早年,HTTP 协议传输的数据都是未加密的,也就是明文的,因此使用 HTTP
协议传输隐私信息非常不安全。为了保证这些隐私数据能加密传输,网景公司设计了
SSL(Secure Sockets Layer)协议用于对 HTTP
协议传输的数据进行加密,从而就诞生了 HTTPS。

英国政府发布官方声明,从2016年10月1日起,英国所有政府网站强制使用HTTPS加密连接,而美国政府也曾发布HTTPS-Only标准,要求所有政府网站在2016年底强制使用HTTPS。英美两国为何先后发布强制HTTPS政策?HTTPS加密对政府网站安全到底有多么重要?对我国政府网站的HTTPS应用现状有何启示?

2016年已经余额不足,即将迈向新年的最后一个月,SSL相关的这几个大事件你知道吗?业界巨头为推进HTTPS更安全、更广泛应用而制定相关计划进展如何呢?

澳门新葡萄京官网注册 1

网络安全形势堪忧,英美政府强势推HTTPS加密政策

停止支持SHA-1证书

但是 HTTPS 协议需要到 CA
申请证书,一般需要交费。当然,为了让站长、开发人员们减轻压力并加速推广,
Mozilla 联盟思科等合作的 Let’s Encrypt 开源免费证书也在 2015 年 9
月推出。

国际互联网安全形势日益严峻,地下黑色产业链的成熟活跃,政府网站承载着各种公民隐私数据,成为黑客组织首要的攻击目标。英美两国政府都多次爆出重大的政府网站数据泄露事件,美国OPM(人事管理办公室)
400万联邦雇员信息泄露、1.9亿美国选民信息泄露以及近期英国国防部军队内部资料面临泄露威胁等安全事件,都在向政府机构发出警示,政府机构数据安全正遭遇着前所未有的巨大威胁。

逐步停止对 SHA-1 支持的决策最早是由 Google 在 2014 年末提出的,很快
Mozilla 和Microsoft也跟进,2017年将在各大浏览器中正式执行。

来自 Firefox Telemetry 的最新监测数据,目前全互联网,已经有 50%
的网站启用了 HTTPS 协议,从 2015 年 11 月到 2017 年 1 月,1
年多的时间增长了 10%。

数据泄露的原因涉及多个方面,而由于数据未加密或安全协议不足等基础防护问题导致的泄露事件为数众多。如果基础安全防护不到位,不管启用多么昂贵的系统同样不堪一击。因此,2015年6月,美国政府出台了HTTPS-Only标准,强制要求联邦政府公共服务网站在2016年底启用全站HTTPS加密连接。同年9月,英国政府通信总部也曾发布指南指导、建议使用HTTPS,当时并没有强硬设置最后期限。然而,随着政府数据安全事件愈演愈烈,英国政府近期再次发布最新安全指导细则要求所有政府网站在2016年10月之前实现强制HTTPS加密,比美国还要提前3个月实现政府网站全站HTTPS加密。

Chrome

国际上,Google、Facebook 等大型互联网公司均已宣布支持全站
HTTPS,国内的淘宝、天猫、京东等电商网站也完成了全站切换,可以极大程度杜绝流量劫持、中间人攻击等。

英美政府强制HTTPS政策的具体措施

2017年1月发布的Chrome 56版本开始,不再信任任何来自公共认证机构的 SHA-1
认证,对现有的 SHA-1 认证会给出警告。但是对于那些在企业内部使用的私有
PKI,Chrome 将会继续提供 SHA-1 支持。

目前,使用 Chrome 56 以上版本的用户就会发现,打开 HTTP
网站将在地址栏出现 “不安全” 的红色警示。

美国政府启用HTTPS-Only的原则:

Firefox

澳门新葡萄京官网注册 2

(1)所有在联邦代理域或子域下的新开发的网站和服务必须即刻遵守HTTPS-Only政策;

Firefox计划于2017年1月发布的Firefox 51中停止信任 SHA-1 认证。

来自:驱动之家

(2)涉及到个人身份信息交互的、本质上特别敏感的或需经高级别保密通信的Web服务需部署HTTPS;

