由于无法获得资金,美国政府部门无法更新对其网站安全至关重要的 TLS 证书。这是离开许多政府官方网站的访问者容易受到黑客的中间人攻击,并阻止他们访问关键的联邦资源。
最先拉响警报的是网络技术一家总部位于英国的互联网安全和研究机构发现“目前约有 40 万名联邦雇员处于休假状态,.gov 网站使用的 80 多个 TLS 证书迄今已过期且未续订。”
那么什么是 TLS 证书?
在该技术的上一个版本之后,TLS 证书仍然经常被称为 SSL 证书,它们也更普遍地被称为 HTTPPS 证书。
SSL/TLS 证书是HTTPS用于支持互联网上每个安全网站的加密系统,包括政府网站、网上银行以及您输入信用卡详细信息的任何在线零售商。
TLS 证书可验证您的浏览器连接到的网站确实是您认为它连接到的网站。它是一个小数据文件,以数字方式将网站的公共加密密钥与已验证拥有该网络域的组织的详细信息绑定在一起。
HTTPS 证书由公认的证书颁发机构 (CA) 颁发,该证书颁发机构证明证书的指定主体对公钥的所有权,以加密术语充当受信任的第三方 (TTP)。
如果网站向您的浏览器显示来自公认 CA 的证书,您的浏览器将确定该网站是真实的。然后,它将启动安全加密的 HTTPS 连接,并(在大多数情况下)在 URL 栏中显示一个关闭的绿色挂锁,让您知道一切正常。然后您就可以正常访问该网站了。
但如果一切都不顺利怎么办?
如果 TLS 证书与访问的域不匹配,或者已过期,则访问者将收到警告消息...
HSTS 网站
HTTP 严格传输安全 (HSTS) 是一种新的 Web 安全策略机制,旨在提高整个互联网的安全性。如果没有安全的 HTTPS 连接,就不可能连接到正确启用 HSTS 的网站。这需要有效的 TLS 证书。
在 Netcraft 发现的 80 个拥有过期 TLS 证书的政府站点中,“只有少数”完全且正确(因此安全地)使用了实施的 HSTS。
美国司法部网站(上图)及其子域受到正确实施的 HSTS 的保护。这意味着访客目前无法访问司法部的服务。这对于许多人来说无疑是令人沮丧的,但比 TLS 证书过期时的替代方案更好......
非 HSTS 网站
Netcraft 发现的绝大多数使用失效 TLS 证书的网站要么根本没有使用 HSTS,要么实施得很差,在 HTTPS 标头中设置了策略,但没有在Chromium 的 HSTS 预加载列表。
在任何一种情况下,访问者仍然会收到警告,但可以轻松绕过该警告以访问该网站。这样做是非常危险的。
首先,无法知道他们访问的网站是否真实。 DNS 劫持技术可用于将 URL 请求重定向到虚假网站,并且在不知道 TLS 证书是否有效的情况下,通常无法判断。
即使您访问的是正确的网站,无效的 TLS 证书也意味着没有 HTTPS 加密。因此,访问者在网站上所做的一切(包括他们提供的所有付款信息)都是在他们的互联网提供商 (ISP) 和任何其他愿意查看的人的视野中完成的。例如犯罪黑客。如果您在访问网站时看到 HTTPS 警告,不要忽略它并继续。
有趣的是,当我们访问 Netcraft 提供的示例 URL 时,它们根本不可用。自报告发布以来,开发人员似乎采取了负责任的(甚至是核性的)选择,通过从互联网上完全删除域名来解决这个问题。
离奇的危机
截至撰写本文时,联邦关门已进入第 25 天,白宫人员短缺意味着特朗普先生正在接待客人麦当劳外卖餐食。
GoDaddy 的 TLS 证书(美国司法部用于保护其域名)的价格起价为每年 74.77 美元。美国宇航局和伯克利实验室等向公众提供重要服务的美国政府部门根本无力更新证书,这是当前危机最离奇的症状之一。
图片来源:JPL Designs/Shutterstock。
如果这个故事让您重新考虑自己的在线安全,为什么不看看我们的最好的VPN服务页面了解更多信息。