域名預(yù)訂/競價(jià)，好“米”不錯(cuò)過

美國政府在2015年6月發(fā)布了HTTPS-Only標(biāo)準(zhǔn)，要求所有聯(lián)邦政府網(wǎng)站在2016年12月31日前都必須使用全站HTTPS加密連接，并要求使用HTTP嚴(yán)格傳輸安全(HSTS)策略。時(shí)隔一年多，美國政府網(wǎng)站HTTPS-Only標(biāo)準(zhǔn)的實(shí)施效果如何呢?美國總務(wù)管理局(GSA)下屬的數(shù)字服務(wù)機(jī)構(gòu)18F發(fā)布報(bào)告，介紹了美國政府在采用HTTPS技術(shù)方面的做法及效果。

美國政府網(wǎng)站強(qiáng)制HTTPS取得顯著成效

總體來說，HTTPS-Only標(biāo)準(zhǔn)推動(dòng)美國政府網(wǎng)站產(chǎn)生大量HTTPS應(yīng)用，美國政府在HTTPS加密方面的應(yīng)用已經(jīng)超過非政府機(jī)構(gòu)。雖然它并沒有達(dá)到“在2016年12月31日之前所有聯(lián)邦政府網(wǎng)站通過HTTPS安全連接”的目標(biāo)，但網(wǎng)絡(luò)流量數(shù)據(jù)表明，大多數(shù).gov網(wǎng)站的訪問者現(xiàn)在都通過HTTPS安全連接瀏覽美國政府網(wǎng)站。

18F發(fā)布的統(tǒng)計(jì)數(shù)據(jù)顯示，截至2017年1月1日，在大約1000個(gè).gov主域名中，73%支持HTTPS，61%支持強(qiáng)制HTTPS，43%使用HSTS策略;在大約26000個(gè)子域名中，61%支持HTTPS，40%支持強(qiáng)制HTTPS，26%使用HSTS策略。

以上僅僅是能夠檢測到的.gov主域名及其子域名列表，18F高級(jí)顧問埃里克·米爾(Eric Mill)解釋說，識(shí)別主域名是比較容易的，但子域名卻很難獲取到完整列表，大多數(shù)機(jī)構(gòu)存在未使用、被棄用或用于測試的子域名，因此如果通過web流量來衡量美國政府對HTTPS應(yīng)用的推動(dòng)作用，其效果更為顯著。

根據(jù)美國聯(lián)邦網(wǎng)站數(shù)字分析計(jì)劃(DAP)在analytics.usa.gov上報(bào)告的數(shù)據(jù)顯示，有大約1700個(gè)活躍的使用.gov域名的美國聯(lián)邦政府網(wǎng)站，這些網(wǎng)站在過去30天共獲得4.75億次訪問。這些訪問中，強(qiáng)制HTTPS訪問并使用HSTS策略的站點(diǎn)數(shù)量遠(yuǎn)高于前文中測量的子域名應(yīng)用數(shù)量，其中77%的訪問支持HTTPS，66%的訪問支持強(qiáng)制HTTPS，58%的訪問使用HSTS策略。

Mill表示，雖然在互聯(lián)網(wǎng)領(lǐng)域已經(jīng)出現(xiàn)HTTPS無處不在的勢頭，但美國政府政策的出臺(tái)對HTTPS應(yīng)用起到了極大的推動(dòng)作用。Mozilla April King在2016年10月分析了Alexa排名前100萬的網(wǎng)站域名，其中只有33%支持HTTPS，13%支持強(qiáng)制HTTPS，美國政府網(wǎng)站的應(yīng)用情況也差不多如此，而.gov域名使用HSTS策略的情況幾乎不存在(僅占2%)。直到12月份，在接近美國政府要求的截至日期時(shí)，這些數(shù)據(jù)急劇上升，特別是使用HSTS策略的行政機(jī)構(gòu)主域名數(shù)量，增長至近一半(43%)。

2017年1月19日，美國政府總務(wù)管理局(GSA)再出新政，要求新注冊的.gov域名及其子域名自動(dòng)提交給網(wǎng)絡(luò)瀏覽器進(jìn)行“預(yù)加載”，一旦預(yù)加載生效，瀏覽器就會(huì)對這些網(wǎng)站域名及其子域名嚴(yán)格執(zhí)行HTTPS，用戶無法點(diǎn)擊繞過證書警告，任何服務(wù)都需要通過HTTPS訪問，為推進(jìn)HTTPS加密邁出又一重要步伐。

值得借鑒的做法及評(píng)估標(biāo)準(zhǔn)