Edge和IE11

(3)联邦机构必须在2016年底内实现可通过安全连接(HTTPS
Only)访问到目前所有的网站和服务;

Mircosoft Edge 和 InternetExplorer 11 浏览器将于 2017 年 2 月 14
日停止加载使用 SHA-1
认证的网站,同时让用户决定是否忽视无效认证的警告并依然继续访问该网站。同样,手动安装的或自签名的
SHA-1 认证将不会受到影响。

(4)鼓励但不强制企业网站和系统也都使用HTTPS。

即使现在移除 SHA-1
支持早已进入倒计时阶段,但在一千一百万个可访问的网站中,仍有 35%
的网站依然在使用 SHA-1
认证。网站所有者应尽快检查自己的网站证书是否仍在使用SHA-1证书,并申请SHA-2证书部署替换。沃通新证书产品已经上线,新品推广期间申请沃通超真SSL
Pre​通配型证书可享8折优惠,名额有限先到先得。

英国政府则对启用HTTPS连接提出了更加细致的要求:

澳门新葡萄京官网注册 3

(1)使用HTTPS加密连接并设置HSTS(HTTP严格传输安全)保护

检查SHA-1

启用HSTS(HTTP严格传输安全)保护,可以确保浏览器始终采用HTTPS连接网站服务,拒绝使用HTTP协议,避免降级攻击。英国政府还计划将service.gov.uk提交至浏览器厂商的HSTS预加载列表,换言之,所有当代主流浏览器只有通过HTTPS才能访问政府服务。

HTTP页面标记“不安全”

(2)启用DMARC协议进行电子邮件认证

HTTP是明文协议,任何通过该协议传输的数据都以明文的方式在网络中“裸奔”,任何信息数据都处在的窃听、篡改、冒充这三大风险之中。全球互联网正在进行从HTTP到HTTPS的大迁移,主流互联网应用已经逐步完成HTTPS加密的建设。为推动HTTPS的普及,各大浏览器将针对没有正确加密的HTTP页面给出警告,让用户了解使用HTTP协议可能存在的安全风险。

英国政府还规定,使用DMARC协议进行电子邮件认证。DMARC策略将确保公民不会收到由骗子和钓鱼者发出的假冒政府邮件。如果这一策略在2016年10月1日没有执行,邮件可能会被外部电子邮件提供商拒绝。

Chrome

我国政府网站的HTTPS应用现状

2017年1月发布的Chrome
56版本开始,将把含密码或信用卡信息传输的HTTP页面标记 “不安全”

目前我国政府网站的安全问题更加令人担忧,随着“互联网+政务”的战略提速,大部分电子政务业务都已经迁移到互联网上,网上办事变得方便快捷,但相应的安全建设却没有及时提上议程,政府门户网站被篡改、网络钓鱼、敏感数据泄露等事件层出不穷。2015年爆发的超30省社保数据泄露的重大事件,造成数千万用户的个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息泄露,引发公众恐慌,严重影响政府网站公信力。

澳门新葡萄京官网注册 4

HTTPS加密作为网站基础安全机制,在英美政府强制推动下得到广泛普及,但在我国政府网站中普及率却非常之低。沃通CA针对已解析到Gov.cn的68029个政府网站进行了统计分析,结果显示近90%的政府网站未部署SSL证书,4%的政府网站部署了非常不安全的自签名证书,5.6%的政府网站证书已过期或无效,仅1.7%的政府网站部署了有效的SSL证书。

http页面chrome显示不安全

HTTPS加密对政府网站安全到底有多么重要?

