DNSSec（DNS安全扩展）虽然使用越来越广泛，但SSL安全协议目前仍存在不足

周一，信息技术与创新基金会发布了一份名为“美国政府网站标杆管理”的报告。其中内容包含了联邦政府网站的性能和安全性的统计数据。

报告显示，联邦政府网站部署SSL证书的采用率持续上升。但这并不代表所有的SSL证书的部署都是正确无误的，因此在SSL安全证书方面后续仍有大量的安全改善工作。

该报告对468个联邦政府进行了SSL相关的安全测试

“为了调查联邦网站是否遵守安全基准的情况，该报告表示通过两种不同的方式分别进行测试。第一种，通过Verisign实验室的“DNSSec调试器”，这是一款基于网络的安全工具，用于检查DNSSec的网站，测试数字证书是否在联邦政府网站的“信任链”中得到验证。

第二种，为了检查网站是否启用了HTTPS协议，主要是通过安全工具来检查HTTPS连接的安全套接字层（SSL）证书。Qualys SSL实验室的“SSL服务器测试”分别对公共SSL Web服务器进行了检查，检查的范围包括是：证书，协议的期限，密钥强度和密码强度。该工具还可分析出网站潜在的安全隐患因素，如过期的协议、安全漏洞等。

然后根据分值制度，通过安全工具对网站存在的网络安全问题（如已知的安全漏洞）进行数值评估，最终网站在1-100点之间产生最终的SSL评分。而得分为90分的视为合格。”

报告还给出了最终积分的分析结果，如下：

90％的网站已经启用了DNSSec

只有71%的联邦政府网站通过了SSL测试，这比去年有了小幅度的提升，去年为67%。

但在Alexa 100,000的政府网站中，通行证数量却从78％下降到75％。

今年报告和上年度测试对比，大部分（55％）网站在网络安全方面是没有改善甚至存在下降。

有31％的网站的SSL分数有提升，而14%呈现下降。

在没有变动的网站中，有23％的SSL测试失败。

图表来源于ITIF

根据联邦政府网站SSL情况分析

除了8％的网站外，其他网站都启用了HTTPS

国际贸易管理局（trade.gov）仍然通过HTTP服务

美国贸易代表（ustr.gov）和国家气象局（weather.com）容易受到POODLE攻击

国际贸易管理局（trade.gov）很容易被攻击。

最后

根据“美国政府网站标杆管理”的报告提供的数据，与我国政府网站SSL证书情况对比，我国政府网站安全情况却是令人堪忧。周一还被各大媒体曝出我国教育机构网站、社保网站被黑客攻击，篡改网站内容。国内信息安全服务商数安时代（GDCA）认为我国政府网站绝大部分的基本网络安全防护十分脆弱，有些甚至毫无安全保护。所以数安时代（GDCA）建议我们政府网站应向美国联邦政府网站学习，尽早完善政府网站的基本防护，对网站进行加密设置。

HTTPS加密协议已经在逐步代替HTTP协议的主流位置，成为网络传输的基本防护。并且今年SSL证书的最长有限期由原来的三年缩短到两年，是希望：1、希望通过不断发行和安装新的证书，可保持网站加密的更新。2、数字证书存在服务器上的时间越长，安全性能越容易过时。

因此每一个服务器需要定期更新SSL证书，确保支持最新的安全协议、密码和算法。