Lets Encrypt najpopularniejszym dostawcą TLS w top 750.000 popularnych domen
Napisał: Patryk Krawaczyński
17/11/2024 w Techblog Brak komentarzy. (artykuł nr 913, ilość słów: 4968)
C
loudflare udostępnił publicznie usługę Radar, w której są zawarte dane o rankingu domen: Domian Rankings Worldwide. Tutaj należy mieć świadomość, że dane pochodzą z ich publicznego serwera DNS, z którego nie koniecznie musi korzystać cały internet. Niemniej jednak jest to dobra próbka, aby przeprowadzić eksperyment podobny do analiz nagłówka HTTP. W pliku pobranym 28.09.2024 znalazło się 1.008.856 domen. Finalnie udało połączyć się z 750.892 domenami w celu pobrania informacji o ich certyfikacie TLS. Aby szybko pozyskać te dane został zmodyfikowany kod skryptu httpsrvreaper na bazie którego powstał sslsrvreaper. Jest on na tyle prosty, że czyta z pliku tekstowego domains.txt adresy, z jakimi ma się połączyć i zapisać ich metadane TLS w formacie JSON, na przykład:
{
"subject_hostName": "0-1.cloud",
"subject_hostIP": "185.18.213.82",
"subject_commonName": "*.0-1.cloud",
"issuer_countryName": "PL",
"issuer_organizationName": "Unizeto Technologies S.A.",
"issuer_organizationalUnitName": "Certum Certification Authority",
"issuer_commonName": "Certum Domain Validation CA SHA2",
"version": 3,
"serialNumber": "7064FDD670C62CDD5289E98EBF5AACA2",
"notBefore": "Aug 26 13:20:32 2024 GMT",
"notAfter": "Sep 25 13:20:31 2025 GMT",
"subjectAltName": [
"*.0-1.cloud",
"0-1.cloud"
],
"OCSP": "http://dvcasha2.ocsp-certum.com",
"caIssuers": "http://repository.certum.pl/dvcasha2.cer",
"crlDistributionPoints": "http://crl.certum.pl/dvcasha2.crl"
}
Są one wystarczające, aby wyciągnąć kilka ciekawych statystyk. Pierwsza z nich odnosi się do dwuliterowego kodu kraju jaki jest wpisywany, gdy generujemy CSR (ang. Certificate Signing Request), czyli żądanie podpisania certyfikatu niezbędne w procedurze uzyskania certyfikatu. Polska znalazła się w TOP 5:
agresor@darkstar:~$ cat ssl.log | jq '.issuer_countryName' | sort | uniq -c | sort -nr
672063 "US"
34773 "GB"
20166 "BE"
6354 "AT"
4036 "PL"
3888 "CN"
1805 "FR"
1755 "NL"
1482 "JP"
1069 "LV"
411 "NO"
405 "DE"
399 "ES"
379 "IT"
323 "CH"
222 "BR"
221 "BM"
160 "TW"
154 "IE"
142 "HU"
131 "LU"
127 "FI"
115 "CZ"
96 "HK"
54 "IN"
43 "TR"
37 "RO"
22 "GR"
15 "PT"
8 "UY"
7 "MA"
7 "AU"
6 "SK"
5 "VN"
4 "IL"
4 "CA"
2 "SG"
1 "KR"
1 "AE"
Z kolei najpopularniejszym wystawcą dla badanej próbki okazał się Let’s Encrypt, który pobił Google Trust Services – oferujące również darmowe certyfikaty TLS.
agresor@darkstar:~$ cat ssl.log | jq '.issuer_organizationName' | sort | uniq -c | sort -nr
279002 "Let's Encrypt"
256267 "Google Trust Services"
44392 "Amazon"
44247 "DigiCert Inc"
34209 "Sectigo Limited"
21149 "GoDaddy.com, Inc."
20166 "GlobalSign nv-sa"
6735 "Cloudflare, Inc."
6354 "ZeroSSL"
5726 "DigiCert, Inc."
4029 "Entrust, Inc."
3431 "Starfield Technologies, Inc."
3323 "cPanel, Inc."
3321 "Unizeto Technologies S.A."
1974 "TrustAsia Technologies, Inc."
1706 "Gandi"
1437 "GEANT Vereniging"
1069 "GoGetSSL"
616 "Microsoft Corporation"
591 "Beijing Xinchacha Credit Management Co., Ltd."
570 "Internet2"
518 "Corporation Service Company"
490 "cPanel, LLC"
478 "WoTrus CA Limited"
468 "COMODO CA Limited"
467 "Network Solutions L.L.C."
