HTTPS-Only尺度：美当局网站将应用HTTPS加密

美国当局发布一项计划，HTTPS将成为大众网站联邦安全尺度，其目的是到2016年12月31日，让美国联邦当局全部网站都应用HTTPS加密。

美国人民希望当局网站是安全的，而且他们在这些网站的拜访是作为隐衷被掩护的。HTTPS协定用当今的因特网技巧为大众收集衔接供给了最强的隐衷掩护。HTTPS的应用降低了用户在应用当局在线效劳时被截获和被修正的风险。

这个倡议的动机，"HTTPS-only尺度"，会要求全部可公开拜访的联邦网站和收集效劳应用HTTPS。

目的

全部可公开拜访的联邦网站和web效劳[1]只经由过程一个安全的衔接供给效劳。现在大众收集衔接可用的最强的隐衷掩护就是HTTPS协定。

背景

未被加密过的HTTP协定不能避免数据被截获或许修正，会导致用户窃听，追踪以及修正收到的数据。许多商业构造曾经采用了HTTPS协定或许HTTPS-only政策来掩护拜访他们网站和效劳的用户。拜访联邦网站和效劳的用户也应当有同样的掩护。

隐衷和安全衔接正在成为因特网的基准，正如被因特网尺度体的政策，流行的收集阅读器，以及有实践的因特网公司所证明的那样。联邦当局必需适应这种变化，以及转变的开始的收益。联邦级别主动的投资会加快整个互联网范围的采纳，以及为整个大众阅读晋升更好的隐衷尺度。

大部分的联邦网站应用的HTTP协定作为重要的传输协定，用于大众收集的通讯。没有加密过的HTTP衔接创建了一个隐衷漏洞，而且暴露了没有加密过的联邦网站和效劳的用户的潜在的敏感信息。经由过程HTTP发送的数据很容易被窃取，修正以及模拟。这个数据包含阅读器识别，站点内容，搜索条目，以及其余用户提交的信息。

全部正在被阅读的活动都应当是隐衷的和敏感的

HTTPS-only这条尺度会消除不一致，主观决定是依照于在通常情况下，哪些内容或许阅读活动是敏感的，以及创建一个更强大的当局范围的隐衷尺度。

那些不应用HTTPS的联邦网站，将无法与那些实践了隐衷和安全的商业构造，或许以后以及即将到来的因特网尺度保持同步。这会导致美国人在那些已知的威胁面前更加脆弱，这会降低对当局的信任。尽管一些联邦站点现在应用HTTPS，但是在这个领域没有一个统一的政策。这个被提议的HTTPS-only尺度会供给给大众一个一致的，隐衷的阅读体验以及会将联邦当局推到一个领导互联网安全的高度。

百科：HTTPS

HTTPS 为衔接的客户端验证网站或Web效劳的身份，并将几乎全部在网站或效劳和用户之间发送的信息进行加密。受掩护的信息包含cookie，用户代办信息，URL路径，表单提交，查询字符串参数。HTTPS 是为了防止在运输过程中这些信息被读取或改变。

HTTPS 是在传输层安全(TLS)衔接上应用 HTTP 协定。TLS 是一个收集协定，建立一个与被验证过的对象在一个不安全的收集中建立加密衔接。

阅读器和其余 HTTPS 客户端都是设置相信证书受权机构[2]，这些机构能够代表Web效劳方发布加密签名证书。这些证书会被发送到客户端，在证书签发的时间，Web效劳的主机会向证书受权机构证明自己的属主身份。这能够避免未知的或不可信的网站伪装成一个联邦网站或效劳。

HTTPS 不做什么

HTTPS有一些重要的限制。

目的地IP地址和域名在传输的时间是不加密的。即使加密过的流量也能够间接地透露一些信息，如在网站停留的时间，所请求的资本或提交的信息大小。

HTTPS能够保证两个体系衔接之间的完整性，而不是体系本身。它不是设计用来掩护Web效劳器免受黑客攻击或损害，或防止Web效劳暴露其用户信息。同样，如果用户的体系是被攻击者损害了，这个体系会被修正，之后的HTTPS衔接都是在攻击者的控制之下。被损害的或恶意的证书受权机构同样会削弱或许减少HTTP的掩护。

挑战与思考

网站机能：虽然加密会添加一些计算开销，但是对现代的软件和硬件效劳器的机能或延迟并无实质性影响。内容传输收集或效劳器软件支撑SPDY或HTTP/2协定(一些大的阅读器要求HTTP2)的网站，可能发现他们网站的机能在迁徙到HTTPS后有了很大的晋升。

域名指示：当应用于多域名时，扩展于TLS的域名指示允许更高效的应用IP地址。然而，这些技巧不为旧的客户端所支撑。Web效劳的全部者应评估采用这种技巧的可行性来提高机能和效力。

