美国政府网站强制HTTPS加密，取得显著成效

美国政府在 2015 年 6 月发布了HTTPS-Only标准，要求所有联邦政府网站在 2016 年 12 月 31 日前都必须使用全站HTTPS加密连接，并要求使用HTTP严格传输安全(HSTS)策略。时隔一年多，美国政府网站HTTPS-Only标准的实施效果如何呢?美国总务管理局(GSA)下属的数字服务机构18F发布报告，介绍了美国政府在采用HTTPS技术方面的做法及效果。

美国政府网站强制HTTPS取得显著成效

总体来说，HTTPS-Only标准推动美国政府网站产生大量HTTPS应用，美国政府在HTTPS加密方面的应用已经超过非政府机构。虽然它并没有达到“在 2016 年 12 月 31 日之前所有联邦政府网站通过HTTPS安全连接”的目标，但网络流量数据表明，大多数.gov网站的访问者现在都通过HTTPS安全连接浏览美国政府网站。

18F发布的统计数据显示，截至 2017 年 1 月 1 日，在大约 1000 个.gov主域名中，73%支持HTTPS，61%支持强制HTTPS，43%使用HSTS策略;在大约 26000 个子域名中，61%支持HTTPS，40%支持强制HTTPS，26%使用HSTS策略。

以上仅仅是能够检测到的.gov主域名及其子域名列表，18F高级顾问埃里克·米尔(Eric Mill)解释说，识别主域名是比较容易的，但子域名却很难获取到完整列表，大多数机构存在未使用、被弃用或用于测试的子域名，因此如果通过web流量来衡量美国政府对HTTPS应用的推动作用，其效果更为显著。

根据美国联邦网站数字分析计划(DAP)在analytics.usa.gov上报告的数据显示，有大约 1700 个活跃的使用.gov域名的美国联邦政府网站，这些网站在过去 30 天共获得4. 75 亿次访问。这些访问中，强制HTTPS访问并使用HSTS策略的站点数量远高于前文中测量的子域名应用数量，其中77%的访问支持HTTPS，66%的访问支持强制HTTPS，58%的访问使用HSTS策略。

Mill表示，虽然在互联网领域已经出现HTTPS无处不在的势头，但美国政府政策的出台对HTTPS应用起到了极大的推动作用。Mozilla April King在 2016 年 10 月分析了Alexa排名前 100 万的网站域名，其中只有33%支持HTTPS，13%支持强制HTTPS，美国政府网站的应用情况也差不多如此，而.gov域名使用HSTS策略的情况几乎不存在(仅占2%)。直到 12 月份，在接近美国政府要求的截至日期时，这些数据急剧上升，特别是使用HSTS策略的行政机构主域名数量，增长至近一半(43%)。

2017 年 1 月 19 日，美国政府总务管理局(GSA)再出新政，要求新注册的.gov域名及其子域名自动提交给网络浏览器进行“预加载”，一旦预加载生效，浏览器就会对这些网站域名及其子域名严格执行HTTPS，用户无法点击绕过证书警告，任何服务都需要通过HTTPS访问，为推进HTTPS加密迈出又一重要步伐。

值得借鉴的做法及评估标准

美国政府总务管理局(GSA)及相关机构协作制定了各类数据统计计划并开发相应的工具，用于辅助HTTPS加密的执行，并及时了解政府网站HTTPS加密的推行进展及应用情况。

(1).gov域名统计：因为没有完整的政府主域名和子域名列表，18F统计的.gov域名主要使用了来源GSA官方列表所列举的所有美国联邦政府.gov主域名，以及来源三个公共数据源的.gov子域名(三个公共数据源包括：参与数字分析计划DAP的网站、Censys.io中的证书，以及长期存档的爬网数据中出现的URL)。

(2)扫描工具pshtt：美国GSA和美国国土安全部(DHS)协作开发了一款扫描工具pshtt，用于检测HTTPS和HSTS。

(3) 数字分析计划(DAP)：数字分析计划是针对美国联邦政府网站的中央分析收集器，用于收集、分析美国联邦政府网站的网络流量数据，并通过analytics.usa.gov发布相关数据。

(4) pulse.cio.gov：该网站使用饼图统计，向公民直观显示美国政府网站使用HTTPS的进展情况， 2017 年 4 月 11 日的最新更新数据是76%的美国政府网站已使用HTTPS。

(5) dotgov.gov程序：该程序可将新注册的.gov域名及其子域名自动提交给网络浏览器进行“预加载”，严格执行HTTPS。

此外，GSA通过以下 3 个方面评估美国联邦政府网站HTTPS应用是否符合标准：

(1) 支持https：是否可以通过HTTPS使用web服务，该服务可能仍支持HTTP连接，但不能将用户从HTTPS重定向到HTTP。绑定域名的证书不能是无效的。

(2)强制HTTPS：Web服务是否显示默认到HTTPS。该服务必须将用户从HTTP重定向到HTTPS。

(3) HSTS：Web服务允许客户端通过设置强大的HSTS策略自动执行HTTPS，Strict-Transport-Security的头部必须通过HTTPS提供，并且max-age必须设置为至少 1 年。

对我国政府网站HTTPS加密建设的建议

今年我国国务院办公厅印发了“互联网+政务服务”技术体系建设指南，制定了“在 2017 年底前普遍建成网上政务服务平台”的总体目标。届时，在我国网上政务服务平台上全面部署SSL证书、实施全站HTTPS加密，必须和必将成为平台建设最低限度的安全要求。

基于PKI技术的 SSL证书具备数据传输加密和服务器身份认证双重功能。(1)HTTPS加密：通过SSL证书的HTTPS加密功能，可为网上政务服务平台建立安全的传输连接，保护公民敏感数据传输安全，防止中间人窃取或篡改，防止流量劫持，确保数据的机密性和完整性;(2)网站身份认证：通过SSL证书的身份认证功能，可验证网上政务服务平台的服务器真实身份，通过浏览器向终端用户展现网站所属单位身份信息，防止钓鱼网站仿冒，树立政府网站的可信形象。

然而，我国政府网站目前的SSL证书应用情况仍然非常堪忧。 2017 年 4 月，沃通CA(www.wosign.com)针对已解析到gov.cn的 68931 个政府网站进行分析统计，最新结果显示88%的政府网站未部署SSL证书，5%的政府网站证书已过期或无效，4%的政府网站部署非常不安全的自签名证书，仅3%的政府网站部署了有效的SSL证书。而部署了有效SSL证书的网站中，仍存在一些部署问题，例如证书绑定域名与使用证书的网站域名不符等情况。不过，与 2016 年 7 月的统计数据相比，部署有效SSL证书的政府网站占比从1.7%增长至3%，未部署SSL证书的政府网站占比从90%下降至88%，可以看出政府网站HTTPS加密建设的趋势。

沃通CA(www.wosign.com)在数字证书行业具备十余年的实践经验，结合HTTPS最新技术和行业策略，对我国网上政务服务平台的HTTPS加密建设提出以下建议：

(1)出台相关标准：针对HTTPS加密建设出台相关的标准，通过国家机构统一规范管理网上政务服务平台HTTPS加密建设进程及应用标准。

(2)设置截至期限：设置完成HTTPS加密建设的期限，推动网上政务服务平台加快安全建设步伐，同时给非政府机构做出良好示范。

(3)严格执行HTTPS：要求网上政务平台启用全站HTTPS并设置HSTS(HTTP严格传输安全)，对重要的网上政务服务平台严格执行HTTPS加密访问。

（编辑：宁德站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!