1. 首页
2. 新闻资讯
3. 安全资讯
4. 从美国政府网站实施https，观看中国政府的HTTPS之路还有多远

从美国政府网站实施https，观看中国政府的HTTPS之路还有多远

发布日期：2017-02-20

2015年中，美国白宫正式发布官方文件，“HTTPS-Only”将成为公共网站联邦安全标准。HTTPS-Only标准要求所有政府网站在2016年12月31日前完成全站https部署。至今，美国政府所有的官方网站全部已经弃用HTTP明文协议，全面实施HTTPS加密协议。美国政府对于HTTTS的实施举措引起了全球的关注，并且马上得到其他国家的政府支持，16年英国政府效仿美国政府的政策，着手要求政府网站全面部署HTTPS安全协议。

英美政府强制HTTPS政策的具体措施

美国政府启用HTTPS-Only的原则：

(1)所有在联邦代理域或子域下的新开发的网站和服务必须即刻遵守HTTPS-Only政策;

(2)涉及到个人身份信息交互的、本质上特别敏感的或需经高级别保密通信的 Web 服务需部署HTTPS;

(3)联邦机构必须在2016年底内实现可通过安全连接(HTTPS Only)访问到目前所有的网站和服务;

(4)鼓励但不强制企业网站和系统也都使用 HTTPS。

英国政府则对启用HTTPS连接提出了更加细致的要求：

(1)使用HTTPS加密连接并设置HSTS(HTTP严格传输安全)保护

启用HSTS(HTTP严格传输安全)保护，可以确保浏览器始终采用HTTPS连接网站服务，拒绝使用HTTP协议，避免降级攻击。英国政府还计划将service.gov.uk提交至浏览器厂商的HSTS预加载列表，换言之，所有当代主流浏览器只有通过HTTPS才能访问政府服务。

(2)启用DMARC协议进行电子邮件认证

英国政府还规定，使用DMARC协议进行电子邮件认证。DMARC策略将确保公民不会收到由骗子和钓鱼者发出的假冒政府邮件。如果这一策略在2016年10月1日没有执行，邮件可能会被外部电子邮件提供商拒绝。

什么是HTTPS?

HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议 它是一个安全通信通道，它基于HTTP开发，用于在客户计算机和服务器之间交换信息。它使用安全套接字层(SSL)进行信息交换，简单来说它是HTTP的安全版。 它是由Netscape开发并内置于其浏览器中，用于对数据进行压缩和解压操作，并返回网络上传送回的结果。

中国政府网络安全状况？

近年来， 我国政府网站频繁爆发信息安全事件。如2015年我国爆发的超30省社保数据泄露的重大事件，造成数千万用户的个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息泄露。2016年，中国电网被爆大量家庭用户信息被泄露，甚至流入黑市被叫卖。类似事件引发公众恐慌，严重影响政府网站公信力。

HTTPS加密作为网站基础安全机制，在英美政府强制推动下得到广泛普及，但在我国政府网站中普及率却非常之低。据相关数据统计：Gov.cn的68029个政府网站进行了统计分析，结果显示近90%的政府网站未部署SSL证书，4%的政府网站部署了非常不安全的自签名证书，5.6%的政府网站证书已过期或无效，仅1.7%的政府网站部署了有效的SSL证书。

强制HTTPS加密，中国政府网站同等需要!

网络安全正在成为影响国家安全及其他领域发展和成败的重要因素之一。为了推动“互联网+电子政务”战略得到有力执行，加强政府网站安全建设刻不容缓。作为国内信息安全专家GDCA呼吁我国政府也应效仿英美政府，强制实现HTTPS-only政策，要求政府网站全面启用HTTPS加密，提升公民隐私数据的安全，重塑公民网上信心，相信政府网站提供的公共服务是安全的。

标签： 美国发布网站 https

上一篇：雅虎又双叒叕摊上大事了，账号密码形同虚设

下一篇：HTTP到HTTPS：SEO的网站安全指南（上）

相关新闻

• 勒索软件攻击事件为何不断增加
• 全球石油巨头因网络攻击损失超2.5亿元
• 39秒黑客就会攻击一次，每天造成1800万美元的损失
• 施*德电气遭数据勒索：开发平台访问凭证暴露 40GB数据失窃
• 25家跨国企业数据泄露，MOVEit漏洞引发重大安全危机
• 《个人信息保护法》施行三周年，SSL证书筑牢个人信息 “安全堤”
• 数据泄露事件频发 我们如何防患于未然
• 遭勒索攻击后，秘鲁国际银行承认数据泄露
• 一机场集团疑遭勒索软件攻击，旗下13个机场紧急切换备用系统
• 诺*亚正在调查一起数据泄露事件