C
loudflare udostępnił publicznie usługę Radar, w której są zawarte dane o rankingu domen: Domian Rankings Worldwide. Tutaj należy mieć świadomość, iż dane pochodzą z ich publicznego serwera DNS, z którego nie koniecznie musi korzystać cały internet. Niemniej jednak jest to dobra próbka, aby przeprowadzić eksperyment podobny do analiz nagłówka HTTP. W pliku pobranym 28.09.2024 znalazło się 1.008.856 domen. Finalnie udało połączyć się z 750.892 domenami w celu pobrania informacji o ich certyfikacie TLS. Aby gwałtownie pozyskać te dane został zmodyfikowany kod skryptu httpsrvreaper na bazie którego powstał sslsrvreaper. Jest on na tyle prosty, iż czyta z pliku tekstowego domains.txt adresy, z jakimi ma się połączyć i zapisać ich metadane TLS w formacie JSON, na przykład:
Są one wystarczające, aby wyciągnąć kilka ciekawych statystyk. Pierwsza z nich odnosi się do dwuliterowego kodu kraju jaki jest wpisywany, gdy generujemy CSR (ang. Certificate Signing Request), czyli żądanie podpisania certyfikatu niezbędne w procedurze uzyskania certyfikatu. Polska znalazła się w TOP 5:
agresor@darkstar:~$ cat ssl.log | jq '.issuer_countryName' | sort | uniq -c | sort -nr 672063 "US" 34773 "GB" 20166 "BE" 6354 "AT" 4036 "PL" 3888 "CN" 1805 "FR" 1755 "NL" 1482 "JP" 1069 "LV" 411 "NO" 405 "DE" 399 "ES" 379 "IT" 323 "CH" 222 "BR" 221 "BM" 160 "TW" 154 "IE" 142 "HU" 131 "LU" 127 "FI" 115 "CZ" 96 "HK" 54 "IN" 43 "TR" 37 "RO" 22 "GR" 15 "PT" 8 "UY" 7 "MA" 7 "AU" 6 "SK" 5 "VN" 4 "IL" 4 "CA" 2 "SG" 1 "KR" 1 "AE"Z kolei najpopularniejszym wystawcą dla badanej próbki okazał się Let’s Encrypt, który pobił Google Trust Services – oferujące również darmowe certyfikaty TLS.
agresor@darkstar:~$ cat ssl.log | jq '.issuer_organizationName' | sort | uniq -c | sort -nr 279002 "Let's Encrypt" 256267 "Google Trust Services" 44392 "Amazon" 44247 "DigiCert Inc" 34209 "Sectigo Limited" 21149 "GoDaddy.com, Inc." 20166 "GlobalSign nv-sa" 6735 "Cloudflare, Inc." 6354 "ZeroSSL" 5726 "DigiCert, Inc." 4029 "Entrust, Inc." 3431 "Starfield Technologies, Inc." 3323 "cPanel, Inc." 3321 "Unizeto Technologies S.A." 1974 "TrustAsia Technologies, Inc." 1706 "Gandi" 1437 "GEANT Vereniging" 1069 "GoGetSSL" 616 "Microsoft Corporation" 591 "Beijing Xinchacha Credit Management Co., Ltd." 570 "Internet2" 518 "Corporation Service Company" 490 "cPanel, LLC" 478 "WoTrus CA Limited" 468 "COMODO CA Limited" 467 "Network Solutions L.L.C." 424 "Cybertrust Japan Co., Ltd." 416 "Japan Registry Services Co., Ltd." 411 "Buypass AS-983163327" 390 "home.pl S.A." 350 "SECOM Trust Systems CO.,LTD." 349 "Actalis S.p.A." 314 "SwissSign AG" 294 "Certainly" 291 "SSL Corporation" 269 "Soluciones Corporativas IP, SL" 254 "Trust Provider B.V." 239 "sslTrus" 221 "QuoVadis Limited" 200 "Alibaba Cloud Computing Ltd." 