424 "Cybertrust Japan Co., Ltd."
416 "Japan Registry Services Co., Ltd."
411 "Buypass AS-983163327"
390 "home.pl S.A."
350 "SECOM Trust Systems CO.,LTD."
349 "Actalis S.p.A."
314 "SwissSign AG"
294 "Certainly"
291 "SSL Corporation"
269 "Soluciones Corporativas IP, SL"
254 "Trust Provider B.V."
239 "sslTrus"
221 "QuoVadis Limited"
200 "Alibaba Cloud Computing Ltd."
183 "Deutsche Telekom Security GmbH"
164 "cyber_Folks S.A."
154 "DigiCert Ireland Limited"
139 "Viking Cloud, Inc."
135 "nazwa.pl sp. z o.o."
131 "CentralNic Luxembourg Sàrl"
130 "TAIWAN-CA"
127 "Telia Finland Oyj"
125 "DNSPod, Inc."
120 "CloudSecure Corporation"
115 "Alpiro s.r.o."
103 "IdenTrust"
101 "D-Trust GmbH"
96 "Hongkong Post"
83 "DHIMYOTIS"
82 "Certera"
79 "Rede Nacional de Ensino e Pesquisa - RNP"
79 "NETLOCK Ltd."
75 "The Trustico Group Ltd"
71 "Gehirn Inc."
69 "Zhejiang Huluwa Digital Certification Co., Ltd."
66 "Apple Inc."
63 "Microsec Ltd."
60 "Nijimo K.K."
60 "EUNETIC GmbH"
58 "FNMT-RCM"
57 "QuoVadis Trustlink B.V."
54 "eMudhra Technologies Limited"
41 "China Financial Certification Authority"
40 "SecureCore"
38 "Valid Certificadora Digital LTDA"
37 "The USERTRUST Network"
36 "Site Blindado S.A."
36 "Firmaprofesional S.A."
35 "JoySSL Limited"
34 "iTrusChina Co., Ltd."
29 "CERTSIGN SA"
26 "CLOUDFLARE, INC."
24 "Baidu, Inc."
23 "E-SAFER CONSULTORIA EM TECNOLOGIA DA INFORMACAO LTDA"
23 "Deutsche Post AG"
21 "TI Trust Technologies S.R.L."
21 "IZENPE S.A."
20 "UniTrust"
20 "TrustSign Certificadora Dig. & Solucoes Seguranca da Inf. Ltda."
20 "TBS Internet Ltd"
20 "Hellenic Academic and Research Institutions CA"
19 "Wells Fargo & Company"
18 "GeoSSL"
17 "E-TUGRA EBG BILISIM TEKNOLOJILERI VE HIZMETLERI ANONIM SIRKETI"
17 "Chunghwa Telecom Co., Ltd."
16 "Turing Crypto GmbH"
16 "Shoper S.A."
13 "行政院"
13 "TUBITAK Kamu Sertifikasyon Merkezi"
13 "SOLUTI - SOLUCOES EM NEGOCIOS INTELIGENTES S/A"
12 "SSL Corp"
12 "ACCV"
11 "Zhejiang Xinya Network Technology Co., Ltd."
11 "MarketWare - Soluções para Mercados Digitais, Lda."
10 "NYA LABS LLC"
10 "K Software"
10 "Gandi SAS"
10 "Atos"
9 "United SSL Deutschland GmbH"
9 "Isimtescil Bilisim A.S."
9 "Global Digital Cybersecurity Authority Co., Ltd."
8 "certSIGN"
8 "Abitab S.A."
7 "Verokey"
7 "PerfectSSL"
7 "LH.pl Sp. z o.o."
7 "Genious Communications"
6 "Ziwit"
6 "Namirial S.p.A"
6 "Disig a.s."
5 "北京新网数码信息技术有限公司"
5 "Vitalwerks Internet Solutions, LLC"
5 "swissns GmbH"
5 "Shanghai Huandu Info Tech Co. Ltd."
5 "KEYSEC LTDA"
5 "Hao Quang Viet Software Company Limited"
4 "WISeKey"
4 "Turkiye Bilimsel ve Teknolojik Arastirma Kurumu - TUBITAK"
4 "Sooma.com Web Services Lda"
4 "McAfee, Inc."
4 "Domain The Net Technologies Ltd"
4 "AffirmTrust"
3 "TrustSign Certificadora Dig. & Soluções Segurança da Inf. Ltda."
