背景及总结:
出于减少证书系统缺陷的目的,CT被提及出来。但是针对CT的部署情况的研究比较少,Gustafsson在2017年首次针对CT公开的多个logs进行分析。同年,Amann针对HTTPS整个生态系统的相关内容通过域名进行分析,主要将之前的扫描范围扩大,除此之外,其主要分析了CT中传递SCT的三种不同方法在实际中的应用。本文也是与该工作同一时间进行,针对CT中传递SCT的方法,进行了深入的探究。与Amann工作的主要不同在于考虑了不同方法的效率以及复杂性问题,并以此为出发点探究了不同域的SCT传递方式、TLS握手时间、SCT传递时间、
不同rank域之间的差别、证书类型、证书发行者、证书签名算法和公钥在两个时间点扫描的差别,总体上显示加密的连接增多,CT使用增多,TLS扩展传递SCT的方法使用的最普遍,同时也存在一些喜欢使用证书扩展的CA。本文仅进行了主动扫描Alexa Top1M域。
细节总结:
整体结果:
在作者的两次扫描中(相差四个月)SCT传递方法中,X.509增加的最大,分析其原因是由于这种方式不需要修改server相对而言较为简单。
Top1M域中,在最流行的域中SCT的使用率最高,同时在较为不流行的域中X.509扩展使用率最高。且TLS扩展和X.509扩展使用率差别不大。OCSP相对而言使用率特别低。
证书对应多个SCT
一般而言证书都会对应多个SCT,比如EV证书要求其对应一个非Google SCT和一个Google SCT,目的是防止SCT失效时,有备用SCT。所以作者这中情况做了统计分析,对应SCT个数的域名占比。
每种情况中三种传递方式的占比差别较大。其中使用TLS扩展的在2,3中占比较高,而X.509扩展的使用则更加的广泛,分别在2,3,4,5中都占有不小的比例。
属于那些公开的logs?
相比较两次的测量结果,观察其日志覆盖的结果,其中logs增加了。并且主流的logs依然是Google以及其它几个CA,发现了一些不属于任何logs的数据。还深入探究CA具体的传递方式差异,Digicert和Aviator大部分传递方式使用X.509扩展传递,而Wosign大部分使用TLS扩展传递,这体现了CA在使用传递方式的偏好。
证书的类型:
作者还基于证书对相关的内容进行分析,首先从证书的类型入手,证书的类型可以分为:EV、OV、DV。其中EV的安全性最高,也是受Google推崇发布CT的证书。虽然在EV证书中很高的比例都存在SCT传递,但是也存在一小部分没有传递SCT。其次就是OV证书中传递SCT的占比次高,最后是DV因为其安全性最低。并对每种证书中的传递方法进行了统计,发现在EV证书中使用证书扩展传递方法最高,因为其比较简单,不需要对server做出更改。
证书发行者
作者也对证书对应的发行者进行了统计分析,并列出前五位最多使用每种SCT传递方法的发行者,及其两次收集数据中的变化。
证书中的用到的算法和公钥:
与此同时,统计分析每种SCT传递方法中的签名算法、哈希算法和公钥类型的使用情况,发现使用SCT的域比non-SCT的域使用更少的弱签名算法以及哈希算法。并探究使用SHA1哈希算法的证书是由Comodo颁发。依然存在SHA1 MD5这种不安全的算法使用的情况。在non-SCT中主要使用短位数的RSA公钥,主要负责EC公钥的发行公司是Comodo。
TLS握手时间,SCT传递时间分析:
分析域中TLS握手的时间以及SCT不同传递方法的传递时间长短。发现使用TLS扩展传递SCT的握手时间更短,可能是利用第三方的服务直接复制。从性能的角度讲,TLS扩展传递SCT将是首选。
问题:
使用每种传递方式传递时,握手的时间和传递的时间区别在哪里。按我的理解握手过程中就传递SCT了,因为证书交换也是在握手中进行的,TLS扩展存在于clienthello和serverhello中。
4632
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