183 "Deutsche Telekom Security GmbH" 164 "cyber_Folks S.A." 154 "DigiCert Ireland Limited" 139 "Viking Cloud, Inc." 135 "nazwa.pl sp. z o.o." 131 "CentralNic Luxembourg Sàrl" 130 "TAIWAN-CA" 127 "Telia Finland Oyj" 125 "DNSPod, Inc." 120 "CloudSecure Corporation" 115 "Alpiro s.r.o." 103 "IdenTrust" 101 "D-Trust GmbH" 96 "Hongkong Post" 83 "DHIMYOTIS" 82 "Certera" 79 "Rede Nacional de Ensino e Pesquisa - RNP" 79 "NETLOCK Ltd." 75 "The Trustico Group Ltd" 71 "Gehirn Inc." 69 "Zhejiang Huluwa Digital Certification Co., Ltd." 66 "Apple Inc." 63 "Microsec Ltd." 60 "Nijimo K.K." 60 "EUNETIC GmbH" 58 "FNMT-RCM" 57 "QuoVadis Trustlink B.V." 54 "eMudhra Technologies Limited" 41 "China Financial Certification Authority" 40 "SecureCore" 38 "Valid Certificadora Digital LTDA" 37 "The USERTRUST Network" 36 "Site Blindado S.A." 36 "Firmaprofesional S.A." 35 "JoySSL Limited" 34 "iTrusChina Co., Ltd." 29 "CERTSIGN SA" 26 "CLOUDFLARE, INC." 24 "Baidu, Inc." 23 "E-SAFER CONSULTORIA EM TECNOLOGIA DA INFORMACAO LTDA" 23 "Deutsche Post AG" 21 "TI Trust Technologies S.R.L." 21 "IZENPE S.A." 20 "UniTrust" 20 "TrustSign Certificadora Dig. & Solucoes Seguranca da Inf. Ltda." 20 "TBS Internet Ltd" 20 "Hellenic Academic and Research Institutions CA" 19 "Wells Fargo & Company" 18 "GeoSSL" 17 "E-TUGRA EBG BILISIM TEKNOLOJILERI VE HIZMETLERI ANONIM SIRKETI" 17 "Chunghwa Telecom Co., Ltd." 16 "Turing Crypto GmbH" 16 "Shoper S.A." 13 "行政院" 13 "TUBITAK Kamu Sertifikasyon Merkezi" 13 "SOLUTI - SOLUCOES EM NEGOCIOS INTELIGENTES S/A" 12 "SSL Corp" 12 "ACCV" 11 "Zhejiang Xinya Network Technology Co., Ltd." 11 "MarketWare - Soluções para Mercados Digitais, Lda." 10 "NYA LABS LLC" 10 "K Software" 10 "Gandi SAS" 10 "Atos" 9 "United SSL Deutschland GmbH" 9 "Isimtescil Bilisim A.S." 9 "Global Digital Cybersecurity Authority Co., Ltd." 8 "certSIGN" 8 "Abitab S.A." 7 "Verokey" 7 "PerfectSSL" 7 "LH.pl Sp. z o.o." 7 "Genious Communications" 6 "Ziwit" 6 "Namirial S.p.A" 6 "Disig a.s." 5 "北京新网数码信息技术有限公司" 5 "Vitalwerks Internet Solutions, LLC" 5 "swissns GmbH" 5 "Shanghai Huandu Info Tech Co. Ltd." 5 "KEYSEC LTDA" 5 "Hao Quang Viet Software Company Limited" 4 "WISeKey" 4 "Turkiye Bilimsel ve Teknolojik Arastirma Kurumu - TUBITAK" 4 "Sooma.com Web Services Lda" 4 "McAfee, Inc." 4 "Domain The Net Technologies Ltd" 4 "AffirmTrust" 3 "TrustSign Certificadora Dig. & Soluções Segurança da Inf. Ltda." 3 "Deutsche Kreditbank AG" 3 "CERTDATA SERVICOS DE INFORMACAO LTDA" 3 "CerSign Technology Limited" 2 "Xin Net Technology Corp." 2 "Sectigo (Europe) SL" 2 "One Sign Pte. Ltd." 2 "netart.com sp. z o.o." 2 "Ministerio da Defesa" 2 "Leocert LLC" 2 "Agenzia per l'Italia Digitale" 1 "厦门纳网科技股份有限公司" 1 "北京中万网络科技有限责任公司" 1 "ZoTrus Technology Limited" 1 "Telecom Italia Trust Technologies S.R.L." 1 "SSL