3 "Deutsche Kreditbank AG"
3 "CERTDATA SERVICOS DE INFORMACAO LTDA"
3 "CerSign Technology Limited"
2 "Xin Net Technology Corp."
2 "Sectigo (Europe) SL"
2 "One Sign Pte. Ltd."
2 "netart.com sp. z o.o."
2 "Ministerio da Defesa"
2 "Leocert LLC"
2 "Agenzia per l'Italia Digitale"
1 "厦门纳网科技股份有限公司"
1 "北京中万网络科技有限责任公司"
1 "ZoTrus Technology Limited"
1 "Telecom Italia Trust Technologies S.R.L."
1 "SSL Limited"
1 "SSL2BUY EMEA LLC"
1 "NAVER BUSINESS PLATFORM Corp."
1 "Kingnet Information Technology Co., Ltd."
1 "Hellenic Academic and Research Institutions Cert. Authority"
1 "Greek Universities Network (GUnet)"
1 "Entrust EU, S.L."
1 "DOMENY.PL sp. z o.o"
1 "Comodo Japan, Inc."
1 "Centre Testing International Group Co., Ltd."
1 "Aetna Inc"
Tematem kolejnej analizy jest pole Subject Alternative Name (SAN) – to rozszerzenie specyfikacji X.509, które pozwala użytkownikom określić dodatkowe nazwy hostów dla pojedynczego certyfikatu SSL np. nfsec.pl, www.nfsec.pl, mail.nfsec.pl. Nie ma konkretnych ograniczeń, co do nazw hostów, które można objąć omawianym rozszerzeniem SAN, poza wymogiem, aby były to nazwy hostów o prawidłowej składni (szczegóły można znaleźć w RFC). Jednak urzędy certyfikacji mogą nałożyć dalsze ograniczenia na liczby lub formaty w oparciu o swoje wewnętrzne zasady lub decyzje biznesowe. Na przykład powszechną praktyką jest niedopuszczenie dowolnych nazw wieloznacznych (ang. wildcards) jako nazw hostów w SAN. Oznacza to, że certyfikaty SAN zazwyczaj obsługują tylko określoną listę nazw. Często spotyka się również ograniczenie liczby nazw przypadających na certyfikat, zwykle do 100. Jednak nie jest to sztywną regułą, jak możemy zobaczyć poniżej – dwóch rekordzistów uzyskało tutaj wynik 821 alternatywnych domen i subdomen. Oczywiście najpopularniejszymi są pojedyncze i podwójne wpisy.
agresor@wingzero:~$ cat ssl.log | jq '.subjectAltName | length' | sort | uniq -c | sort -nr
494590 2
143736 1
20424 3
16090 4
7793 6
7392 5
6142 8
4581 10
3734 7
3427 9
2564 11
1962 12
1908 90
1603 14
1431 100
1245 51
1173 16
1145 13
1055 89
1002 20
950 18
943 15
831 22
737 24
708 17
660 23
605 50
596 19
589 21
540 26
535 30
470 25
469 99
459 88
433 28
423 36
407 97
407 32
394 46
371 98
371 27
368 31
364 41
361 29
344 34
337 38
331 48
327 44
322 54
309 60
306 47
303 35
300 42
297 33
295 49
294 52
286 94
285 40
281 53
266 58
259 64
258 74
251 57
245 43
245 37
242 86
225 61
223 39
223 135
219 80
211 59
208 56
208 45
203 96
203 92
195 84
189 65
185 87
180 62
174 67
174 66
171 82
171 55
163 85
158 69
154 91
154 319
153 76
147 78
146 93
145 70
141 81
135 72
133 95
133 79
127 149
123 77
109 75
106 63
105 73
105 139
103 128
100 155
99 71
95 68
76 151
71 145
70 83
67 168
67 120
62 142
61 113
47 144
46 137
43 104
43 102
42 105
41 158
41 140
41 121
38 329
38 238
38 132
38 122
37 391
37 146
36 103
34 136
33 150
30 106
30 101
28 124
27 114
26 115
25 239
25 173
25 152
25 107
23 111
22 112
21 311
21 218
20 131
19 141
18 256
18 246
17 232
16 250
16 189
16 186
16 176
16 154
16 123
15 171
14 261
14 193
14 161
13 119
13 116
13 110
13 109
12 202
12 197
12 191
12 127
12 118
11 431
11 157
11 153
11 133
11 125
10 590
