美國政府發(fā)布一項計劃,HTTPS將成為公共網(wǎng)站聯(lián)邦安全標準。其目標是到2016年12月31日,讓美國聯(lián)邦政府所有網(wǎng)站都使用HTTPS加密。
美國白宮官網(wǎng)發(fā)布的原文現(xiàn)翻譯整理全文如下:
美國人民希望政府網(wǎng)站是安全的,并且他們在這些網(wǎng)站的訪問是作為隱私被保護的。HTTPS協(xié)議用當今的因特網(wǎng)技術(shù)為公共網(wǎng)絡(luò)連接提供了最強的隱私保護。HTTPS的使用降低了用戶在使用政府在線服務(wù)時被截獲和被修改的風險。
這個建議的動機,"HTTPS-only標準",會要求所有可公開訪問的聯(lián)邦網(wǎng)站和網(wǎng)絡(luò)服務(wù)使用HTTPS。
目標
所有可公開訪問的聯(lián)邦網(wǎng)站和web服務(wù)[1]只通過一個安全的連接提供服務(wù)。目前公共網(wǎng)絡(luò)連接可用的最強的隱私保護就是HTTPS協(xié)議。
背景
未被加密過的HTTP協(xié)議不能避免數(shù)據(jù)被截獲或者修改,會導(dǎo)致用戶竊聽,追蹤以及修改收到的數(shù)據(jù)。許多商業(yè)組織已經(jīng)采用了HTTPS協(xié)議或者HTTPS-only政策來保護訪問他們網(wǎng)站和服務(wù)的用戶。訪問聯(lián)邦網(wǎng)站和服務(wù)的用戶也應(yīng)該有同樣的保護。
隱私和安全連接正在成為因特網(wǎng)的基準,正如被因特網(wǎng)標準體的政策,流行的網(wǎng)絡(luò)瀏覽器,以及有實踐的因特網(wǎng)公司所證明的那樣。聯(lián)邦政府必須適應(yīng)這種變化,以及轉(zhuǎn)變的開始的收益。聯(lián)邦級別主動的投資會加快整個互聯(lián)網(wǎng)范圍的采納,以及為整個公眾瀏覽提升更好的隱私標準。
大部分的聯(lián)邦網(wǎng)站使用的HTTP協(xié)議作為主要的傳輸協(xié)議,用于公共網(wǎng)絡(luò)的通訊。沒有加密過的HTTP連接創(chuàng)建了一個隱私漏洞,并且暴露了沒有加密過的聯(lián)邦網(wǎng)站和服務(wù)的用戶的潛在的敏感信息。通過HTTP發(fā)送的數(shù)據(jù)很容易被竊取,修改以及模擬。這個數(shù)據(jù)包括瀏覽器識別,站點內(nèi)容,搜索條目,以及其他用戶提交的信息。
所有正在被瀏覽的活動都應(yīng)該是隱私的和敏感的
HTTPS-only這條標準會消除不一致,主觀決定是依照于在通常情況下,哪些內(nèi)容或者瀏覽活動是敏感的,以及創(chuàng)建一個更強大的政府范圍的隱私標準。
那些不使用HTTPS的聯(lián)邦網(wǎng)站,將無法與那些實踐了隱私和安全的商業(yè)組織,或者當前以及即將到來的因特網(wǎng)標準保持同步。這會導(dǎo)致美國人在那些已知的威脅面前更加脆弱,這會降低對政府的信任。盡管一些聯(lián)邦站點目前使用HTTPS,但是在這個領(lǐng)域沒有一個統(tǒng)一的政策。這個被提議的HTTPS-only標準會提供給公眾一個一致的,隱私的瀏覽體驗以及會將聯(lián)邦政府推到一個領(lǐng)導(dǎo)互聯(lián)網(wǎng)安全的高度。
HTTPS 做什么
HTTPS 為連接的客戶端驗證網(wǎng)站或Web服務(wù)的身份,并將幾乎所有在網(wǎng)站或服務(wù)和用戶之間發(fā)送的信息進行加密。受保護的信息包括cookie,用戶代理信息,URL路徑,表單提交,查詢字符串參數(shù)。HTTPS 是為了防止在運輸過程中這些信息被讀取或改變。
HTTPS 是在傳輸層安全(TLS)連接上使用 HTTP 協(xié)議。TLS 是一個網(wǎng)絡(luò)協(xié)議,建立一個與被驗證過的對象在一個不安全的網(wǎng)絡(luò)中建立加密連接。
