英国所有的政府网站将默认启用HTTPS加密
发布日期:2016-07-05根据最新的安全指导细则,从2016年10月1日起,英国所有的政府数字服务(GDS)网站都将被强制要求启用HTTPS加密。此外,所有服务都必须在邮件系统中部署基于域的消息身份验证、报告和合规性(DMARC)策略。
HTTP协议是以明文方式发送内容,其不提供任何方式的数据加密,因此信息在传送过程中很容易遭到截取。HTTPS作为HTTP的安全版,被广泛的用于网络上安全敏感的通讯,例如我们常见的在线支付方面。
英国政府通信总部的信息安全机构通讯电子安全小组(CESG)曾于2015年9月2日发布对外服务网站TLS(安全传输层协议)部署指南,建议并指导英国相关公共服务网站服务器部署SSL证书建立TLS加密连接,保障公共服务网站的用户数据传输安全。
与美国政府在去年6月出台的HTTPS-Only标准相比,英国政府的这份指南更加偏重技术方面,虽然没有像美国政府一样提出强制部署HTTPS的要求并列出时间表,但是CESG此举同样体现了英国政府保护用户隐私、保证政府网站信息安全的期望。该指南建议:
1、公共服务部门的相关网站根据Qualys、谷歌和Mozilla的安全配置建议应用HTTPS加密连接,并提出对外服务的网站只使用HTTPS服务;
2、将HTTP服务自动重定向到HTTPS加密服务;
3、向可靠的证书颁发机构(CA)获取SSL证书;
4、使用扩展验证型EV SSL证书提升客户信心;
5、为邮件服务器部署TLS连接。
该指南除了提出以上实用建议外,还就如何向CA机构获取证书、如何部署测试提供了相关指南。
以前,政府公共服务系统仅在局域网内部运行,随着政府办公信息化进程的加快,政府相关服务逐步搬到线上,社保系统、户籍查询系统、疾控中心、医院等对外服务网站包含个人身份证、社保参保信息、财务、薪酬、房屋等大量个人敏感信息,与公民的隐私密切相关,相应的安全防护措施却没有跟上。目前,我国启用HTTPS服务的政府网站只占极少数,HTTPS加密作为网站最基本的安全防护措施,在我国政府网站中的部署率却不足10%,今年4月发生的30省千万用户社保数据泄露事件就显现出政府网站安全隐患的“冰山一角”。我国政府很有必要效仿欧美,出台相关政策要求政府对外服务网站加强网站安全防护,启用HTTPS加密服务,保证政府网站信息安全、保护公民隐私数据、保证政府网站不会被假冒。
对此,GDS的技术架构师Dafydd Vaughan在一篇博文中阐述了英国政府部署HTTPS的原因:“service.gov.uk标准需要所有的政府服务在安全的网络链接中运行,也就是我们熟知的HTTPS。该类型的链接能够确保用户数据处于加密状态,并确保用户和政府服务进行交互时候保持安全。今年9月,我们计划将service.gov.uk提交至浏览器厂商的HSTS预加载列表。换言之,所有当代主流浏览器只有通过HTTPS才能访问政府服务。”
文章来源:互联网,文章链接:http://www.wosign.com/News/uk-gov-https.htm
相关事件: