DNSSec（DNS安全擴展）雖然使用越來越廣泛，但SSL安全協議目前仍存在不足

周一，信息技術與創新基金會發布了一份名為“美國政府網站標桿管理”的報告。其中內容包含了聯邦政府網站的性能和安全性的統計數據。

報告顯示，聯邦政府網站部署SSL證書的采用率持續上升。但這并不代表所有的SSL證書的部署都是正確無誤的，因此在SSL安全證書方面后續仍有大量的安全改善工作。

該報告對468個聯邦政府進行了SSL相關的安全測試

“為了調查聯邦網站是否遵守安全基準的情況，該報告表示通過兩種不同的方式分別進行測試。第一種，通過Verisign實驗室的“DNSSec調試器”，這是一款基于網絡的安全工具，用于檢查DNSSec的網站，測試數字證書是否在聯邦政府網站的“信任鏈”中得到驗證。

第二種，為了檢查網站是否啟用了HTTPS協議，主要是通過安全工具來檢查HTTPS連接的安全套接字層（SSL）證書。Qualys SSL實驗室的“SSL服務器測試”分別對公共SSL Web服務器進行了檢查，檢查的范圍包括是：證書，協議的期限，密鑰強度和密碼強度。該工具還可分析出網站潛在的安全隱患因素，如過期的協議、安全漏洞等。

然后根據分值制度，通過安全工具對網站存在的網絡安全問題（如已知的安全漏洞）進行數值評估，最終網站在1-100點之間產生最終的SSL評分。而得分為90分的視為合格。”

報告還給出了最終積分的分析結果，如下：

90％的網站已經啟用了DNSSec

只有71%的聯邦政府網站通過了SSL測試，這比去年有了小幅度的提升，去年為67%。

但在Alexa 100,000的政府網站中，通行證數量卻從78％下降到75％。

今年報告和上年度測試對比，大部分（55％）網站在網絡安全方面是沒有改善甚至存在下降。

有31％的網站的SSL分數有提升，而14%呈現下降。

在沒有變動的網站中，有23％的SSL測試失敗。

圖表來源于ITIF

根據聯邦政府網站SSL情況分析

除了8％的網站外，其他網站都啟用了HTTPS

國際貿易管理局（trade.gov）仍然通過HTTP服務

美國貿易代表（ustr.gov）和國家氣象局（weather.com）容易受到POODLE攻擊

國際貿易管理局（trade.gov）很容易被攻擊。

最后

根據“美國政府網站標桿管理”的報告提供的數據，與我國政府網站SSL證書情況對比，我國政府網站安全情況卻是令人堪憂。周一還被各大媒體曝出我國教育機構網站、社保網站被黑客攻擊，篡改網站內容。國內信息安全服務商數安時代（GDCA）認為我國政府網站絕大部分的基本網絡安全防護十分脆弱，有些甚至毫無安全保護。所以數安時代（GDCA）建議我們政府網站應向美國聯邦政府網站學習，盡早完善政府網站的基本防護，對網站進行加密設置。

HTTPS加密協議已經在逐步代替HTTP協議的主流位置，成為網絡傳輸的基本防護。并且今年SSL證書的最長有限期由原來的三年縮短到兩年，是希望：1、希望通過不斷發行和安裝新的證書，可保持網站加密的更新。2、數字證書存在服務器上的時間越長，安全性能越容易過時。

因此每一個服務器需要定期更新SSL證書，確保支持最新的安全協議、密碼和算法。