Limited" 1 "SSL2BUY EMEA LLC" 1 "NAVER BUSINESS PLATFORM Corp." 1 "Kingnet Information Technology Co., Ltd." 1 "Hellenic Academic and Research Institutions Cert. Authority" 1 "Greek Universities Network (GUnet)" 1 "Entrust EU, S.L." 1 "DOMENY.PL sp. z o.o" 1 "Comodo Japan, Inc." 1 "Centre Testing International Group Co., Ltd." 1 "Aetna Inc"Tematem kolejnej analizy jest pole Subject Alternative Name (SAN) – to rozszerzenie specyfikacji X.509, które pozwala użytkownikom określić dodatkowe nazwy hostów dla pojedynczego certyfikatu SSL np. nfsec.pl, www.nfsec.pl, mail.nfsec.pl. Nie ma konkretnych ograniczeń, co do nazw hostów, które można objąć omawianym rozszerzeniem SAN, poza wymogiem, aby były to nazwy hostów o prawidłowej składni (szczegóły można znaleźć w RFC). Jednak urzędy certyfikacji mogą nałożyć dalsze ograniczenia na liczby lub formaty w oparciu o swoje wewnętrzne zasady lub decyzje biznesowe. Na przykład powszechną praktyką jest niedopuszczenie dowolnych nazw wieloznacznych (ang. wildcards) jako nazw hostów w SAN. Oznacza to, iż certyfikaty SAN zwykle obsługują tylko określoną listę nazw. Często spotyka się również ograniczenie liczby nazw przypadających na certyfikat, zwykle do 100. Jednak nie jest to sztywną regułą, jak możemy zobaczyć poniżej – dwóch rekordzistów uzyskało tutaj wynik 821 alternatywnych domen i subdomen. Oczywiście najpopularniejszymi są pojedyncze i podwójne wpisy.
agresor@wingzero:~$ cat ssl.log | jq '.subjectAltName | length' | sort | uniq -c | sort -nr 494590 2 143736 1 20424 3 16090 4 7793 6 7392 5 6142 8 4581 10 3734 7 3427 9 2564 11 1962 12 1908 90 1603 14 1431 100 1245 51 1173 16 1145 13 1055 89 1002 20 950 18 943 15 831 22 737 24 708 17 660 23 605 50 596 19 589 21 540 26 535 30 470 25 469 99 459 88 433 28 423 36 407 97 407 32 394 46 371 98 371 27 368 31 364 41 361 29 344 34 337 38 331 48 327 44 322 54 309 60 306 47 303 35 300 42 297 33 295 49 294 52 286 94 285 40 281 53 266 58 259 64 258 74 251 57 245 43 245 37 242 86 225 61 223 39 223 135 219 80 211 59 208 56 208 45 203 96 203 92 195 84 189 65 185 87 180 62 174 67 174 66 171 82 171 55 163 85 158 69 154 91 154 319 153 76 147 78 146 93 145 70 141 81 135 72 133 95 133 79 127 149 123 77 109 75 106 63 105 73 105 139 103 128 100 155 99 71 95 68 76 151 71 145 70 83 67 168 67 120 62 142 61 113 47 144 46 137 43 104 43 102 42 105 41 158 41 140 41 121 38 329 38 238 38 132 38 122 37 391 37 146 36 103 34 136 33 150 30 106 30 101 28 124 27 114 26 115 25 239 25 173 25 152 25 107 23 111 22 112 21 311 21 218 20 131 19 141 18 256 18 246 17 232 16 250 16 189 16 186 16 176 16 154 16 123 15 171 14 261 14 193 14 161 13 119 13 116 13 110 13 109 12 202 12 197 12 191 12 127 12 118 11 431 11 157 11 153 11 133 11 125 10 590 10 395 10 198 10 180 10 174 10 108 9 511 9 390 