10 395
10 198
10 180
10 174
10 108
9 511
9 390
9 279
9 156
8 251
8 243
8 212
8 143
8 138
8 130
8 117
7 282
7 276
7 217
7 215
7 178
6 462
6 451
6 434
6 357
6 221
6 205
6 147
5 449
5 423
5 222
5 194
5 190
5 170
5 169
5 165
5 160
4 371
4 247
4 241
4 230
4 206
4 203
4 166
4 148
4 129
3 242
3 228
3 223
3 214
3 201
3 184
3 182
3 175
3 167
3 162
3 159
2 821
2 594
2 394
2 389
2 308
2 296
2 269
2 268
2 262
2 259
2 244
2 237
2 234
2 216
2 213
2 211
2 210
2 209
2 208
2 207
2 196
2 183
2 179
2 164
2 126
1 799
1 717
1 662
1 615
1 522
1 461
1 459
1 450
1 444
1 441
1 406
1 393
1 380
1 368
1 366
1 364
1 362
1 353
1 347
1 331
1 315
1 304
1 301
1 294
1 289
1 286
1 255
1 253
1 248
1 240
1 236
1 235
1 233
1 226
1 225
1 220
1 219
1 204
1 199
1 188
1 187
1 185
1 172
1 163
1 134
Ponieważ pobrane dane dają nam dostęp do adresów IP, na które były skierowane domeny to możemy za pomocą serwisu IP-API sprawdzić na jakich usługodawców wskazują. Poniżej znajduje się Top 100:
agresor@wingzero:~$ cat ips.json | jq '.as' | sort | uniq -c | sort -nr | head -100
267377 "AS13335 Cloudflare, Inc."
93957 "AS16509 Amazon.com, Inc."
19067 "AS24940 Hetzner Online GmbH"
16922 "AS16276 OVH SAS"
16648 "AS14618 Amazon.com, Inc."
16406 "AS209242 Cloudflare London, LLC"
15646 "AS8075 Microsoft Corporation"
12887 "AS14061 DigitalOcean, LLC"
12482 "AS396982 Google LLC"
11324 "AS54113 Fastly, Inc."
7442 "AS15169 Google LLC"
4924 "AS63949 Akamai Connected Cloud"
4694 "AS47583 Hostinger International Limited"
4627 "AS37963 Hangzhou Alibaba Advertising Co.,Ltd."
4610 "AS19551 Incapsula Inc"
3774 "AS20940 Akamai International B.V."
3170 "AS15817 Robert Meyer trading as \"Mittwald CM Service GmbH & Co. KG\""
3043 "AS9123 TimeWeb Ltd."
3029 "AS133618 Trellian Pty. Limited"
3019 "AS8560 IONOS SE"
2639 "AS16625 Akamai Technologies, Inc."
2426 "AS45102 Alibaba (US) Technology Co., Ltd."
2419 "AS47846 SEDO GmbH"
2303 "AS2635 Automattic, Inc"
2209 "AS57724 DDOS-GUARD LTD"
2205 "AS20473 The Constant Company, LLC"
2109 "AS204601 Zomro B.V."
2097 "AS30148 Sucuri"
2043 "AS32244 Liquid Web, L.L.C"
1950 "AS198610 Beget LLC"
1941 "AS53831 Squarespace, Inc."
1878 "AS46606 Unified Layer"
1787 "AS197695 \"Domain names registrar REG.RU\", Ltd"
1690 "AS19871 Network Solutions, LLC"
1676 "AS22612 Namecheap, Inc."
1632 "AS7979 Servers.com, Inc."
1581 "AS398101 GoDaddy.com, LLC"
1465 "AS58061 Scalaxy B.V."
1395 "AS12876 SCALEWAY S.A.S."
1380 "AS20857 Signet B.V."
1372 "AS24429 Zhejiang Taobao Network Co.,Ltd"
1363 "AS205585 Noyan Abr Arvan Co. ( Private Joint Stock)"
1347 "AS61969 Team Internet AG"
1313 "AS51167 Contabo GmbH"
1303 "AS45090 Shenzhen Tencent Computer Systems Company Limited"
1220 "AS60781 LeaseWeb Netherlands B.V."
1216 "AS197540 netcup GmbH"
1210 "AS58182 Wix.com Ltd."
1203 "AS51115 HLL LLC"
1187 "AS29182 JSC IOT"
1178 "AS39572 DataWeb Global Group B.V."
1096 "AS31898 Oracle Corporation"
1031 "AS40065 CNSERVERS LLC"
995 "AS26347 New Dream Network, LLC"
942 "AS49505 JSC Selectel"
904 "AS43754 Asiatech Data Transmission company"
869 "AS30811 Optimizely AB"
858 "AS9002 RETN Limited"
843 "AS6724 Strato AG"
832 "AS131965 Xserver Inc."
