美国政府发布一项计划,HTTPS将成为公共网站联邦安全标准,其目标是到2016年12月31日,让美国联邦政府所有网站都使用HTTPS加密。
美国人民希望政府网站是安全的,并且他们在这些网站的访问是作为隐私被保护的。HTTPS协议用当今的因特网技术为公共网络连接提供了最强的隐私保护。HTTPS的使用降低了用户在使用政府在线服务时被截获和被修改的风险。
这个建议的动机,"HTTPS-only标准",会要求所有可公开访问的联邦网站和网络服务使用HTTPS。
目标
所有可公开访问的联邦网站和web服务[1]只通过一个安全的连接提供服务。目前公共网络连接可用的最强的隐私保护就是HTTPS协议。
背景
未被加密过的HTTP协议不能避免数据被截获或者修改,会导致用户窃听,追踪以及修改收到的数据。许多商业组织已经采用了HTTPS协议或者HTTPS-only政策来保护访问他们网站和服务的用户。访问联邦网站和服务的用户也应该有同样的保护。
隐私和安全连接正在成为因特网的基准,正如被因特网标准体的政策,流行的网络浏览器,以及有实践的因特网公司所证明的那样。联邦政府必须适应这种变化,以及转变的开始的收益。联邦级别主动的投资会加快整个互联网范围的采纳,以及为整个公众浏览提升更好的隐私标准。
大部分的联邦网站使用的HTTP协议作为主要的传输协议,用于公共网络的通讯。没有加密过的HTTP连接创建了一个隐私漏洞,并且暴露了没有加密过的联邦网站和服务的用户的潜在的敏感信息。通过HTTP发送的数据很容易被窃取,修改以及模拟。这个数据包括浏览器识别,站点内容,搜索条目,以及其他用户提交的信息。
所有正在被浏览的活动都应该是隐私的和敏感的
HTTPS-only这条标准会消除不一致,主观决定是依照于在通常情况下,哪些内容或者浏览活动是敏感的,以及创建一个更强大的政府范围的隐私标准。
那些不使用HTTPS的联邦网站,将无法与那些实践了隐私和安全的商业组织,或者当前以及即将到来的因特网标准保持同步。这会导致美国人在那些已知的威胁面前更加脆弱,这会降低对政府的信任。尽管一些联邦站点目前使用HTTPS,但是在这个领域没有一个统一的政策。这个被提议的HTTPS-only标准会提供给公众一个一致的,隐私的浏览体验以及会将联邦政府推到一个领导互联网安全的高度。
关于HTTPS
HTTPS 为连接的客户端验证网站或Web服务的身份,并将几乎所有在网站或服务和用户之间发送的信息进行加密。受保护的信息包括cookie,用户代理信息,URL路径,表单提交,查询字符串参数。HTTPS 是为了防止在运输过程中这些信息被读取或改变。
HTTPS 是在传输层安全(TLS)连接上使用 HTTP 协议。TLS 是一个网络协议,建立一个与被验证过的对象在一个不安全的网络中建立加密连接。
浏览器和其他 HTTPS 客户端都是配置相信证书授权机构[2],这些机构可以代表Web服务方发布加密签名证书。这些证书会被发送到客户端,在证书签发的时候,Web服务的主机会向证书授权机构证明自己的属主身份。这可以避免未知的或不可信的网站伪装成一个联邦网站或服务。
HTTPS 不做什么
HTTPS有一些重要的限制。
目的地IP地址和域名在传输的时候是不加密的。即使加密过的流量也可以间接地透露一些信息,如在网站停留的时间,所请求的资源或提交的信息大小。
HTTPS可以保证两个系统连接之间的完整性,而不是系统本身。它不是设计用来保护Web服务器免受黑客攻击或侵害,或防止Web服务暴露其用户信息。同样,如果用户的系统是被攻击者侵害了,这个系统会被修改,之后的HTTPS连接都是在攻击者的控制之下。被侵害的或恶意的证书授权机构同样会削弱或者减少HTTP的保护。
挑战与思考
网站性能:虽然加密会添加一些计算开销,但是对现代的软件和硬件服务器的性能或延迟并无实质性影响。内容传输网络或服务器软件支持SPDY或HTTP/2协议(一些大的浏览器要求HTTP2)的网站,可能发现他们网站的性能在迁移到HTTPS后有了很大的提升。
域名指示:当使用于多域名时,扩展于TLS的域名指示允许更高效的使用IP地址。然而,这些技术不为旧的客户端所支持。Web服务的所有者应评估采用这种技术的可行性来提高性能和效率。
