截至2019年底,全球范围内已有超7000万站点采用SSL证书用于站点身份认证和数据加密传输,在保护信息安全传输及网站身份认证方面,SSL证书已逐渐成为各大网站必选产品。
图1:SSL证书签发状况(数据来源于NetCraft报告)
标识网站真实身份是SSL证书的基本的作用之一,可有效避免用户访问非法的、不安全的网站。随着发展,诸如证书私钥泄露、非法网站也申请了SSL证书等情况频发。为维护互联网生态安全,CA机构提供了及时完善并且公开透明的处理机制,即证书“黑名单”机制,可快速应对上述情况,及时吊销问题证书并发布至黑名单。
证书“黑名单”就像我们常见的“不诚信企业名单”、“失信名单”一样,可为第三方应用提供证书状态查询。以Web应用为例,当访问网站时,浏览器将检查其SSL证书状态,确认吊销后即终止建立安全连接,以达到提醒、阻断访问非法网站的效果。
图2:浏览器检测到吊销证书的报错提示
下面简要介绍两种证书“黑名单”机制:
1、证书吊销列表(Certificate Revocation List,简称CRL)
CRL由CA机构发布并维护,记录已经吊销的证书的序列号及其吊销日期,CRL中还包含证书颁发机构信息、吊销列表失效时间和下一次更新时间以及采用的签名算法等,相关应用(比如浏览器、签名验签服务器等)可实时下载、查询此列表,通过比较以判断该证书是否被吊销。由于各CA机构更新策略不同,发布频率从几小时到几天不等,吊销信息的发布有不同程度滞后(CFCA全球信任证书CRL每隔3小时发布一次),加之网络状况不同,会导致检测时效性不同程度滞后。
2、在线证书状态协议(Online Certificate Status Protocol,简称OCSP)
OCSP克服了CRL的主要缺陷:必须经常在客户端下载更新的列表。OCSP采用在线请求/响应的方式实现证书状态查询,客户端在线向OCSP服务器发送查询证书状态信息的请求,OCSP服务器回复“good”、“revoked”、“unknown”三种状态之一(依据RFC 6960)。
OCSP方式较CRL请求及响应信息内容少,但对网络要求较高。无论是访问CRL还是OCSP,成功的前提都是必须能够正常访问OCSP或获取CRL文件,因此CA机构所提供的CRL及OCSP服务网络是否通畅以及CA机构自身运营的稳定性就变得极为重要。
除吊销状态检查外,SSL协议版本号同样会较大程度上影响网页访问。早在2018年,谷歌、苹果、微软和Mozilla声明在2020年初弃用对TLS 1.0和TLS 1.1的支持。近日,Mozilla发布Firefox 74,宣布禁用TLS 1.0和TLS 1.1,成为首个禁止使用TLS 1.0和TLS 1.1的浏览器厂商,谷歌、苹果和微软也将在新版中弃用TLS 1.0和TLS 1.1,建议各网站运营者尽快调整协议版本,以应对浏览器调整。
目前中国金融认证中心(CFCA)可免费提供网站协议版本兼容性检测,为有需要的用户免费提供网站安全加密传输应用方案,与网站运营者共同构建安全可靠的网站运营环境。
