由於無法獲得資金,美國政府部門無法更新對其網站安全至關重要的 TLS 證書。這是離開許多政府官方網站的訪問者容易受到黑客的中間人攻擊,並阻止他們訪問關鍵的聯邦資源。
最先拉響警報的是網絡技術一家總部位於英國的互聯網安全和研究機構發現“目前約有 40 萬名聯邦僱員處於休假狀態,.gov 網站使用的 80 多個 TLS 證書迄今已過期且未續訂。”
那麼什麼是 TLS 證書?
在該技術的上一個版本之後,TLS 證書仍然經常被稱為 SSL 證書,它們也更普遍地被稱為 HTTPPS 證書。
SSL/TLS 證書是HTTPS用於支持互聯網上每個安全網站的加密系統,包括政府網站、網上銀行以及您輸入信用卡詳細信息的任何在線零售商。
TLS 證書可驗證您的瀏覽器連接到的網站確實是您認為它連接到的網站。它是一個小數據文件,以數字方式將網站的公共加密密鑰與已驗證擁有該網絡域的組織的詳細信息綁定在一起。
HTTPS 證書由公認的證書頒發機構 (CA) 頒發,該證書頒發機構證明證書的指定主體對公鑰的所有權,以加密術語充當受信任的第三方 (TTP)。
如果網站向您的瀏覽器顯示來自公認 CA 的證書,您的瀏覽器將確定該網站是真實的。然後,它將啟動安全加密的 HTTPS 連接,並(在大多數情況下)在 URL 欄中顯示一個關閉的綠色掛鎖,讓您知道一切正常。然後您就可以正常訪問該網站了。
但如果一切都不順利怎麼辦?
如果 TLS 證書與訪問的域不匹配,或者已過期,則訪問者將收到警告消息...
HSTS 網站
HTTP 嚴格傳輸安全 (HSTS) 是一種新的 Web 安全策略機制,旨在提高整個互聯網的安全性。如果沒有安全的 HTTPS 連接,就不可能連接到正確啟用 HSTS 的網站。這需要有效的 TLS 證書。
在 Netcraft 發現的 80 個擁有過期 TLS 證書的政府站點中,“只有少數”完全且正確(因此安全地)使用了實施的 HSTS。
美國司法部網站(上圖)及其子域受到正確實施的 HSTS 的保護。這意味著訪客目前無法訪問司法部的服務。這對於許多人來說無疑是令人沮喪的,但比 TLS 證書過期時的替代方案更好......
非 HSTS 網站
Netcraft 發現的絕大多數使用失效 TLS 證書的網站要么根本沒有使用 HSTS,要么實施得很差,在 HTTPS 標頭中設置了策略,但沒有在Chromium 的 HSTS 預加載列表。
在任何一種情況下,訪問者仍然會收到警告,但可以輕鬆繞過該警告以訪問該網站。這樣做是非常危險的。
首先,無法知道他們訪問的網站是否真實。 DNS 劫持技術可用於將 URL 請求重定向到虛假網站,並且在不知道 TLS 證書是否有效的情況下,通常無法判斷。
即使您訪問的是正確的網站,無效的 TLS 證書也意味著沒有 HTTPS 加密。因此,訪問者在網站上所做的一切(包括他們提供的所有付款信息)都是在他們的互聯網提供商 (ISP) 和任何其他願意查看的人的視野中完成的。例如犯罪黑客。如果您在訪問網站時看到 HTTPS 警告,不要忽略它並繼續。
有趣的是,當我們訪問 Netcraft 提供的示例 URL 時,它們根本不可用。自報告發布以來,開發人員似乎採取了負責任的(甚至是核性的)選擇,通過從互聯網上完全刪除域名來解決這個問題。
離奇的危機
截至撰寫本文時,聯邦關門已進入第 25 天,白宮人員短缺意味著特朗普先生正在接待客人麥當勞外賣餐點。
GoDaddy 的 TLS 證書(美國司法部用於保護其域名)的價格每年僅為 74.77 美元。美國宇航局和伯克利實驗室等向公眾提供重要服務的美國政府部門根本無力更新證書,這是當前危機最離奇的症狀之一。
圖片來源:JPL Designs/Shutterstock。
如果這個故事讓您重新考慮自己的在線安全,為什麼不看看我們的最好的VPN服務頁面了解更多信息。