DNSSec（DNS安全擴(kuò)展）雖然使用越來越廣泛，但SSL安全協(xié)議目前仍存在不足

周一，信息技術(shù)與創(chuàng)新基金會(huì)發(fā)布了一份名為“美國(guó)政府網(wǎng)站標(biāo)桿管理”的報(bào)告。其中內(nèi)容包含了聯(lián)邦政府網(wǎng)站的性能和安全性的統(tǒng)計(jì)數(shù)據(jù)。

報(bào)告顯示，聯(lián)邦政府網(wǎng)站部署SSL證書的采用率持續(xù)上升。但這并不代表所有的SSL證書的部署都是正確無誤的，因此在SSL安全證書方面后續(xù)仍有大量的安全改善工作。

該報(bào)告對(duì)468個(gè)聯(lián)邦政府進(jìn)行了SSL相關(guān)的安全測(cè)試

“為了調(diào)查聯(lián)邦網(wǎng)站是否遵守安全基準(zhǔn)的情況，該報(bào)告表示通過兩種不同的方式分別進(jìn)行測(cè)試。第一種，通過Verisign實(shí)驗(yàn)室的“DNSSec調(diào)試器”，這是一款基于網(wǎng)絡(luò)的安全工具，用于檢查DNSSec的網(wǎng)站，測(cè)試數(shù)字證書是否在聯(lián)邦政府網(wǎng)站的“信任鏈”中得到驗(yàn)證。

第二種，為了檢查網(wǎng)站是否啟用了HTTPS協(xié)議，主要是通過安全工具來檢查HTTPS連接的安全套接字層（SSL）證書。Qualys SSL實(shí)驗(yàn)室的“SSL服務(wù)器測(cè)試”分別對(duì)公共SSL Web服務(wù)器進(jìn)行了檢查，檢查的范圍包括是：證書，協(xié)議的期限，密鑰強(qiáng)度和密碼強(qiáng)度。該工具還可分析出網(wǎng)站潛在的安全隱患因素，如過期的協(xié)議、安全漏洞等。

然后根據(jù)分值制度，通過安全工具對(duì)網(wǎng)站存在的網(wǎng)絡(luò)安全問題（如已知的安全漏洞）進(jìn)行數(shù)值評(píng)估，最終網(wǎng)站在1-100點(diǎn)之間產(chǎn)生最終的SSL評(píng)分。而得分為90分的視為合格?！?/p>

報(bào)告還給出了最終積分的分析結(jié)果，如下：

90％的網(wǎng)站已經(jīng)啟用了DNSSec

只有71%的聯(lián)邦政府網(wǎng)站通過了SSL測(cè)試，這比去年有了小幅度的提升，去年為67%。

但在Alexa 100,000的政府網(wǎng)站中，通行證數(shù)量卻從78％下降到75％。

今年報(bào)告和上年度測(cè)試對(duì)比，大部分（55％）網(wǎng)站在網(wǎng)絡(luò)安全方面是沒有改善甚至存在下降。

有31％的網(wǎng)站的SSL分?jǐn)?shù)有提升，而14%呈現(xiàn)下降。

在沒有變動(dòng)的網(wǎng)站中，有23％的SSL測(cè)試失敗。

圖表來源于ITIF

根據(jù)聯(lián)邦政府網(wǎng)站SSL情況分析

除了8％的網(wǎng)站外，其他網(wǎng)站都啟用了HTTPS

國(guó)際貿(mào)易管理局（trade.gov）仍然通過HTTP服務(wù)

美國(guó)貿(mào)易代表（ustr.gov）和國(guó)家氣象局（weather.com）容易受到POODLE攻擊

國(guó)際貿(mào)易管理局（trade.gov）很容易被攻擊。

最后

根據(jù)“美國(guó)政府網(wǎng)站標(biāo)桿管理”的報(bào)告提供的數(shù)據(jù)，與我國(guó)政府網(wǎng)站SSL證書情況對(duì)比，我國(guó)政府網(wǎng)站安全情況卻是令人堪憂。周一還被各大媒體曝出我國(guó)教育機(jī)構(gòu)網(wǎng)站、社保網(wǎng)站被黑客攻擊，篡改網(wǎng)站內(nèi)容。國(guó)內(nèi)信息安全服務(wù)商數(shù)安時(shí)代（GDCA）認(rèn)為我國(guó)政府網(wǎng)站絕大部分的基本網(wǎng)絡(luò)安全防護(hù)十分脆弱，有些甚至毫無安全保護(hù)。所以數(shù)安時(shí)代（GDCA）建議我們政府網(wǎng)站應(yīng)向美國(guó)聯(lián)邦政府網(wǎng)站學(xué)習(xí)，盡早完善政府網(wǎng)站的基本防護(hù)，對(duì)網(wǎng)站進(jìn)行加密設(shè)置。

HTTPS加密協(xié)議已經(jīng)在逐步代替HTTP協(xié)議的主流位置，成為網(wǎng)絡(luò)傳輸?shù)幕痉雷o(hù)。并且今年SSL證書的最長(zhǎng)有限期由原來的三年縮短到兩年，是希望：1、希望通過不斷發(fā)行和安裝新的證書，可保持網(wǎng)站加密的更新。2、數(shù)字證書存在服務(wù)器上的時(shí)間越長(zhǎng)，安全性能越容易過時(shí)。

因此每一個(gè)服務(wù)器需要定期更新SSL證書，確保支持最新的安全協(xié)議、密碼和算法。