截至2019年底,全球範圍內已有超7000萬站點採用SSL證書用於站點身份認證和數據加密傳輸,在保護信息安全傳輸及網站身份認證方面,SSL證書已逐漸成為各大網站必選產品。
圖1:SSL證書籤髮狀況(數據來源於NetCraft報告)
標識網站真實身份是SSL證書的基本的作用之一,可有效避免用戶訪問非法的、不安全的網站。隨著發展,諸如證書私鑰洩露、非法網站也申請了SSL證書等情況頻發。為維護互聯網生態安全,CA機構提供了及時完善並且公開透明的處理機制,即證書“黑名單”機制,可快速應對上述情況,及時吊銷問題證書併發布至黑名單。
證書“黑名單”就像我們常見的“不誠信企業名單”、“失信名單”一樣,可為第三方應用提供證書狀態查詢。以Web應用為例,當訪問網站時,瀏覽器將檢查其SSL證書狀態,確認吊銷後即終止建立安全連接,以達到提醒、阻斷訪問非法網站的效果。
圖2:瀏覽器檢測到吊銷證書的報錯提示
下面簡要介紹兩種證書“黑名單”機制:
1、證書吊銷列表(Certificate Revocation List,簡稱CRL)
CRL由CA機構發佈並維護,記錄已經吊銷的證書的序列號及其吊銷日期,CRL中還包含證書頒發機構信息、吊銷列表失效時間和下一次更新時間以及採用的簽名算法等,相關應用(比如瀏覽器、簽名驗籤服務器等)可實時下載、查詢此列表,通過比較以判斷該證書是否被吊銷。由於各CA機構更新策略不同,發佈頻率從幾小時到幾天不等,吊銷信息的發佈有不同程度滯後(CFCA全球信任證書CRL每隔3小時發佈一次),加之網絡狀況不同,會導致檢測時效性不同程度滯後。
2、在線證書狀態協議(Online Certificate Status Protocol,簡稱OCSP)
OCSP克服了CRL的主要缺陷:必須經常在客戶端下載更新的列表。OCSP採用在線請求/響應的方式實現證書狀態查詢,客戶端在線向OCSP服務器發送查詢證書狀態信息的請求,OCSP服務器回覆“good”、“revoked”、“unknown”三種狀態之一(依據RFC 6960)。
OCSP方式較CRL請求及響應信息內容少,但對網絡要求較高。無論是訪問CRL還是OCSP,成功的前提都是必須能夠正常訪問OCSP或獲取CRL文件,因此CA機構所提供的CRL及OCSP服務網絡是否通暢以及CA機構自身運營的穩定性就變得極為重要。
除吊銷狀態檢查外,SSL協議版本號同樣會較大程度上影響網頁訪問。早在2018年,谷歌、蘋果、微軟和Mozilla聲明在2020年初棄用對TLS 1.0和TLS 1.1的支持。近日,Mozilla發佈Firefox 74,宣佈禁用TLS 1.0和TLS 1.1,成為首個禁止使用TLS 1.0和TLS 1.1的瀏覽器廠商,谷歌、蘋果和微軟也將在新版中棄用TLS 1.0和TLS 1.1,建議各網站運營者儘快調整協議版本,以應對瀏覽器調整。
目前中國金融認證中心(CFCA)可免費提供網站協議版本兼容性檢測,為有需要的用戶免費提供網站安全加密傳輸應用方案,與網站運營者共同構建安全可靠的網站運營環境。
閱讀更多 中國電子銀行網 的文章
