要知道，HTTP協(xié)議是以明文方式發(fā)送內(nèi)容，其不提供任何方式的數(shù)據(jù)加密，因此信息在傳送過(guò)程中很容易遭到截取，作為HTTP的安全版，HTTPS被廣泛的用于網(wǎng)絡(luò)上安全敏感的通訊，例如我們常見(jiàn)的在線(xiàn)支付方面。

“據(jù)英國(guó)政府發(fā)布官方聲明，從2016年10月1日起，英國(guó)所有的政府?dāng)?shù)字服務(wù)（GDS）網(wǎng)站就已被強(qiáng)制要求啟用HTTPS加密，所有服務(wù)都必須在郵件系統(tǒng)中部署基于域的消息身份驗(yàn)證、報(bào)告和合規(guī)性（DMARC）策略。另外，美國(guó)政府也曾發(fā)布HTTPS-Only標(biāo)準(zhǔn)，要求所有政府網(wǎng)站在2016年底強(qiáng)制使用HTTPS。”

英美兩國(guó)為何先后發(fā)布強(qiáng)制HTTPS政策？HTTPS加密對(duì)政府網(wǎng)站安全到底有多么重要？對(duì)我國(guó)政府網(wǎng)站的HTTPS應(yīng)用現(xiàn)狀有何啟示？

網(wǎng)絡(luò)安全形勢(shì)堪憂(yōu)，英美政府強(qiáng)勢(shì)推HTTPS加密政策

國(guó)際互聯(lián)網(wǎng)安全形勢(shì)日益嚴(yán)峻，地下黑色產(chǎn)業(yè)鏈的成熟活躍，政府網(wǎng)站承載著各種公民隱私數(shù)據(jù)，成為黑客組織首要的攻擊目標(biāo)。英美兩國(guó)政府都多次爆出重大的政府網(wǎng)站數(shù)據(jù)泄露事件，美國(guó)OPM(人事管理辦公室) 400萬(wàn)聯(lián)邦雇員信息泄露、1.9億美國(guó)選民信息泄露以及近期英國(guó)國(guó)防部軍隊(duì)內(nèi)部資料面臨泄露威脅等安全事件，都在向政府機(jī)構(gòu)發(fā)出警示，政府機(jī)構(gòu)數(shù)據(jù)安全正遭遇著前所未有的巨大威脅。

數(shù)據(jù)泄露的原因涉及多個(gè)方面，而由于數(shù)據(jù)未加密或安全協(xié)議不足等基礎(chǔ)防護(hù)問(wèn)題導(dǎo)致的泄露事件為數(shù)眾多。如果基礎(chǔ)安全防護(hù)不到位，不管啟用多么昂貴的系統(tǒng)同樣不堪一擊。因此，2015年6月，美國(guó)政府出臺(tái)了HTTPS-Only標(biāo)準(zhǔn)，強(qiáng)制要求聯(lián)邦政府公共服務(wù)網(wǎng)站在2016年底啟用全站HTTPS加密連接。同年9月，英國(guó)政府通信總部也曾發(fā)布指南指導(dǎo)、建議使用HTTPS，當(dāng)時(shí)并沒(méi)有強(qiáng)硬設(shè)置最后期限。然而，隨著政府?dāng)?shù)據(jù)安全事件愈演愈烈，英國(guó)政府近期再次發(fā)布最新安全指導(dǎo)細(xì)則要求所有政府網(wǎng)站在2016年10月之前實(shí)現(xiàn)強(qiáng)制HTTPS加密，比美國(guó)還要提前3個(gè)月實(shí)現(xiàn)政府網(wǎng)站全站HTTPS加密。

英美政府強(qiáng)制HTTPS政策的具體措施

英國(guó)政府對(duì)啟用HTTPS連接提出了細(xì)致的要求：

(1)使用HTTPS加密連接并設(shè)置HSTS保護(hù)

啟用HSTS(HTTP嚴(yán)格傳輸安全)保護(hù)，可以確保瀏覽器始終采用HTTPS連接網(wǎng)站服務(wù)，拒絕使用HTTP協(xié)議，避免降級(jí)攻擊。英國(guó)政府還計(jì)劃將service.gov.uk提交至瀏覽器廠(chǎng)商的HSTS預(yù)加載列表，換言之，所有當(dāng)代主流瀏覽器只有通過(guò)HTTPS才能訪(fǎng)問(wèn)政府服務(wù)。

(2)啟用DMARC協(xié)議進(jìn)行電子郵件認(rèn)證

英國(guó)政府還規(guī)定，使用DMARC協(xié)議進(jìn)行電子郵件認(rèn)證。DMARC策略將確保公民不會(huì)收到由騙子和釣魚(yú)者發(fā)出的假冒政府郵件。如果這一策略在2016年10月1日沒(méi)有執(zhí)行，郵件可能會(huì)被外部電子郵件提供商拒絕。