美國政府總務(wù)管理局(GSA)及相關(guān)機(jī)構(gòu)協(xié)作制定了各類數(shù)據(jù)統(tǒng)計(jì)計(jì)劃并開發(fā)相應(yīng)的工具，用于輔助HTTPS加密的執(zhí)行，并及時(shí)了解政府網(wǎng)站HTTPS加密的推行進(jìn)展及應(yīng)用情況。

(1).gov域名統(tǒng)計(jì)：因?yàn)闆]有完整的政府主域名和子域名列表，18F統(tǒng)計(jì)的.gov域名主要使用了來源GSA官方列表所列舉的所有美國聯(lián)邦政府.gov主域名，以及來源三個(gè)公共數(shù)據(jù)源的.gov子域名(三個(gè)公共數(shù)據(jù)源包括：參與數(shù)字分析計(jì)劃DAP的網(wǎng)站、Censys.io中的證書，以及長期存檔的爬網(wǎng)數(shù)據(jù)中出現(xiàn)的URL)。

(2)掃描工具pshtt：美國GSA和美國國土安全部(DHS)協(xié)作開發(fā)了一款掃描工具pshtt，用于檢測HTTPS和HSTS。

(3) 數(shù)字分析計(jì)劃(DAP)：數(shù)字分析計(jì)劃是針對美國聯(lián)邦政府網(wǎng)站的中央分析收集器，用于收集、分析美國聯(lián)邦政府網(wǎng)站的網(wǎng)絡(luò)流量數(shù)據(jù)，并通過analytics.usa.gov發(fā)布相關(guān)數(shù)據(jù)。

(4) pulse.cio.gov：該網(wǎng)站使用餅圖統(tǒng)計(jì)，向公民直觀顯示美國政府網(wǎng)站使用HTTPS的進(jìn)展情況，2017年4月11日的最新更新數(shù)據(jù)是76%的美國政府網(wǎng)站已使用HTTPS。

(5) dotgov.gov程序：該程序可將新注冊的.gov域名及其子域名自動(dòng)提交給網(wǎng)絡(luò)瀏覽器進(jìn)行“預(yù)加載”，嚴(yán)格執(zhí)行HTTPS。

此外，GSA通過以下3個(gè)方面評(píng)估美國聯(lián)邦政府網(wǎng)站HTTPS應(yīng)用是否符合標(biāo)準(zhǔn):

(1) 支持https：是否可以通過HTTPS使用web服務(wù)，該服務(wù)可能仍支持HTTP連接，但不能將用戶從HTTPS重定向到HTTP。綁定域名的證書不能是無效的。

(2)強(qiáng)制HTTPS：Web服務(wù)是否顯示默認(rèn)到HTTPS。該服務(wù)必須將用戶從HTTP重定向到HTTPS。

(3) HSTS：Web服務(wù)允許客戶端通過設(shè)置強(qiáng)大的HSTS策略自動(dòng)執(zhí)行HTTPS，Strict-Transport-Security的頭部必須通過HTTPS提供，并且max-age必須設(shè)置為至少1年。

對我國政府網(wǎng)站HTTPS加密建設(shè)的建議

今年我國國務(wù)院辦公廳印發(fā)了“互聯(lián)網(wǎng)+政務(wù)服務(wù)”技術(shù)體系建設(shè)指南，制定了“在2017年底前普遍建成網(wǎng)上政務(wù)服務(wù)平臺(tái)”的總體目標(biāo)。屆時(shí)，在我國網(wǎng)上政務(wù)服務(wù)平臺(tái)上全面部署SSL證書、實(shí)施全站HTTPS加密，必須和必將成為平臺(tái)建設(shè)最低限度的安全要求。

基于PKI技術(shù)的 SSL證書具備數(shù)據(jù)傳輸加密和服務(wù)器身份認(rèn)證雙重功能。(1)HTTPS加密：通過SSL證書的HTTPS加密功能，可為網(wǎng)上政務(wù)服務(wù)平臺(tái)建立安全的傳輸連接，保護(hù)公民敏感數(shù)據(jù)傳輸安全，防止中間人竊取或篡改，防止流量劫持，確保數(shù)據(jù)的機(jī)密性和完整性;(2)網(wǎng)站身份認(rèn)證：通過SSL證書的身份認(rèn)證功能，可驗(yàn)證網(wǎng)上政務(wù)服務(wù)平臺(tái)的服務(wù)器真實(shí)身份，通過瀏覽器向終端用戶展現(xiàn)網(wǎng)站所屬單位身份信息，防止釣魚網(wǎng)站仿冒，樹立政府網(wǎng)站的可信形象。