Firefox

HTTP是非常不安全的明文传输协议,不提供任何方式的数据加密,任何通过HTTP传输的数据都以明文形式在网络中“裸奔”,无需攻击或拖库,就能轻松拦截到用户敏感数据;而且HTTP无法验证服务器身份的真实性,服务器返回的请求容易被篡改或者假冒,用户根本无法察觉。HTTP协议的缺陷是导致政府网站数据泄露、拖库、数据篡改、钓鱼仿冒等安全隐患的重要原因。

Firefox已经在开发版 46
实现,当在非HTTPS安全页面使用密码输入框时,浏览器将会给出一个红色的阻止图标来指示隐私和安全方面的风险。

使用HTTPS加密能够确保用户数据在传输过程中处于加密状态,同时验证服务器身份的真实性,防止网站被假冒、篡改,有效解决常见的数据泄露、数据篡改、流量劫持和钓鱼欺诈等安全事件,确保用户和政府网站进行信息交互时始终安全。

澳门新葡萄京官网注册 5

强制HTTPS加密,中国政府网站更需要!

http页面firefox显示红色阻止图标

网络安全正在成为影响国家安全及其他领域发展和成败的重要因素之一。为了推动“互联网+政务”战略得到有力执行,加强政府网站安全建设刻不容缓。沃通CA呼吁我国政府也应出台强制HTTPS政策,要求政府网站启用HTTPS加密,提升公民隐私数据的安全防护,重塑公民网上信心,让公民信任政府网站提供的公共服务是安全的。

未来浏览器对HTTP页面的警告会进一步延伸,如果您的网站涉及用户密码输入等敏感操作,建议尽快申请SSL证书,为网页配置HTTPS加密。

沃通CA(www.wosign.com)根据多年的互联网安全从业经验,对提升政府网站安全及公信力献出以下对策和建议。

苹果iOS App

(1)强制HTTPS加密,保护数据传输安全

强制使用HTTPS

我国政府网站应全部实现HTTPS安全访问,确保公民隐私数据传输安全(如举报人的个人信息、社保账户信息、公民档案信息以及各种网上办事系统),重要的公共服务平台还应逐步设置HSTS保护,确保用户始终使用HTTPS加密连接政府服务。

2017年1月1日起,苹果App Store中的所有App都必须启用 App Transport
Security(ATS)安全功能。启用ATS后,它会屏蔽明文HTTP资源加载,强制App通过HTTPS连接网络服务,通过传输加密保障用户数据安全。是否支持HTTPS直接影响APP能否在苹果商店顺利上架,留给iOS开发者的时间已经所剩无几。

(2)启用EV绿色地址栏,安全可信一目了然

澳门新葡萄京官网注册 6

遏制假冒政府网站泛滥,仅靠目前采取的“党政机关统一标识”方案还不够,静态图标仍然容易被篡改或仿冒。政府网站应该引入基于PKI技术的EV
SSL证书及全球信任的动态签章技术,浏览器醒目绿色地址栏及中文单位名称,让用户轻松判断网站身份真实可信,实时生成的EV动态认证签章,悬挂在网站上,不可复制篡改!

iOS强制HTTPS

(3)使用国产SSL证书

美国政府网站强制全站HTTPS

为规避棱镜门等国外监听风险,政府网站不仅要全站HTTPS,还应选择自主可控的国产SSL证书,不能使用国外SSL证书产品,防止加密流量被监听,防止国家重要民生数据被泄露。

2015年6月,美国政府出台了HTTPS-Only标准,强制要求联邦政府公共服务网站在2016年底启用全站HTTPS加密连接。官方统计数据显示,目前已经有61%的政府网站使用HTTPS加密。

沃通CA符合中国标准和国际标准

澳门新葡萄京官网注册 7

沃通WoSign(www.wosign.com)是中国最大的自主品牌数字证书颁发机构(CA),通过WebTrust国际认证及工信部许可,符合中国标准和国际标准,中国SSL证书市场占有率第一并领先国外CA
8个百分点,成为首个赶超国外CA的中国SSL证书品牌。

美国政府网站强制HTTPS

沃通SSL证书能完美兼容所有浏览器、服务器及移动终端,实现信息安全自主可控的同时兼具良好的通用性。目前,沃通CA已经为工信部、湖北省税务局、福建省政府、深圳住房公积金管理中心、深圳社会保险服务、中国信通院等单位提供SSL证书产品和服务,保障政府网站系统中公民隐私数据传输安全,加速“互联网+政务”的战略发展。