美國(guó)政府啟用HTTPS-Only的原則：

(1)所有在聯(lián)邦代理域或子域下的新開(kāi)發(fā)的網(wǎng)站和服務(wù)必須即刻遵守HTTPS-Only政策；

(2)涉及到個(gè)人身份信息交互的、本質(zhì)上特別敏感的或需經(jīng)高級(jí)別保密通信的 Web 服務(wù)需部署HTTPS；

(3)聯(lián)邦機(jī)構(gòu)必須在2016年底內(nèi)實(shí)現(xiàn)可通過(guò)安全連接（HTTPS Only）訪(fǎng)問(wèn)到目前所有的網(wǎng)站和服務(wù)；

(4)鼓勵(lì)但不強(qiáng)制企業(yè)網(wǎng)站和系統(tǒng)也都使用 HTTPS。

我國(guó)政府網(wǎng)站的HTTPS應(yīng)用現(xiàn)狀

目前我國(guó)政府網(wǎng)站的安全問(wèn)題更加令人擔(dān)憂(yōu)，隨著“互聯(lián)網(wǎng)+政務(wù)”的戰(zhàn)略提速，大部分電子政務(wù)業(yè)務(wù)都已經(jīng)遷移到互聯(lián)網(wǎng)上，網(wǎng)上辦事變得方便快捷，但相應(yīng)的安全建設(shè)卻沒(méi)有及時(shí)提上議程，政府門(mén)戶(hù)網(wǎng)站被篡改、網(wǎng)絡(luò)釣魚(yú)、敏感數(shù)據(jù)泄露等事件層出不窮。2015年爆發(fā)的超30省社保數(shù)據(jù)泄露的重大事件，造成數(shù)千萬(wàn)用戶(hù)的個(gè)人身份證、社保參保信息、財(cái)務(wù)、薪酬、房屋等敏感信息泄露，引發(fā)公眾恐慌，嚴(yán)重影響政府網(wǎng)站公信力。

HTTPS加密作為網(wǎng)站基礎(chǔ)安全機(jī)制，在英美政府強(qiáng)制推動(dòng)下得到廣泛普及，但在我國(guó)政府網(wǎng)站中普及率卻非常之低。CA針對(duì)已解析到Gov.cn的68029個(gè)政府網(wǎng)站進(jìn)行了統(tǒng)計(jì)分析，結(jié)果顯示近90%的政府網(wǎng)站未部署SSL證書(shū)，4%的政府網(wǎng)站部署了非常不安全的自簽名證書(shū)，5.6%的政府網(wǎng)站證書(shū)已過(guò)期或無(wú)效，僅1.7%的政府網(wǎng)站部署了有效的SSL證書(shū)。

HTTPS加密對(duì)政府網(wǎng)站安全到底有多么重要？

HTTP是非常不安全的明文傳輸協(xié)議，不提供任何方式的數(shù)據(jù)加密，任何通過(guò)HTTP傳輸?shù)臄?shù)據(jù)都以明文形式在網(wǎng)絡(luò)中“裸奔”，無(wú)需攻擊或拖庫(kù)，就能輕松攔截到用戶(hù)敏感數(shù)據(jù)；而且HTTP無(wú)法驗(yàn)證服務(wù)器身份的真實(shí)性，服務(wù)器返回的請(qǐng)求容易被篡改或者假冒，用戶(hù)根本無(wú)法察覺(jué)。HTTP協(xié)議的缺陷是導(dǎo)致政府網(wǎng)站數(shù)據(jù)泄露、拖庫(kù)、數(shù)據(jù)篡改、釣魚(yú)仿冒等安全隱患的重要原因。

使用HTTPS加密能夠確保用戶(hù)數(shù)據(jù)在傳輸過(guò)程中處于加密狀態(tài)，同時(shí)驗(yàn)證服務(wù)器身份的真實(shí)性，防止網(wǎng)站被假冒、篡改，有效解決常見(jiàn)的數(shù)據(jù)泄露、數(shù)據(jù)篡改、流量劫持和釣魚(yú)欺詐等安全事件，確保用戶(hù)和政府網(wǎng)站進(jìn)行信息交互時(shí)始終安全。

強(qiáng)制HTTPS加密，中國(guó)政府網(wǎng)站更需要！

網(wǎng)絡(luò)安全正在成為影響國(guó)家安全及其他領(lǐng)域發(fā)展和成敗的重要因素之一。為推動(dòng)“互聯(lián)網(wǎng)+政務(wù)”戰(zhàn)略得到有力執(zhí)行，加強(qiáng)政府網(wǎng)站安全建設(shè)，我國(guó)政府也應(yīng)出臺(tái)強(qiáng)制HTTPS政策，要求政府網(wǎng)站啟用HTTPS加密，提升公民隱私數(shù)據(jù)的安全防護(hù)，重塑公民網(wǎng)上信心，讓公民信任政府網(wǎng)站提供的公共服務(wù)是安全的。