商业数字证书签发和使用使用情况分析

概要

数字证书是整个现代webPKI系统的最核心的部分之一。如果说DNS数据标识了网络资产的地址，那么数字证书就是网络资产的身份证。没有，丢失或者被吊销数字证书，就没有办法证明“我”就是“我”。因此PKI系统及其数据已经成为互联网真正的基础设施。作为互联网安全运营的基础数据，其重要性不言而喻。

3月初,乌克兰政府向互联网域名管理机构ICANN书面请求将俄罗斯相关顶级域名“.ru”, “.рф” 和“.su”从互联网撤销[1]，但ICANN并没有认同这份请求[2]。近日，我们注意到俄罗斯相关的一些国家基础设施网站的证书被证书机构陆续吊销。

360Netlab成立之后不久就通过主动、被动相结合的方式收集网络数字证书，并以此为基础构建了网络证书数据库CertDB。目前该库包含证书规模和涉及的IP端口数据达到十亿级，历史数据可追溯超过5年，是360Netlab基础数据分析系统DNSMon的重要组成部分。此外360Netlab同时运营着的网络空间基础数据库包括描述域名注册的WhoisDB、域名解析的PassiveDNS、网站页面的WebDB等等。这些基础数据库的条目以十亿或千亿为单位计，共同构成了用以描述全球网络空间变迁的DNSMon系统。

为了摸清楚数字证书在实际网络空间中的真实情况，本文利用网络证书数据库(CertDB)，从数据角度来衡量网络证书数据在使用者和签发者组织和国别之间的分布情况。

数据筛选

我们从DNSMon系统中筛选了如下条件的证书：
1. 在最近3个月活跃的
2. 非Let's Encrypt，非Cloudflare签发的
3. 签发者信息中包含国家信息的
4. 非自签名或者其他不被认为是安全的证书
通过以上方法，共计得到1,141,907个证书。

以上证书筛选条件的说明：

• 如果证书超过3个月没有活跃，我们认为这些证书所承载的网站的业务已经停止或者活跃度小，证书即使被吊销，影响也有限。

• Let's Encrypt签发的免费证书是现在证书数据的绝对大头。不过因为Let's Encrypt签发的是DV证书，并没有提供OV或者EV证书（关于证书级别的解释见后），所以重要机构和用户目前不会使用Let's Encrypt签发的证书。同理Cloudflare会在其客户中普及使用https，使用Cloudflare的域名都会有一个SSL证书。这两类数据不涉及我们今天分析的主题，所以把它们过滤掉。

• 在收集到的证书中，有些证书主体信息中包含了证书主体所在的国家，有些则没有包含。尽管可以通过证书主体通用名（subject CommonName）中的域名的ccTLD来识别主体所在国家，但并不是所有的CommonName都是ccTLD，此外ccTLD和实际使用中的主体也存在一定的不确定性。因此这次统计中，我们只查看在证书数据中包含明确主体国别标识的证书。

根证书，中间证书

• 什么是根证书机构
  根证书是内置在浏览器或者操作系统中的可信证书文件，是整个PKI系统可信链条的顶点，是PKI系统的锚点。全世界只有数量较少的根证书颁发机构。比如在firefox列出了其使用的跟证书列表[3]，总共只有49个根证书机构，颁发了138个根证书。windows系统，macOS系统等也类似都有自己的根证书列表。

• 什么是中间证书机构
  根证书RootCA不会直接面向企业或者个人用户颁发证书。这些证书数量少，影响范围广，万一出现密钥泄漏，影响太大。所以为了保护根证书，CAs通常会颁发所谓的中间根。CA使用它的私钥对中间根签名，使它受到信任，即所谓中间CA（Intermediate CA）或者中间根。然后中间根使用中间证书的私钥签署和颁发终端用户SSL证书。这个过程可以执行多次，其中一个中间根对另一个中间根进行签名，然后CA使用该根对证书进行签名。这些链接，从根到中间到叶子，都是证书链。
  值得提的一点是中间证书机构尽管可以签发证书，不过其在运营策略上会受控于上游RootCA。

目前主流的证书验证级别分为三种，分别是Domain Validated(DV), Organization Validation(OV)和Extended Validation(EV)：

