當(dāng)前位置:首頁 >  科技 >  IT業(yè)界 >  正文

美國政府網(wǎng)站強制HTTPS加密,取得顯著成效

 2017-04-25 17:40  來源: 互聯(lián)網(wǎng)   我來投稿 撤稿糾錯

  域名預(yù)訂/競價,好“米”不錯過

美國政府在2015年6月發(fā)布了HTTPS-Only標(biāo)準(zhǔn),要求所有聯(lián)邦政府網(wǎng)站在2016年12月31日前都必須使用全站HTTPS加密連接,并要求使用HTTP嚴(yán)格傳輸安全(HSTS)策略。時隔一年多,美國政府網(wǎng)站HTTPS-Only標(biāo)準(zhǔn)的實施效果如何呢?美國總務(wù)管理局(GSA)下屬的數(shù)字服務(wù)機構(gòu)18F發(fā)布報告,介紹了美國政府在采用HTTPS技術(shù)方面的做法及效果。

美國政府網(wǎng)站強制HTTPS取得顯著成效

總體來說,HTTPS-Only標(biāo)準(zhǔn)推動美國政府網(wǎng)站產(chǎn)生大量HTTPS應(yīng)用,美國政府在HTTPS加密方面的應(yīng)用已經(jīng)超過非政府機構(gòu)。雖然它并沒有達(dá)到“在2016年12月31日之前所有聯(lián)邦政府網(wǎng)站通過HTTPS安全連接”的目標(biāo),但網(wǎng)絡(luò)流量數(shù)據(jù)表明,大多數(shù).gov網(wǎng)站的訪問者現(xiàn)在都通過HTTPS安全連接瀏覽美國政府網(wǎng)站。

18F發(fā)布的統(tǒng)計數(shù)據(jù)顯示,截至2017年1月1日,在大約1000個.gov主域名中,73%支持HTTPS,61%支持強制HTTPS,43%使用HSTS策略;在大約26000個子域名中,61%支持HTTPS,40%支持強制HTTPS,26%使用HSTS策略。

以上僅僅是能夠檢測到的.gov主域名及其子域名列表,18F高級顧問埃里克·米爾(Eric Mill)解釋說,識別主域名是比較容易的,但子域名卻很難獲取到完整列表,大多數(shù)機構(gòu)存在未使用、被棄用或用于測試的子域名,因此如果通過web流量來衡量美國政府對HTTPS應(yīng)用的推動作用,其效果更為顯著。

根據(jù)美國聯(lián)邦網(wǎng)站數(shù)字分析計劃(DAP)在analytics.usa.gov上報告的數(shù)據(jù)顯示,有大約1700個活躍的使用.gov域名的美國聯(lián)邦政府網(wǎng)站,這些網(wǎng)站在過去30天共獲得4.75億次訪問。這些訪問中,強制HTTPS訪問并使用HSTS策略的站點數(shù)量遠(yuǎn)高于前文中測量的子域名應(yīng)用數(shù)量,其中77%的訪問支持HTTPS,66%的訪問支持強制HTTPS,58%的訪問使用HSTS策略。

Mill表示,雖然在互聯(lián)網(wǎng)領(lǐng)域已經(jīng)出現(xiàn)HTTPS無處不在的勢頭,但美國政府政策的出臺對HTTPS應(yīng)用起到了極大的推動作用。Mozilla April King在2016年10月分析了Alexa排名前100萬的網(wǎng)站域名,其中只有33%支持HTTPS,13%支持強制HTTPS,美國政府網(wǎng)站的應(yīng)用情況也差不多如此,而.gov域名使用HSTS策略的情況幾乎不存在(僅占2%)。直到12月份,在接近美國政府要求的截至日期時,這些數(shù)據(jù)急劇上升,特別是使用HSTS策略的行政機構(gòu)主域名數(shù)量,增長至近一半(43%)。

2017年1月19日,美國政府總務(wù)管理局(GSA)再出新政,要求新注冊的.gov域名及其子域名自動提交給網(wǎng)絡(luò)瀏覽器進(jìn)行“預(yù)加載”,一旦預(yù)加載生效,瀏覽器就會對這些網(wǎng)站域名及其子域名嚴(yán)格執(zhí)行HTTPS,用戶無法點擊繞過證書警告,任何服務(wù)都需要通過HTTPS訪問,為推進(jìn)HTTPS加密邁出又一重要步伐。

