截至2019年底，全球范圍內已有超7000萬站點采用SSL證書用于站點身份認證和數據加密傳輸，在保護信息安全傳輸及網站身份認證方面，SSL證書已逐漸成為各大網站必選產品。

圖1：SSL證書簽發狀況（數據來源于NetCraft報告）

標識網站真實身份是SSL證書的基本的作用之一，可有效避免用戶訪問非法的、不安全的網站。隨著發展，諸如證書私鑰泄露、非法網站也申請了SSL證書等情況頻發。為維護互聯網生態安全，CA機構提供了及時完善并且公開透明的處理機制，即證書“黑名單”機制，可快速應對上述情況，及時吊銷問題證書并發布至黑名單。

證書“黑名單”就像我們常見的“不誠信企業名單”、“失信名單”一樣，可為第三方應用提供證書狀態查詢。以Web應用為例，當訪問網站時，瀏覽器將檢查其SSL證書狀態，確認吊銷后即終止建立安全連接，以達到提醒、阻斷訪問非法網站的效果。

圖2：瀏覽器檢測到吊銷證書的報錯提示

下面簡要介紹兩種證書“黑名單”機制：

1、證書吊銷列表（Certificate Revocation List，簡稱CRL）

CRL由CA機構發布并維護，記錄已經吊銷的證書的序列號及其吊銷日期，CRL中還包含證書頒發機構信息、吊銷列表失效時間和下一次更新時間以及采用的簽名算法等，相關應用（比如瀏覽器、簽名驗簽服務器等）可實時下載、查詢此列表，通過比較以判斷該證書是否被吊銷。由于各CA機構更新策略不同，發布頻率從幾小時到幾天不等，吊銷信息的發布有不同程度滯后（CFCA全球信任證書CRL每隔3小時發布一次），加之網絡狀況不同，會導致檢測時效性不同程度滯后。

2、在線證書狀態協議（Online Certificate Status Protocol，簡稱OCSP）

OCSP克服了CRL的主要缺陷：必須經常在客戶端下載更新的列表。OCSP采用在線請求/響應的方式實現證書狀態查詢，客戶端在線向OCSP服務器發送查詢證書狀態信息的請求，OCSP服務器回復“good”、“revoked”、“unknown”三種狀態之一（依據RFC 6960）。

OCSP方式較CRL請求及響應信息內容少，但對網絡要求較高。無論是訪問CRL還是OCSP，成功的前提都是必須能夠正常訪問OCSP或獲取CRL文件，因此CA機構所提供的CRL及OCSP服務網絡是否通暢以及CA機構自身運營的穩定性就變得極為重要。

除吊銷狀態檢查外，SSL協議版本號同樣會較大程度上影響網頁訪問。早在2018年，谷歌、蘋果、微軟和Mozilla聲明在2020年初棄用對TLS 1.0和TLS 1.1的支持。近日，Mozilla發布Firefox 74，宣布禁用TLS 1.0和TLS 1.1，成為首個禁止使用TLS 1.0和TLS 1.1的瀏覽器廠商，谷歌、蘋果和微軟也將在新版中棄用TLS 1.0和TLS 1.1，建議各網站運營者盡快調整協議版本，以應對瀏覽器調整。

目前中國金融認證中心（CFCA）可免費提供網站協議版本兼容性檢測，為有需要的用戶免費提供網站安全加密傳輸應用方案，與網站運營者共同構建安全可靠的網站運營環境。

責任編輯：韓希宇