美国政府大力提升网站连接安全,但仍未达到既定目标

下一篇文章

苹果将纽约时报应用从中国区 App Store 下架

多年来,美国政府一直在努力为所有联邦机构网站建立安全连接,保护访客免受恶意软件入侵和追踪。虽然这些努力没有达成 白宫的既定目标(即在 2016 年 12 月 31 日之前让所有联邦机构网站用上 HTTPS 加密连接),但美国政府已经取得了重大进展,在普及加密浏览方面超过了私营部门。

在 2016 年,HTTPS 技术在各种网站的使用率稳步增长。更多的 新闻机构(包括 TechCrunch 在内)开始使用加密技术来让读者摆脱审查和监控,用户对加密技术的认识有所提高,而包括 Chrome 在内的一些浏览器也在更积极地宣传非加密技术 HTTP 的危险性。

不过,根据美国政府数字服务机构 18F 发布的一份工作 进展报告 ,政府普及网站安全连接技术的速度超过了私营部门。

现在,.gov 网站的绝大多数访客都能使用安全连接,其中有 66%的访客连接的是强制使用 HTTPS 的网站。在大约 1000 个.gov 域名中,61%强制使用 HTTPS。在大约 26000 个.gov 二级域名中,强制使用 HTTPS 的比例降到了 40%(跟强制使用相比,还有比例稍高的.gov 域名和二级域名提供了对 HTTPS 的支持)。

“这部分是因为识别一级域名要容易得多(即使在一个机构网站之内),部分也是因为大多数机构网站都有闲置、废弃、用于测试或模拟环境的二级域名‘长尾’。”埃里克·密尔(Eric Mill)解释道,他是美国联邦总务管理局(General Services Administration)的技术政策和战略高级顾问。密尔在自己的文章中提出,衡量政府普及 HTTPS 工作影响的最好办法就是观察网站流量——如果政府网站的大部分访客都喜欢安全连接,那么废弃的二级域名应该不会产生太大影响。

虽然 60%的使用率并未达到白宫定下的 100%采用安全连接的目标,但在跟整个互联网进行对比时,政府网站取得的进展看起来仍然很不错。一项针对 Alexa 排名前 100 万网站的 研究分析 发现,其中只有 13%强制使用 HTTPS,而 33%的网站提供了支持。密尔表示,在白宫于 2015 年夏季公布普及 HTTPS 的行动目标之前,政府网站强制使用和支持 HTTPS 的情况也与整体情况类似。

screen-shot-2017-01-04-at-2-15-27-pm 到底有多少政府网站现在用上了 HTTPS 安全连接,这很难进行计算——在某种程度上是因为,没有一份记录政府网站一级域名和二级域名的完整名单——但 18F 发现,.gov 在这方面取得了坚实的进展。白宫的政策也对其他域名的其他政府网站做出了向 HTTPS 迁移的要求,比如.mil 和.us,但 18F 的报告并未涉及到它们。

虽然政府网站采用安全连接的进展似乎超过了其他网站,但密尔表示,研究得出的数据“指向了一个事实,即联邦政府机构需要做更多的工作,以消除自身服务中对不安全连接的使用。”

图片来源:BRYCE DURBIN

翻译:王灿均(@何无鱼

Federal government improves encrypted web connections, but misses goal

blog comments powered by Disqus