周一,信息技术&创新基金会发布了一份名为“美国政府网站基准调查”的报告。这份报告长达90页,包含了一些有趣的统计数据,内容是关于联邦政府的大量网站的性能和安全性情况。
报告中有一个有趣的发现:政府网站采用SSL证书的比例持续增长,但SSL证书并未得到恰当的实施。或者换句话说,需要做的工作还有很多。
让我们来看一看吧。
尽管我强烈建议你亲自去看一看这份报告,但我也意识到90页的文件确实有点多。因此,我们只讨论有关SSL证书的那一部分,并从该项研究的方法学开始讲起。大体上说来,他们鉴别了468份联邦政府网站,并对每个网站做了4项基准检测。考虑到我们的目的,这些检测中有三项都不那么重要,我们主要关注安全性。
“为了评估联邦网站的合规性,报告使用了两种不同的现成工具。首先,我们使用了Verisign实验室的DNSSEC Debugger,一种基于网络测试工具来检查网站的DNSSEC情况。其次,为了鉴别网站是否启用了HTTPS协议,我们使用了一种能检测SSL证书的工具,该SSL证书可以支持大多数的HTTPS连接。根据每个网站SSL证书的使用和运行情况,我们在0到100之间进行打分,从而确定网站是否有使用HTTPS。
达到90分才被认为通过测试。
以下是得出的一些结论:
• 在审查的网站中,有90%启用了DNSSEC。
• 今年,被审查的网站仅有71%通过了SSL测试。
• 然而,在Alexa上的10万个网站中,政府网站通过测试的数量比例从78%下降到了75%。
• 在SSL得分方面,参与此次和上一次测试的网站,它们中的大多数(55%)都没有提高或降低。
• 在被测试的网站中,有31%的SSL得分提高了,14%降低了。
• 在没有进行任何改变的网站中,有23%未能通过SSL测试。
根据联邦政府网站受欢迎程度的SSL得分
ITIT的走势图
以下是一些其他的珍闻,值得从报告中摘录出来:
• 审查的网站中仅有8%启用了HTTPS
• 国际贸易管理总局(trade.gov)仍旧是通过HTTP来进行服务的
• US Trade Representative网站(ustr.gov)和国家气象局(weather.com)易受到POODLE攻击。
• 国际贸易管理总局(trade.gov)易受到DROWN攻击。
另一个重大的问题是错误配置和支持过时的密码。
最后一点建议
我们支持生命周期较短的证书的原因是,我们时常不得不发行和安装新的证书,以保持加密技术为最新的。从相反的方面看,你的数字证书在你的服务器上存在的时间越长,就越容易过时。
你需要更新你所部署的产品,以确保支持最新的协议、密码和算法。报告中所揭露出来的一些漏洞就是由于支持了老版的SSL证书,如SSL 3.0,它甚至从技术上来说都不再被称为SSL了。因此,你需要经常确保你支持最新的、更加安全的密码,而不再使用老版、过时的密码。
问题在于,保护网站的办法不只简单地添加SSL证书这一种。不管是增加一个HSTS栏,还是确保网址仅支持最安全的加密,仅仅只拥有SSL和最大化的使用它是有差别的。