值得借鑒的做法及評估標(biāo)準(zhǔn)

美國政府總務(wù)管理局(GSA)及相關(guān)機構(gòu)協(xié)作制定了各類數(shù)據(jù)統(tǒng)計計劃并開發(fā)相應(yīng)的工具,用于輔助HTTPS加密的執(zhí)行,并及時了解政府網(wǎng)站HTTPS加密的推行進(jìn)展及應(yīng)用情況。

(1).gov域名統(tǒng)計:因為沒有完整的政府主域名和子域名列表,18F統(tǒng)計的.gov域名主要使用了來源GSA官方列表所列舉的所有美國聯(lián)邦政府.gov主域名,以及來源三個公共數(shù)據(jù)源的.gov子域名(三個公共數(shù)據(jù)源包括:參與數(shù)字分析計劃DAP的網(wǎng)站、Censys.io中的證書,以及長期存檔的爬網(wǎng)數(shù)據(jù)中出現(xiàn)的URL)。

(2)掃描工具pshtt:美國GSA和美國國土安全部(DHS)協(xié)作開發(fā)了一款掃描工具pshtt,用于檢測HTTPS和HSTS。

(3) 數(shù)字分析計劃(DAP):數(shù)字分析計劃是針對美國聯(lián)邦政府網(wǎng)站的中央分析收集器,用于收集、分析美國聯(lián)邦政府網(wǎng)站的網(wǎng)絡(luò)流量數(shù)據(jù),并通過analytics.usa.gov發(fā)布相關(guān)數(shù)據(jù)。

(4) pulse.cio.gov:該網(wǎng)站使用餅圖統(tǒng)計,向公民直觀顯示美國政府網(wǎng)站使用HTTPS的進(jìn)展情況,2017年4月11日的最新更新數(shù)據(jù)是76%的美國政府網(wǎng)站已使用HTTPS。

(5) dotgov.gov程序:該程序可將新注冊的.gov域名及其子域名自動提交給網(wǎng)絡(luò)瀏覽器進(jìn)行“預(yù)加載”,嚴(yán)格執(zhí)行HTTPS。

此外,GSA通過以下3個方面評估美國聯(lián)邦政府網(wǎng)站HTTPS應(yīng)用是否符合標(biāo)準(zhǔn):

(1) 支持https:是否可以通過HTTPS使用web服務(wù),該服務(wù)可能仍支持HTTP連接,但不能將用戶從HTTPS重定向到HTTP。綁定域名的證書不能是無效的。

(2)強制HTTPS:Web服務(wù)是否顯示默認(rèn)到HTTPS。該服務(wù)必須將用戶從HTTP重定向到HTTPS。

(3) HSTS:Web服務(wù)允許客戶端通過設(shè)置強大的HSTS策略自動執(zhí)行HTTPS,Strict-Transport-Security的頭部必須通過HTTPS提供,并且max-age必須設(shè)置為至少1年。

對我國政府網(wǎng)站HTTPS加密建設(shè)的建議

今年我國國務(wù)院辦公廳印發(fā)了“互聯(lián)網(wǎng)+政務(wù)服務(wù)”技術(shù)體系建設(shè)指南,制定了“在2017年底前普遍建成網(wǎng)上政務(wù)服務(wù)平臺”的總體目標(biāo)。屆時,在我國網(wǎng)上政務(wù)服務(wù)平臺上全面部署SSL證書、實施全站HTTPS加密,必須和必將成為平臺建設(shè)最低限度的安全要求。

基于PKI技術(shù)的 SSL證書具備數(shù)據(jù)傳輸加密和服務(wù)器身份認(rèn)證雙重功能。(1)HTTPS加密:通過SSL證書的HTTPS加密功能,可為網(wǎng)上政務(wù)服務(wù)平臺建立安全的傳輸連接,保護(hù)公民敏感數(shù)據(jù)傳輸安全,防止中間人竊取或篡改,防止流量劫持,確保數(shù)據(jù)的機密性和完整性;(2)網(wǎng)站身份認(rèn)證:通過SSL證書的身份認(rèn)證功能,可驗證網(wǎng)上政務(wù)服務(wù)平臺的服務(wù)器真實身份,通過瀏覽器向終端用戶展現(xiàn)網(wǎng)站所屬單位身份信息,防止釣魚網(wǎng)站仿冒,樹立政府網(wǎng)站的可信形象。