瀏覽器和其他 HTTPS 客戶端都是配置相信證書授權(quán)機構(gòu)[2],這些機構(gòu)可以代表Web服務(wù)方發(fā)布加密簽名證書。這些證書會被發(fā)送到客戶端,在證書簽發(fā)的時候,Web服務(wù)的主機會向證書授權(quán)機構(gòu)證明自己的屬主身份。這可以避免未知的或不可信的網(wǎng)站偽裝成一個聯(lián)邦網(wǎng)站或服務(wù)。
HTTPS 不做什么
HTTPS有一些重要的限制。
目的地IP地址和域名在傳輸?shù)臅r候是不加密的。即使加密過的流量也可以間接地透露一些信息,如在網(wǎng)站停留的時間,所請求的資源或提交的信息大小。
HTTPS可以保證兩個系統(tǒng)連接之間的完整性,而不是系統(tǒng)本身。它不是設(shè)計用來保護Web服務(wù)器免受黑客攻擊或侵害,或防止Web服務(wù)暴露其用戶信息。同樣,如果用戶的系統(tǒng)是被攻擊者侵害了,這個系統(tǒng)會被修改,之后的HTTPS連接都是在攻擊者的控制之下。被侵害的或惡意的證書授權(quán)機構(gòu)同樣會削弱或者減少HTTP的保護。
挑戰(zhàn)與思考
網(wǎng)站性能:雖然加密會添加一些計算開銷,但是對現(xiàn)代的軟件和硬件服務(wù)器的性能或延遲并無實質(zhì)性影響。內(nèi)容傳輸網(wǎng)絡(luò)或服務(wù)器軟件支持SPDY或HTTP/2協(xié)議(一些大的瀏覽器要求HTTP2)的網(wǎng)站,可能發(fā)現(xiàn)他們網(wǎng)站的性能在遷移到HTTPS后有了很大的提升。
域名指示:當使用于多域名時,擴展于TLS的域名指示允許更高效的使用IP地址。然而,這些技術(shù)不為舊的客戶端所支持。Web服務(wù)的所有者應(yīng)評估采用這種技術(shù)的可行性來提高性能和效率。
混合內(nèi)容:通過HTTPS提供服務(wù)的網(wǎng)站,需要確保所有外部資源(圖片、腳本、字體等)也是以安全鏈接載入的。現(xiàn)代瀏覽器會拒絕從一個安全網(wǎng)站引用非安全的資源。當遷移現(xiàn)有的網(wǎng)站的時候,對非安全資源的更新、替換或者移除引用,會牽涉到自動的和手動的(額外)付出。對有些網(wǎng)站來說,這可能是遷移網(wǎng)站最耗時的步驟。
API和服務(wù):Web服務(wù)主要還是為非瀏覽器客戶端提供服務(wù)的,比如那些Web API,它需要一種更為漸進和手動的遷移策略,因為不是所有的客戶端都可以被假設(shè)為為HTTPS鏈接作好了配置,或者可以成功地執(zhí)行重定向的。
規(guī)劃變更:協(xié)議和Web標準定期改進以及安全漏洞的出現(xiàn),都需要及時關(guān)注。聯(lián)邦網(wǎng)站和服務(wù)應(yīng)以允許快速更新配置和更換證書的方式來部署 HTTPS。
嚴格的傳輸安全:支持 HTTPS 的網(wǎng)站和服務(wù)必須開啟 HTTP 嚴格傳輸安全(HSTS)來控制標準的瀏覽器一直使用 HTTPS 協(xié)議。這減少了不安全的重定向,并保護用戶阻止那些試圖將當前的連接降為簡單 HTTP 連接的企圖。一旦HSTS啟用,域名可以提交到一個被所有主要瀏覽器使用的"預(yù)載列表"的來確保 HSTS 策略在任何時間生效。
域名系統(tǒng)安全協(xié)議(DNSSEC):這個建議不撤銷 M-08-23 或與之沖突,M-08-23 是"保護聯(lián)邦政府的域名系統(tǒng)基礎(chǔ)設(shè)施"。一旦 DNS 解析完成,DNSSEC 并不保證客戶和目的 IP 之間通信的保密性或完整性。HTTPS 提供這種額外的安全。
有成本效率的實施
實施一個HTTPS唯一標準必須付出代價。大量的聯(lián)邦網(wǎng)站已經(jīng)部署了 HTTPS。該方案的目標是為了推廣這種應(yīng)用。
聯(lián)邦政府網(wǎng)站采用統(tǒng)一的 HTTPS 需要有管理和財政負擔,這包括開發(fā)時間,獲得證書的財務(wù)成本,長期的維護費用。開發(fā)的成本是跟一個網(wǎng)站的規(guī)模和技術(shù)基礎(chǔ)設(shè)施緊密相關(guān)。建議的合規(guī)時間表給項目規(guī)劃和資源準備提供了足夠的靈活性。
