SSL Pulseデータの推移 (SSL Pulse Trends)

Qualys SSL Pulse サイトでは、Alexa トップ20万のアクセス数のサイトのSSLに関する統計情報を毎月公開していますが、そのデータ利用の許可いただき、 SSLに関するデータの推移をグラフで示します。

データ取得期間：〜

SSL Pulseのサイト評価グレードの分布の推移

SSL Pulse ではSSLの設定の安全レベルであるグレードをAからFで評価しています。その分布の推移をグラフにしました。2014年2月には大きく評価方法が変わったようです。その途中でも脆弱性の評価項目が随時追加され、評価値が見直されているようです。

認証レベル(DV・OV・EV)

SSL/TLSに関連した脆弱性の未対応推移

RC4ストリーム暗号の危殆化やPOODLEの影響など、公開された脆弱性の影響を受けるサイトの比率をグラフにしています。上に行くほど脆弱性の影響を受けるサイトの比率が多いという意味です。多くの脆弱性対応は徐々に対策され、徐々に比率が下がってくるのですが、BEASTに関してだけ、リスクを受容するという方向にあり、影響を受けるサイトが増えています。

SSL/TLSプロトコルの使用比率推移

POODLE攻撃が公表されて以降、SSLv3の利用は急激に下がりました。 2018年10月より、TLS 1.3のデータが追加され、初回は8.91%でした。

最も強いSSL/TLSプロトコルの使用比率推移

サーバーでサポートする最強のプロトコルの推移です。 2018年10月より、TLS 1.3のデータが追加され、初回は8.91%でした。

SSLサーバー証明書の署名アルゴリズムの使用比率推移

SSLサーバー証明書の使用している署名アルゴリズムの使用比率の推移を示します。 2017年1月にSHA1withRSAアルゴリズムの使用禁止が各社からアナウンスされ、 SHA256withRSAへの移行が進んでいます。

SSLサーバー証明書の鍵長の使用比率推移

SSL/TLSの新技術のサポート率

鍵交換の鍵長の利用率

DH(E)鍵交換の鍵長の利用率

ECDH(E)鍵交換の鍵長の利用率

ECDH鍵交換のnamed groupsの対応率上位

HTTP/2 ALPNにおけるプロトコルのサポート率

HTTP/2のhttpsの場合のプロトコルネゴシエーションで、サーバー側がサポートする ALPN(Application-Layer Protocol Negotiation)と共に示される、使用可能なプロトコルのサポート比率の推移は以下のようになる。

(参考)NPNにおけるHTTP/2プロトコルのサポート率

NPN(Next Protocol Negotiation)においてサーバーが提示するプロトコルのうち、HTTP/2やそのドラフトのサポートの比率の推移は以下の通りです。NPNはALPNに置き換えられたため当面、参考として掲載しておきます。

更新履歴

データの更新以外の情報の追加、トレンドの変化コメントなどは以下の通りです。

2021年9月 - ECDH鍵交換のnamed groupsの対応率のグラフを追加しました。
2020年6月 - SHA384withECDSA を証明書の署名アルゴリズムのグラフに追加しました。
2020年2月 - SSL Pulse本家のレベル判定方法が変更になり、TLS 1.0もしくはTLS 1.1を使っている場合AからBに判定が変更になりました。これに伴い、A、A+判定の数が激減し、B判定されているサイトが急増しています。[参考1]
2019年10月 - Let's Encryptの証明書の利用率のデータがあったので表示するようにしました。当面は、(仕方なく)脆弱性のカテゴリのグラフに入れておきます。
2019年5月 - HTTP/2のプロトコル名を示すTLS拡張は既に長いことNPNではなく ALPNに置き換えられていますが、ようやくALPNの利用状況のグラフを追加しました。また、2019年3月のBlack Hat 2019 Asiaで発表された、Zombie Poodle脆弱性、Golden Doodle脆弱性の影響も脆弱性のグラフに追加しました。どちらも影響をうけるサイトは非常に少ないことがわかります。

参考情報

過去には、ブログでこのようなトレンド情報を公開していました。2014年11月から隔月ぐらいで情報をアップしていました。

自堕落な技術者の日記：SSL Pulseの統計情報で見るSSL/TLS (2015年12月版)

謝辞

SSL Pulseのデータの再利用を快諾頂きましたIvan Ristićさん、ありがとうございました。インタラクティブなグラフ表示にはRickshaw を使用しています。