混合内容：经由过程HTTPS供给效劳的网站，须要确保全部外部资本(图片、脚本、字体等)也是以安全链接载入的。现代阅读器会拒绝从一个安全网站引用非安全的资本。当迁徙现有的网站的时间，对非安全资本的更新、替换或许移除引用，会牵涉到自动的和手动的(额外)付出。对有些网站来说，这可能是迁徙网站最耗时的步骤。

API和效劳：Web效劳重要还是为非阅读器客户端供给效劳的，比如那些Web API，它须要一种更为渐进和手动的迁徙策略，因为不是全部的客户端都能够被假设为为HTTPS链接作好了设置，或许能够成功地执行重定向的。

规划变更：协定和Web尺度定期改进以及安全漏洞的出现，都须要及时关注。联邦网站和效劳应以允许快速更新设置和更换证书的方式来安排 HTTPS。

严格的传输安全：支撑 HTTPS 的网站和效劳必需开启 HTTP 严格传输安全(HSTS)来控制尺度的阅读器一直应用 HTTPS 协定。这减少了不安全的重定向，并掩护用户阻止那些试图将以后的衔接降为简单 HTTP 衔接的企图。一旦HSTS启用，域名能够提交到一个被全部重要阅读器应用的"预载列表"的来确保 HSTS 策略在任何时间生效。

域名体系安全协定(DNSSEC)：这个倡议不撤销 M-08-23 或与之冲突，M-08-23 是"掩护联邦当局的域名体系基础设施"。一旦 DNS 解析完成，DNSSEC 并不保证客户和目的 IP 之间通讯的保密性或完整性。HTTPS 供给这种额外的安全。

有本钱效力的实施

实施一个HTTPS唯一尺度必需付出代价。大量的联邦网站曾经安排了HTTPS。该方案的目的是为了推广这种应用。

联邦当局网站采用统一的 HTTPS 须要有管理和财政负担，这包含开辟时间，取得证书的财务本钱，长期的维护费用。开辟的本钱是跟一个网站的规模和技巧基础设施紧密相关。倡议的合规时间表给项目规划和资本准备供给了足够的灵活性。

对美国大众实际的好处还是大于纳税人所承担的花费的。即使存在很少的自称是联邦效劳的非官方或恶意网站，或是对美国当局官方网站的通讯的少量监听也会对公民产生重大损失。

https.cio.gov供给的技巧支撑将会帮助这个拟议尺度节约而高效地实现。

原则

为了晋升HTTPS安排的效力和效果，所遵从的这个倡议时间表不仅要合理而且要切实可行。这个提议要求代办机构遵守下述指导下，在联邦域名下安排HTTPS：

1.全部在联邦代办域或子域下的新开辟的网站和效劳必需即刻遵守这个政策

2.对于以后的网站和效劳，代办机构必需基于风险分析优先安排。涉及到个人身份信息交互的，本质上特别敏感的或需经高级别保密通讯的 Web 效劳需优先安排HTTPS

3.代办机构必需在2年内可经由过程安全衔接(HTTPS Only)拜访到现在全部的网站和效劳

4.鼓励但不强制企业内部网内应用 HTTPS

总之，HTTPS-Only 尺度将会提高用户信息的传输安全，为客户供给有意义的隐衷掩护。

技巧支撑

请应用 https.cio.gov 取得技巧支撑，并在此尺度实施的帮助下取得最佳体验。

请为这个倡议和技巧支撑材料供给您宝贵的反馈和倡议，或许经由过程 email 至 https@cio.gov 参与评论

脚注

[1] 供给公开拜访的网站和效劳，在这里被界说成全部或许分成几个部分为联邦当局所维护的可在因特网上基于HTTP或许HTTPS可用的在线资本或许效劳，而且由一个代办机构、承包商或许其余构造机构的代表进行操作. 他们会向大众或许一个特定的用户组展示当局信息或许供给效劳，并支撑起一个机构任务的机能. 这一个界说包含了全部的web交互，不管拜访者是曾经登录了还是匿名的。

[2] 在web上的HTTPS协定环境下，证书颁发机构是受到阅读器和操作体系信任的第三方机构或许公司，向域名拥有人分发数字证书。

[3] 将HTTP衔接只用于重定向客户端到HTTPS衔接，这种做法是能够接受而且受到鼓励的。 HSTS 消息头应当之一界说至少一年的时限(max-age)。

[4] "Intranet" 在这里被界说成一个不能直接被大众互联网拜访到的计算机收集。

转载自:https://netsecurity.51cto.com/art/201506/479727.htm

声明: 除非转自他站（如有侵权，请联系处理）外，本文采用 BY-NC-SA 协议进行授权 | 智乐兔
转载请注明：转自《HTTPS-Only尺度：美当局网站将应用HTTPS加密》
本文地址：https://www.zhiletu.com/archives-4439.html
关注公众号：