SSL证书免费健康体检系统评分标准

　　WoSign 推出的“SSL证书免费健康体检系统”拟在帮助已经部署了SSL证书的网站管理员或信息安全员以及广大用户能有效地发现网站部署的SSL证书是否有问题，并根据检查结果给出了一个总分数供参考。请注意：我们的系统检查工具是模拟浏览器处理https协议方式来检查的(等同于使用浏览器https访问服务器)，并不需要您在您的服务器和电脑上安装任何软件。 我们的评分标准如下：

　　第一部分：证书运行状态检查

此部分将检查如下4项，确保浏览器能正常显示已经部署的SSL证书，如果这4项的任何一项通不过，则总分为零分。(请参考文章《浏览器是如何检查SSL证书是否工作正常的？ 》)

(1) 证书域名匹配检查

SSL证书是绑定域名的，如果待检查的网站域名与证书中的域名(包括通用名称和备用名称)一致的话，则通过域名匹配检查，得10分;如果不一致，则总分得分为0。

(2) 证书有效期检查

SSL证书是有有效期的，一般为1-3年，如果证书没有过期，则得分10分;如果过期了，则总分得分为0。

(3) 证书吊销检查

SSL证书有非常完善的吊销机制，如果证书没有被吊销，则得分10分;否则总分得分为0。如果证书没有可访问的吊销列表，则总分得分为0。请参考文章《证书吊销列表起什么作用？ 》

后面显示是OCSP或CRL服务器的响应时间，并做出响应速度评价。其中：“很快” 指响应时间小于0.2秒;“快” 指响应时间小于1秒;“一般” 指响应时间小于3秒;“慢” 指响应时间小于8秒;“很慢” 指响应时间大于8秒。此参数将影响部署SSL证书的网站的用户体验，响应时间越短，意味着用户访问https加密页面的时间越快，用户体验越好。

(4) 证书可信根检查

部署全球信任的SSL证书是基本要求，如果颁发此证书的根证书颁发机构可以从Windows受信任的根证书颁发机构列表中核实，则是“受信任”的，得分10分;而如果根证书受信任，但网站并没有安装中级根证书，则扣5分，此项得分为5分;

如果颁发此证书的根证书颁发机构不能从Windows受信任的根证书颁发机构列表中核实，则是“不受信任”的，总分得分为0。请参考文章《自签SSL证书非常不安全 》。

　　第二部分： 证书部署安全检查

此部分将检查如下5项，确保SSL证书正确部署，能真正起到安全加密作用：

(1) 加密套件和加密强度检查

系统会显示服务器支持的所有加密算法以及检查时握手所用加密算法和加密位数。安全可靠的加密强度必须大于或等于128位，如果服务器支持的所有加密算法都是128位或以上的，则得10分;如果有支持低于128位的算法，则我们认为系统是不安全的，仍然是不得分，应该关闭这些不安全的算法。

(2) 根证书密钥对安全检查

根据美国国家标准技术研究院(NIST )和微软的要求，根证书密钥对必须大于2048位，因为1024位已经不安全了。所以，系统会检查顶级根证书和中级根证书的密钥长度，如果全部大于或等于2048位，则得分10分;否则只要其中有一个不是2048位或以上，则不得分。

(3) 用户证书密钥对安全检查

用户证书密钥对当然也必须大于或等于2048位，如果是，则得分10分;否则不得分。

(4) 不安全加密协议检查

如果服务器不支持不安全的SSL V2.0加密协议，则得分5分;如果支持，则不得分。请参考文章《SSL V2.0协议有哪些安全漏洞？ 》。

(5) 密钥重新协商机制安全检查

鉴于由客户端发起的传统密钥重新协商机制有安全漏洞，如果不关闭，则有可能遭遇SSL中间人攻击。所以，如果服务器已经关闭不安全的由客户端发起的传统密钥重新协商机制，则得分10分，否则不得分。如果服务器已经支持新出台的由客户端发起的安全密钥重新协商机制，则得分10分，否则不得分。请参考文章《SSL密钥重新协商机制有最大安全漏洞，急需用户升级补漏 》

　　第三部分： 证书详细信息

此部分只是显示证书主题信息中的详细信息，供用户参考。只有证书类型项参与评分，如果此证书是域名验证型证书，则不得分，因为域名验证型证书是不验证网站的真实身份的;如果是机构验证型证书和扩展验证型证书，则得分5分。

WoSign SSL证书免费健康体检系统要求至少要有60分才是合格的，否则属于不安全的。