• DV验证是身份验证最少的SSL证书，即使是恶意程序也可以快速的轻松获取。这类证书主要用在个人网站，自媒体以及不包含个人敏感数据的网站。

• OV证书需要验证企业身份信息后颁发。OV SSL证书是当前最常见的证书类型，适用于行政、企业、科研、邮箱、论坛等各类大中型网站。

• EV顶级SSL证书，又称扩展验证型SSL证书。安全级别最高，验证审核最严格，网站部署EV SSL证书后，浏览器地址栏将变成绿色并显示企业名称。EV SSL证书一般应用于金融、银行、电商等安全需求较高的网站。

数据分析

我们主要从两个角度即证书签发组织和证书签发组织所在国家来分析使用数字证书最多的50个国家和地区的情况。
由于无论是证书签发组织还是其所属国家，在网络证书数据中，均体现了二八定律，即少数的签发者签发了大量的证书，少数的国家签发了大量的证书。
所以我们分别选取了头部的签发机构和头部签发机构所在的国家来说明具体情况。

证书签发机构

在去掉Let's Encrypt和Cloudflare签发的证书之后，主要的证书签发机构就是一些大型的商业证书提供者。从证书签发机构的角度来看，其分布如下：

从上图可以得到：

1. DigiCert，Sectigo，GEANT Vereniging，GlobalSign和Entrust是从签发数量来说目前排名TOP5的证书提供商，占总证书数量的66%左右。

2. DigiCert相对来说提供的证书数量，区位覆盖度都要比其他的证书提供商更多更广泛。

3. 不同的证书提供商在不同区域的份额有显著的差异。比如：

• 中国、日本、俄罗斯和巴西，DigiCert和GlobalSign的市场份额远大于Sectigo；

• 美国、德国、荷兰和加拿大等地，Sectigo比GlobalSign更受欢迎；

• 在欧洲国家，比如比利时、西班牙、法国和意大利等地，对GEANT Vereniging则情有独钟。

4. 其他的具体数据参见文后的详细数据。

证书签发组织所在国家

为了看清楚证书提供商后面的国家分布，我们把签发主体中的C字段提取出来进行了统计。如下图：

从图中可以看到：

1. 美国，英国，荷兰和比利时（如上节所示，比利时的份额主要是GlobalSign贡献，现被日本GMO公司收购）的整体份额加起来可以达到80.3%，占了绝对的统计地位。

2. 从服务的对象来看，美国，英国，荷兰，比利时等国家的证书注册机构的服务的对象是全球性的，覆盖广泛。国内的证书注册机构面向对象主要还是国内用户。

3. 从证书自给率上来看，中国台湾地区是自给率最高的，达到了75%，接下来是美国和波兰的自给率都超过了50%，分别达到了64%和55%；日本和中国大陆都超过了40%。其他国家都在40%以下。
   

4. 其他具体的数据参见文后的数据。

证书自给率
证书自给率（数字证书自给率）是我们给出的一个词汇。主要用来衡量一个国家或地区在使用证书方面的对外依赖程度。证书自给率越高，表明该经济体的证书签发和使用程度越高，同时证书的对外依赖程度越低。
计算方法是通过计算证书的签发机构所属国别和证书主体所属国别是否一致来计算得到。即：
证书自给率 = 签发机构国家和证书主体国家相同的证书数量/证书主体国家全部的证书数量。

结论

1. 在去除掉大量的免费证书之外，在商业证书领域，少量的证书签发机构占据了大量的市场份额。

2. 如果从国家和地区的角度来看，第一点中提到的聚集性体现的更加明显，头部的4个国家签发的证书占全部证书的80.3%。

3. 中国大陆的证书自给率有43.6%（详见详细统计数据），目前尚缺乏在全球有竞争力的证书签发机构。

详细统计数据

详细的统计数据，请点击下方阅读原文链接。

参考资料

1. https://pastebin.com/DLbmYahS
   

2. https://www.icann.org/en/system/files/correspondence/marby-to-fedorov-02mar22-en.pdf

3. https://ccadb-public.secure.force.com/mozilla/CACertificatesInFirefoxReport

   
   

原文始发于微信公众号（Netlab 三六零）：商业数字证书签发和使用使用情况分析