對美國公眾實際的好處還是大于納稅人所承擔的花費的。即使存在很少的自稱是聯(lián)邦服務(wù)的非官方或惡意網(wǎng)站,或是對美國政府官方網(wǎng)站的通信的少量監(jiān)聽也會對公民產(chǎn)生重大損失。
https.cio.gov提供的技術(shù)支持將會幫助這個擬議標準節(jié)約而高效地實現(xiàn)。
原則
為了提升HTTPS部署的效率和效果,所遵從的這個建議時間表不僅要合理而且要切實可行。這個提議要求代理機構(gòu)遵守下述指導(dǎo)下,在聯(lián)邦域名下部署 HTTPS:
1.所有在聯(lián)邦代理域或子域下的新開發(fā)的網(wǎng)站和服務(wù)必須即刻遵守這個政策
2.對于當前的網(wǎng)站和服務(wù),代理機構(gòu)必須基于風險分析優(yōu)先部署。涉及到個人身份信息交互的,本質(zhì)上特別敏感的或需經(jīng)高級別保密通信的 Web 服務(wù)需優(yōu)先部署 HTTPS
3.代理機構(gòu)必須在2年內(nèi)可通過安全連接(HTTPS Only)訪問到目前所有的網(wǎng)站和服務(wù)
4.鼓勵但不強制企業(yè)內(nèi)部網(wǎng)內(nèi)使用 HTTPS
總之,HTTPS-Only 標準將會提高用戶信息的傳輸安全,為客戶提供有意義的隱私保護。
技術(shù)支持
請使用 https.cio.gov 獲得技術(shù)支持,并在此標準實施的幫助下獲得最佳體驗。
請為這個建議和技術(shù)支持材料提供您寶貴的反饋和建議,或者通過 email 至 https@cio.gov 參與評論
腳注
1.提供公開訪問的網(wǎng)站和服務(wù),在這里被定義成全部或者分成幾個部分為聯(lián)邦政府所維護的可在因特網(wǎng)上基于HTTP或者HTTPS可用的在線資源或者服務(wù),并且由一個代理機構(gòu)、承包商或者其他組織機構(gòu)的代表進行操作. 他們會向公眾或者一個特定的用戶組展示政府信息或者提供服務(wù),并支撐起一個機構(gòu)任務(wù)的性能. 這一個定義包含了所有的web交互,不管訪問者是已經(jīng)登錄了還是匿名的。
2.在web上的HTTPS協(xié)議環(huán)境下,證書頒發(fā)機構(gòu)是受到瀏覽器和操作系統(tǒng)信任的第三方機構(gòu)或者公司,向域名擁有人分發(fā)數(shù)字證書。
3.將 HTTP 連接只用于重定向客戶端到HTTPS連接,這種做法是可以接受并且受到鼓勵的。 HSTS 消息頭應(yīng)該之一定義至少一年的時限(max-age)。
4."Intranet" 在這里被定義成一個不能直接被公眾互聯(lián)網(wǎng)訪問到的計算機網(wǎng)絡(luò)。
2024-11-05
2024-10-23
2024-10-21
2024-09-27
2024-09-11
2024-08-31
2024-08-29
2024-08-15
2024-07-29
2024-07-17
?四月風光無限好,最適踏青出游去,4月22日至23日,葫蘆娃集團商務(wù)團隊認證一部 、十八部、直轄部相約莫干山春游。吃喝玩樂一應(yīng)俱全,這個周末好不快活。
今年6月《國務(wù)院關(guān)于加強數(shù)字政府建設(shè)的指導(dǎo)意見》發(fā)布后,國內(nèi)各省市明顯加速了數(shù)字政府的建設(shè)進程。在河南鄭州,以數(shù)字化改革助力政府職能轉(zhuǎn)變,以數(shù)字政府建設(shè)助推社會經(jīng)濟高質(zhì)量發(fā)展的變革早已拉開序幕。
信息化的當今社會,個人信息泄露問題越來越嚴重,今天是2018國家網(wǎng)絡(luò)安全宣傳周的最后一天,也是個人信息保護日。在網(wǎng)絡(luò)安全宣傳周期間,專家學者、行業(yè)精英匯聚,就個人信息保護共商對策,共筑網(wǎng)絡(luò)安全保護網(wǎng)。
掃一掃 關(guān)注放心簽公眾號
掃一掃 關(guān)注放心簽小程序
在線咨詢
電話咨詢
全國服務(wù)熱線
微信咨詢