然而,我國政府網(wǎng)站目前的SSL證書應(yīng)用情況仍然非??皯n。2017年4月,沃通CA(www.wosign.com)針對已解析到gov.cn的68931個政府網(wǎng)站進(jìn)行分析統(tǒng)計,最新結(jié)果顯示88%的政府網(wǎng)站未部署SSL證書,5%的政府網(wǎng)站證書已過期或無效,4%的政府網(wǎng)站部署非常不安全的自簽名證書,僅3%的政府網(wǎng)站部署了有效的SSL證書。而部署了有效SSL證書的網(wǎng)站中,仍存在一些部署問題,例如證書綁定域名與使用證書的網(wǎng)站域名不符等情況。不過,與2016年7月的統(tǒng)計數(shù)據(jù)相比,部署有效SSL證書的政府網(wǎng)站占比從1.7%增長至3%,未部署SSL證書的政府網(wǎng)站占比從90%下降至88%,可以看出政府網(wǎng)站HTTPS加密建設(shè)的趨勢。

沃通CA(www.wosign.com)在數(shù)字證書行業(yè)具備十余年的實踐經(jīng)驗,結(jié)合HTTPS最新技術(shù)和行業(yè)策略,對我國網(wǎng)上政務(wù)服務(wù)平臺的HTTPS加密建設(shè)提出以下建議:

(1)出臺相關(guān)標(biāo)準(zhǔn):針對HTTPS加密建設(shè)出臺相關(guān)的標(biāo)準(zhǔn),通過國家機構(gòu)統(tǒng)一規(guī)范管理網(wǎng)上政務(wù)服務(wù)平臺HTTPS加密建設(shè)進(jìn)程及應(yīng)用標(biāo)準(zhǔn)。

(2)設(shè)置截至期限:設(shè)置完成HTTPS加密建設(shè)的期限,推動網(wǎng)上政務(wù)服務(wù)平臺加快安全建設(shè)步伐,同時給非政府機構(gòu)做出良好示范。

(3)嚴(yán)格執(zhí)行HTTPS:要求網(wǎng)上政務(wù)平臺啟用全站HTTPS并設(shè)置HSTS(HTTP嚴(yán)格傳輸安全),對重要的網(wǎng)上政務(wù)服務(wù)平臺嚴(yán)格執(zhí)行HTTPS加密訪問。

(4)加強分級管理:根據(jù)等保分級標(biāo)準(zhǔn),對涉及重要敏感信息的網(wǎng)上政務(wù)服務(wù)平臺,要求使用OV以上級別的SSL證書,加密傳輸數(shù)據(jù)、展示網(wǎng)站真實身份;推薦使用EV級別的SSL證書,直觀展示綠色地址欄和單位名稱,樹立政府網(wǎng)站可信形象。

(5)設(shè)置證書頒發(fā)機構(gòu)授權(quán)(CAA):通過DNS記錄指定哪些證書頒發(fā)機構(gòu)(CA)允許為網(wǎng)上政務(wù)服務(wù)平臺頒發(fā)證書,防止攻擊者濫用免費SSL證書實施釣魚攻擊。

結(jié)語

HTTP明文協(xié)議已經(jīng)無法適應(yīng)現(xiàn)代互聯(lián)網(wǎng)的安全需求,流量劫持、惡意軟件注入、數(shù)據(jù)篡改、身份冒用等諸多問題,讓越來越多的網(wǎng)站所有者意識到轉(zhuǎn)向HTTPS加密的迫切性。全球互聯(lián)網(wǎng)正在進(jìn)行從HTTP到HTTPS的大遷移,HTTPS加密已經(jīng)成為政府或其他任何企業(yè)網(wǎng)站建設(shè)的最低安全要求。作為網(wǎng)民數(shù)量世界第一的網(wǎng)絡(luò)大國,加強涉及國計民生的網(wǎng)上政務(wù)服務(wù)平臺安全迫在眉睫,不僅應(yīng)加強HTTPS加密的建設(shè)工作,還應(yīng)結(jié)合SSL證書身份認(rèn)證功能構(gòu)建可信網(wǎng)上政務(wù)服務(wù)環(huán)境,全面加強我國“互聯(lián)網(wǎng)+政務(wù)服務(wù)”體系的安全與可信。

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!

相關(guān)標(biāo)簽
美國網(wǎng)站空間

相關(guān)文章

熱門排行

信息推薦