg a különböző weboldalakat, természetesen a CMS "1C-Bitrix" alatt. Ez a Bitrix-eloszlás nyoma, amelyet egy virtuális gép képként szolgáltat a teljes szoftvercsomaggal. Kiderül, hogy mintegy 400 szerver (egy gyors ellenőrzés azt mutatta, hogy ez valószínűleg csak az virtuális dedikált szerverek az egyik a hosterek), működik egy "bitrix" virtuális gép, amely támogatja a https.
A Tárgy mező négy tanúsítványa a következő alszöveget tartalmazza: "NEM BIZTOS. / emailAddress = TELJESÍTMÉNY TELEPÍTÉSE ". Nyilvánvaló, hogy ez nem segít.
A "vad formában" bizonyítványokat (a litre.ru-ra és az euroset.ru-ra vonatkozó kiszolgálókon találtak) a Yandex Money Issuing CA kiadta. A kifizetések feldolgozása. (Root tanúsítvány Yandex pénz Root CA, SHA1: A0: 2A: 33: 93: 8B: FD: 9B: FB: 64: 74: 1C: D3: 74: 5F: 9C: ED: 39: AB: B8: D6) .
A YandexExternalCA által kiadott tanúsítványok - 20 db.
A https mindenütt történő elérése a biztonságos internet jele. Sajnos ez még mindig tisztán elméleti. A "vad természetben" belül a .ru zónán belül érvényesek a rendszer disztribúciók részét képező próbapadok önaláírt tanúsítványai. A webhelyeken csak kis rész áll rendelkezésre a https oldalon. Ugyanakkor kiegészítő intézkedések bevezetése nélkül az önaláírt tanúsítványok elvben nem alkalmasak a biztonság javítására szolgáló eszközök szerepére.
Hasonló megjegyzések:
További - vélemények és megbeszélések
(Az alábbi üzeneteket a webhely olvasói hozzáadják az oldal alján található űrlapon keresztül.)
ez általános tendencia vagy orosz sajátosság?
Ingyenes tanúsítványaimat használom, bár (1) az .mp3 szerveren (2) nem.
Ami a specifikumokat illeti - véleményem szerint nincs különösebb specifikusság, az SSL mindenhol megvalósul, ahogy az.
A StartSSL-ről: Megértem, hogy ez a StartCom. Ezek gyakran előfordulnak:
[StartCom Hitelesítési Hatóság]
720 tanúsítvány, [StartCom Class 1 Primary Intermediate Server CA]
az én imha úgy véli, hogy annak érdekében, hogy fedezze a csatorna teljesen halálos fogási jelszavak, stb elég és samopala.
"Hitelességének megerősítése", figyelembe véve az SA kompromisszumát - valahogy ez ...
Igen, egyértelmű, hogy a férfiak a közepén hatékonyan csalják a háziasítást, de nem világos, hogy hogyan értékeljük a kockázatokat.