9 279 9 156 8 251 8 243 8 212 8 143 8 138 8 130 8 117 7 282 7 276 7 217 7 215 7 178 6 462 6 451 6 434 6 357 6 221 6 205 6 147 5 449 5 423 5 222 5 194 5 190 5 170 5 169 5 165 5 160 4 371 4 247 4 241 4 230 4 206 4 203 4 166 4 148 4 129 3 242 3 228 3 223 3 214 3 201 3 184 3 182 3 175 3 167 3 162 3 159 2 821 2 594 2 394 2 389 2 308 2 296 2 269 2 268 2 262 2 259 2 244 2 237 2 234 2 216 2 213 2 211 2 210 2 209 2 208 2 207 2 196 2 183 2 179 2 164 2 126 1 799 1 717 1 662 1 615 1 522 1 461 1 459 1 450 1 444 1 441 1 406 1 393 1 380 1 368 1 366 1 364 1 362 1 353 1 347 1 331 1 315 1 304 1 301 1 294 1 289 1 286 1 255 1 253 1 248 1 240 1 236 1 235 1 233 1 226 1 225 1 220 1 219 1 204 1 199 1 188 1 187 1 185 1 172 1 163 1 134Ponieważ pobrane dane dają nam dostęp do adresów IP, na które były skierowane domeny to możemy dzięki serwisu IP-API sprawdzić na jakich usługodawców wskazują. Poniżej znajduje się Top 100:
agresor@wingzero:~$ cat ips.json | jq '.as' | sort | uniq -c | sort -nr | head -100 267377 "AS13335 Cloudflare, Inc." 93957 "AS16509 Amazon.com, Inc." 19067 "AS24940 Hetzner Online GmbH" 16922 "AS16276 OVH SAS" 16648 "AS14618 Amazon.com, Inc." 16406 "AS209242 Cloudflare London, LLC" 15646 "AS8075 Microsoft Corporation" 12887 "AS14061 DigitalOcean, LLC" 12482 "AS396982 Google LLC" 11324 "AS54113 Fastly, Inc." 7442 "AS15169 Google LLC" 4924 "AS63949 Akamai Connected Cloud" 4694 "AS47583 Hostinger International Limited" 4627 "AS37963 Hangzhou Alibaba Advertising Co.,Ltd." 4610 "AS19551 Incapsula Inc" 3774 "AS20940 Akamai International B.V." 3170 "AS15817 Robert Meyer trading as \"Mittwald CM Service GmbH & Co. KG\"" 3043 "AS9123 TimeWeb Ltd." 3029 "AS133618 Trellian Pty. Limited" 3019 "AS8560 IONOS SE" 2639 "AS16625 Akamai Technologies, Inc." 2426 "AS45102 Alibaba (US) Technology Co., Ltd." 2419 "AS47846 SEDO GmbH" 2303 "AS2635 Automattic, Inc" 2209 "AS57724 DDOS-GUARD LTD" 2205 "AS20473 The Constant Company, LLC" 2109 "AS204601 Zomro B.V." 2097 "AS30148 Sucuri" 2043 "AS32244 Liquid Web, L.L.C" 1950 "AS198610 Beget LLC" 1941 "AS53831 Squarespace, Inc." 1878 "AS46606 Unified Layer" 1787 "AS197695 \"Domain names registrar REG.RU\", Ltd" 1690 "AS19871 Network Solutions, LLC" 1676 "AS22612 Namecheap, Inc." 1632 "AS7979 Servers.com, Inc." 1581 "AS398101 GoDaddy.com, LLC" 1465 "AS58061 Scalaxy B.V." 1395 "AS12876 SCALEWAY S.A.S." 1380 "AS20857 Signet B.V." 1372 "AS24429 Zhejiang Taobao Network Co.,Ltd" 1363 "AS205585 Noyan Abr Arvan Co. ( Private Joint Stock)" 1347 "AS61969 Team Internet AG" 1313 "AS51167 Contabo GmbH" 1303 "AS45090 Shenzhen Tencent Computer Systems Company Limited" 1220 "AS60781 LeaseWeb Netherlands B.V." 1216 "AS197540 netcup GmbH" 1210 "AS58182 Wix.com Ltd." 1203 "AS51115 HLL LLC" 1187 "AS29182 JSC IOT" 1178 "AS39572 DataWeb Global