然而，我國政府網(wǎng)站目前的SSL證書應(yīng)用情況仍然非常堪憂。2017年4月，沃通CA(www.wosign.com)針對已解析到gov.cn的68931個(gè)政府網(wǎng)站進(jìn)行分析統(tǒng)計(jì)，最新結(jié)果顯示88%的政府網(wǎng)站未部署SSL證書，5%的政府網(wǎng)站證書已過期或無效，4%的政府網(wǎng)站部署非常不安全的自簽名證書，僅3%的政府網(wǎng)站部署了有效的SSL證書。而部署了有效SSL證書的網(wǎng)站中，仍存在一些部署問題，例如證書綁定域名與使用證書的網(wǎng)站域名不符等情況。不過，與2016年7月的統(tǒng)計(jì)數(shù)據(jù)相比，部署有效SSL證書的政府網(wǎng)站占比從1.7%增長至3%，未部署SSL證書的政府網(wǎng)站占比從90%下降至88%，可以看出政府網(wǎng)站HTTPS加密建設(shè)的趨勢。

沃通CA(www.wosign.com)在數(shù)字證書行業(yè)具備十余年的實(shí)踐經(jīng)驗(yàn)，結(jié)合HTTPS最新技術(shù)和行業(yè)策略，對我國網(wǎng)上政務(wù)服務(wù)平臺(tái)的HTTPS加密建設(shè)提出以下建議：

(1)出臺(tái)相關(guān)標(biāo)準(zhǔn)：針對HTTPS加密建設(shè)出臺(tái)相關(guān)的標(biāo)準(zhǔn)，通過國家機(jī)構(gòu)統(tǒng)一規(guī)范管理網(wǎng)上政務(wù)服務(wù)平臺(tái)HTTPS加密建設(shè)進(jìn)程及應(yīng)用標(biāo)準(zhǔn)。

(2)設(shè)置截至期限：設(shè)置完成HTTPS加密建設(shè)的期限，推動(dòng)網(wǎng)上政務(wù)服務(wù)平臺(tái)加快安全建設(shè)步伐，同時(shí)給非政府機(jī)構(gòu)做出良好示范。

(3)嚴(yán)格執(zhí)行HTTPS：要求網(wǎng)上政務(wù)平臺(tái)啟用全站HTTPS并設(shè)置HSTS(HTTP嚴(yán)格傳輸安全)，對重要的網(wǎng)上政務(wù)服務(wù)平臺(tái)嚴(yán)格執(zhí)行HTTPS加密訪問。

(4)加強(qiáng)分級(jí)管理：根據(jù)等保分級(jí)標(biāo)準(zhǔn)，對涉及重要敏感信息的網(wǎng)上政務(wù)服務(wù)平臺(tái)，要求使用OV以上級(jí)別的SSL證書，加密傳輸數(shù)據(jù)、展示網(wǎng)站真實(shí)身份;推薦使用EV級(jí)別的SSL證書，直觀展示綠色地址欄和單位名稱，樹立政府網(wǎng)站可信形象。

(5)設(shè)置證書頒發(fā)機(jī)構(gòu)授權(quán)(CAA)：通過DNS記錄指定哪些證書頒發(fā)機(jī)構(gòu)(CA)允許為網(wǎng)上政務(wù)服務(wù)平臺(tái)頒發(fā)證書，防止攻擊者濫用免費(fèi)SSL證書實(shí)施釣魚攻擊。

結(jié)語

HTTP明文協(xié)議已經(jīng)無法適應(yīng)現(xiàn)代互聯(lián)網(wǎng)的安全需求，流量劫持、惡意軟件注入、數(shù)據(jù)篡改、身份冒用等諸多問題，讓越來越多的網(wǎng)站所有者意識(shí)到轉(zhuǎn)向HTTPS加密的迫切性。全球互聯(lián)網(wǎng)正在進(jìn)行從HTTP到HTTPS的大遷移，HTTPS加密已經(jīng)成為政府或其他任何企業(yè)網(wǎng)站建設(shè)的最低安全要求。作為網(wǎng)民數(shù)量世界第一的網(wǎng)絡(luò)大國，加強(qiáng)涉及國計(jì)民生的網(wǎng)上政務(wù)服務(wù)平臺(tái)安全迫在眉睫，不僅應(yīng)加強(qiáng)HTTPS加密的建設(shè)工作，還應(yīng)結(jié)合SSL證書身份認(rèn)證功能構(gòu)建可信網(wǎng)上政務(wù)服務(wù)環(huán)境，全面加強(qiáng)我國“互聯(lián)網(wǎng)+政務(wù)服務(wù)”體系的安全與可信。

申請創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！