SSL/TLS协议作为加密网络通信的标准，对于保障信息系统的安全有着十分重要的作用。然而，由于SSL/TLS协议的复杂性和灵活性，使得Web网站在实现和部署SSL/TLS协议时，很容易出现代码实现漏洞、部署配置缺陷和证书密钥管理等安全缺陷。目前SSL/TLS协议在Web网站开发中被广泛使用，然而却很少有人关注如何正确部署配置SSL/TLS协议，并进行相关的安全评估。因此，针对Web网站SSL/TLS协议部署配置进行检测与安全评估研究，对于提高信息系统的安全性具有重要的实际应用价值。　　首先，我们基于现有开源项目设计并实现了Web网站SSL/TLS协议部署配置安全检测系统，该系统主要针对SSL/TLS协议基础配置、密码套件支持以及SSL/TLS协议主流攻击三个方面进行检测。使用该系统在完成了Alexa排名前100万网站的基础配置分析与密码套件扫描，并针对前10万网站进行了主流攻击的测试。通过上述工作，我们发现OCSP Stapling等关键扩展支持率不足25％、3DES等不安全密码套件被普遍支持、仍然有一定数量的网站存在HeartBleed攻击等严重问题。　　鉴于现有Web网站SSL/TLS协议配置安全评估体系普遍存在安全等级含义不明确的问题，我们以通用漏洞评分系统CVSS为基础，对SSL/TLS协议在部署配置时存在的脆弱点从攻击复杂度、攻击时间以及攻击花费等方面进行了严重程度的分级与归类;之后，在此基础上提出了一种Web网站SSL/TLS协议配置安全等级的7级定义，该定义与现有安全等级定义相比，能够表达出更加具体的安全威胁相关信息。　　最后，我们在详细分析Web网站安全评估自身特点与影响因素的基础上，将层次分析法与模糊综合分析法相结合，构建了基于AHP-模糊综合分析的Web网站安全评估模型。随后我们运用该模型对Alexa排名前10000网站进行了评估，并将评估结果与QualysSSLLabs的评估结果进行了对比分析，验证了该模型能够较好地解决现有评估体系存在的主观性过强、易受峰值影响、评价指标交叉以及评估细则不合理等问题，从而较好地说明了该模型的有效性和准确性。