Group B.V." 1096 "AS31898 Oracle Corporation" 1031 "AS40065 CNSERVERS LLC" 995 "AS26347 New Dream Network, LLC" 942 "AS49505 JSC Selectel" 904 "AS43754 Asiatech Data Transmission company" 869 "AS30811 Optimizely AB" 858 "AS9002 RETN Limited" 843 "AS6724 Strato AG" 832 "AS131965 Xserver Inc." 824 "AS34788 Neue Medien Muennich GmbH" 816 "AS59692 IQWeb FZ-LLC" 816 "AS34762 Combell NV" 789 "AS132203 Tencent Building, Kejizhongyi Avenue" 777 "AS4766 Korea Telecom" 743 "AS26496 GoDaddy.com, LLC" 741 "AS50340 JSC Selectel" 706 "AS31034 Aruba S.p.A." 669 "AS24875 NovoServe B.V." 642 "AS36489 IP Pathways, LLC" 636 "AS36351 SoftLayer Technologies Inc." 621 "AS212216 Netafraz Iranian Ltd." 619 "AS10668 Lee Enterprises, Incorporated" 607 "AS3320 Deutsche Telekom AG" 602 "AS399566 Bigcommerce Inc." 601 "AS200350 Yandex.Cloud LLC" 596 "AS42624 Global-Data System IT Corporation" 589 "AS29169 GANDI SAS" 587 "AS29802 HIVELOCITY, Inc." 578 "AS210079 EuroByte LLC" 565 "AS21499 Host Europe GmbH" 562 "AS33070 Rackspace Hosting" 527 "AS4134 CHINANET-BACKBONE" 520 "AS55293 A2 Hosting, Inc." 515 "AS20860 IOMART CLOUD SERVICES LIMITED" 500 "AS37153 Xneelo (Pty) Ltd" 497 "AS4837 CHINA UNICOM China169 Backbone" 493 "AS7684 SAKURA Internet Inc." 490 "AS60631 Pars Parva System LLC" 490 "AS48635 CLDIN B.V." 486 "AS29222 Infomaniak Network SA" 477 "AS43541 VSHosting s.r.o." 474 "AS200000 Hosting Ukraine LTD" 449 "AS47447 23M GmbH" 442 "AS54641 InMotion Hosting, Inc." 436 "AS7506 GMO Internet,Inc" 433 "AS139341 ACE" 427 "AS48854 team.blue Denmark A/S" 424 "AS19994 Rackspace Hosting" 420 "AS35415 Webzilla B.V."To samo tyczy się GeoIP tych adresów:
agresor@wingzero:~ $ cat ips.json | jq '.countryCode' | sort | uniq -c | sort -nr | head -100 255097 "US" 193221 "CA" 71796 "DE" 28150 "NL" 22251 "RU" 18782 "FR" 13992 "GB" 12792 "PL" 12097 "IE" 10545 "CN" 8389 "JP" 7378 "BR" 6947 "IR" 6710 "AU" 6226 "SG" 4306 "ES" 4114 "IN" 4110 "SE" 4046 "HK" 4018 "CZ" 3990 "IT" 3764 "AT" 3417 "FI" 2960 "CH" 2833 "KR" 2479 "VN" 2457 "BE" 2342 "LT" 2132 "BZ" 1864 "RO" 1629 "TR" 1588 "DK" 1558 "UA" 1491 "ZA" 1366 "CY" 1362 "ID" 1171 "HU" 1067 "NO" 899 "TW" 875 "BG" 821 "PT" 761 "SK" 742 "VG" 656 "LU" 628 "KZ" 602 "BY" 593 "AR" 518 "MY" 445 "SC" 431 "EE" 412 "IL" 401 "TH" 401 "KH" 391 "MX" 385 "SI" 369 "NZ" 353 "CL" 327 "AE" 314 "GR" 304 "LV" 269 "MD" 263 "HR" 254 "SA" 232 "BD" 208 "RS" 208 "DM" 197 "IS" 183 "CO" 158 "GE" 149 "PH" 128 "PK" 123 "UZ" 123 "BA" 107 "CW" 95 "BH" 93 "PE" 90 "EC" 85 "AZ" 82 "NP" 79 "EG" 77 "KG" 66 "CR" 65 "AM" 55 "UY" 55 "MT" 53 "JO" 49 "VE" 49 "MA" 46 "MN" 45 "OM" 45 "DZ" 44 "NG" 41 "QA" 41 "PY" 40 "MK" 37 "MO" 36 "PA" 32 "BO" 30 "TM" 29 "KE"Czy zatem dzięki tych danych możemy również powiedzieć, w jakich krajach serwery DNS Cloudflare są najpopularniejsze?