824 "AS34788 Neue Medien Muennich GmbH"
816 "AS59692 IQWeb FZ-LLC"
816 "AS34762 Combell NV"
789 "AS132203 Tencent Building, Kejizhongyi Avenue"
777 "AS4766 Korea Telecom"
743 "AS26496 GoDaddy.com, LLC"
741 "AS50340 JSC Selectel"
706 "AS31034 Aruba S.p.A."
669 "AS24875 NovoServe B.V."
642 "AS36489 IP Pathways, LLC"
636 "AS36351 SoftLayer Technologies Inc."
621 "AS212216 Netafraz Iranian Ltd."
619 "AS10668 Lee Enterprises, Incorporated"
607 "AS3320 Deutsche Telekom AG"
602 "AS399566 Bigcommerce Inc."
601 "AS200350 Yandex.Cloud LLC"
596 "AS42624 Global-Data System IT Corporation"
589 "AS29169 GANDI SAS"
587 "AS29802 HIVELOCITY, Inc."
578 "AS210079 EuroByte LLC"
565 "AS21499 Host Europe GmbH"
562 "AS33070 Rackspace Hosting"
527 "AS4134 CHINANET-BACKBONE"
520 "AS55293 A2 Hosting, Inc."
515 "AS20860 IOMART CLOUD SERVICES LIMITED"
500 "AS37153 Xneelo (Pty) Ltd"
497 "AS4837 CHINA UNICOM China169 Backbone"
493 "AS7684 SAKURA Internet Inc."
490 "AS60631 Pars Parva System LLC"
490 "AS48635 CLDIN B.V."
486 "AS29222 Infomaniak Network SA"
477 "AS43541 VSHosting s.r.o."
474 "AS200000 Hosting Ukraine LTD"
449 "AS47447 23M GmbH"
442 "AS54641 InMotion Hosting, Inc."
436 "AS7506 GMO Internet,Inc"
433 "AS139341 ACE"
427 "AS48854 team.blue Denmark A/S"
424 "AS19994 Rackspace Hosting"
420 "AS35415 Webzilla B.V."
To samo tyczy się GeoIP tych adresów:
agresor@wingzero:~ $ cat ips.json | jq '.countryCode' | sort | uniq -c | sort -nr | head -100
255097 "US"
193221 "CA"
71796 "DE"
28150 "NL"
22251 "RU"
18782 "FR"
13992 "GB"
12792 "PL"
12097 "IE"
10545 "CN"
8389 "JP"
7378 "BR"
6947 "IR"
6710 "AU"
6226 "SG"
4306 "ES"
4114 "IN"
4110 "SE"
4046 "HK"
4018 "CZ"
3990 "IT"
3764 "AT"
3417 "FI"
2960 "CH"
2833 "KR"
2479 "VN"
2457 "BE"
2342 "LT"
2132 "BZ"
1864 "RO"
1629 "TR"
1588 "DK"
1558 "UA"
1491 "ZA"
1366 "CY"
1362 "ID"
1171 "HU"
1067 "NO"
899 "TW"
875 "BG"
821 "PT"
761 "SK"
742 "VG"
656 "LU"
628 "KZ"
602 "BY"
593 "AR"
518 "MY"
445 "SC"
431 "EE"
412 "IL"
401 "TH"
401 "KH"
391 "MX"
385 "SI"
369 "NZ"
353 "CL"
327 "AE"
314 "GR"
304 "LV"
269 "MD"
263 "HR"
254 "SA"
232 "BD"
208 "RS"
208 "DM"
197 "IS"
183 "CO"
158 "GE"
149 "PH"
128 "PK"
123 "UZ"
123 "BA"
107 "CW"
95 "BH"
93 "PE"
90 "EC"
85 "AZ"
82 "NP"
79 "EG"
77 "KG"
66 "CR"
65 "AM"
55 "UY"
55 "MT"
53 "JO"
49 "VE"
49 "MA"
46 "MN"
45 "OM"
45 "DZ"
44 "NG"
41 "QA"
41 "PY"
40 "MK"
37 "MO"
36 "PA"
32 "BO"
30 "TM"
29 "KE"
Czy zatem za pomocą tych danych możemy również powiedzieć, w jakich krajach serwery DNS Cloudflare są najpopularniejsze?
K a t e g o r i e :
T a g i :Poprzedni wpis Brak nowszych postów