混合内容:通过HTTPS提供服务的网站,需要确保所有外部资源(图片、脚本、字体等)也是以安全链接载入的。现代浏览器会拒绝从一个安全网站引用非安全的资源。当迁移现有的网站的时候,对非安全资源的更新、替换或者移除引用,会牵涉到自动的和手动的(额外)付出。对有些网站来说,这可能是迁移网站最耗时的步骤。
API和服务:Web服务主要还是为非浏览器客户端提供服务的,比如那些Web API,它需要一种更为渐进和手动的迁移策略,因为不是所有的客户端都可以被假设为为HTTPS链接作好了配置,或者可以成功地执行重定向的。
规划变更:协议和Web标准定期改进以及安全漏洞的出现,都需要及时关注。联邦网站和服务应以允许快速更新配置和更换证书的方式来部署 HTTPS。
严格的传输安全:支持 HTTPS 的网站和服务必须开启 HTTP 严格传输安全(HSTS)来控制标准的浏览器一直使用 HTTPS 协议。这减少了不安全的重定向,并保护用户阻止那些试图将当前的连接降为简单 HTTP 连接的企图。一旦HSTS启用,域名可以提交到一个被所有主要浏览器使用的"预载列表"的来确保 HSTS 策略在任何时间生效。
域名系统安全协议(DNSSEC):这个建议不撤销 M-08-23 或与之冲突,M-08-23 是"保护联邦政府的域名系统基础设施"。一旦 DNS 解析完成,DNSSEC 并不保证客户和目的 IP 之间通信的保密性或完整性。HTTPS 提供这种额外的安全。
有成本效率的实施
实施一个HTTPS唯一标准必须付出代价。大量的联邦网站已经部署了HTTPS。该方案的目标是为了推广这种应用。
联邦政府网站采用统一的 HTTPS 需要有管理和财政负担,这包括开发时间,获得证书的财务成本,长期的维护费用。开发的成本是跟一个网站的规模和技术基础设施紧密相关。建议的合规时间表给项目规划和资源准备提供了足够的灵活性。
对美国公众实际的好处还是大于纳税人所承担的花费的。即使存在很少的自称是联邦服务的非官方或恶意网站,或是对美国政府官方网站的通信的少量监听也会对公民产生重大损失。
https.cio.gov提供的技术支持将会帮助这个拟议标准节约而高效地实现。
原则
为了提升HTTPS部署的效率和效果,所遵从的这个建议时间表不仅要合理而且要切实可行。这个提议要求代理机构遵守下述指导下,在联邦域名下部署HTTPS:
1.所有在联邦代理域或子域下的新开发的网站和服务必须即刻遵守这个政策
2.对于当前的网站和服务,代理机构必须基于风险分析优先部署。涉及到个人身份信息交互的,本质上特别敏感的或需经高级别保密通信的 Web 服务需优先部署HTTPS
3.代理机构必须在2年内可通过安全连接(HTTPS Only)访问到目前所有的网站和服务
4.鼓励但不强制企业内部网内使用 HTTPS
总之,HTTPS-Only 标准将会提高用户信息的传输安全,为客户提供有意义的隐私保护。
技术支持
请使用 https.cio.gov 获得技术支持,并在此标准实施的帮助下获得最佳体验。
请为这个建议和技术支持材料提供您宝贵的反馈和建议,或者通过 email 至 https@cio.gov 参与评论
脚注
[1] 提供公开访问的网站和服务,在这里被定义成全部或者分成几个部分为联邦政府所维护的可在因特网上基于HTTP或者HTTPS可用的在线资源或者服务,并且由一个代理机构、承包商或者其他组织机构的代表进行操作. 他们会向公众或者一个特定的用户组展示政府信息或者提供服务,并支撑起一个机构任务的性能. 这一个定义包含了所有的web交互,不管访问者是已经登录了还是匿名的。
[2] 在web上的HTTPS协议环境下,证书颁发机构是受到浏览器和操作系统信任的第三方机构或者公司,向域名拥有人分发数字证书。
[3] 将HTTP连接只用于重定向客户端到HTTPS连接,这种做法是可以接受并且受到鼓励的。 HSTS 消息头应该之一定义至少一年的时限(max-age)。
[4] "Intranet" 在这里被定义成一个不能直接被公众互联网访问到的计算机网络。