Chính phủ Canada yêu cầu tất cả các website phải cài HTTPS trước tháng 10 năm 2018

Bắt đầu từ ngày 27 tháng 6 năm 2018, tất cả các trang web của chính phủ Canada sẽ triển khai HTTPS cho kết nối web.

Chính phủ Canada vừa qua đã ban hành quy định Thông báo Triển khai Chính sách Công nghệ Thông tin (ITPIN) chỉ đạo tất cả các “phòng ban”  triển khai Bảo mật lớp truyền tải và cài đặt giao thức HTTPS. Thông báo này có hiệu lực kể từ ngày 27 tháng 6. Tất cả các phòng ban, cơ quan và tổ chức trong chính phủ Canada không tuân thủ Chính sách Quản lý Công nghệ Thông tin đều phải tuân theo ITPIN.

Các bộ phận của Canada đang thực hiện các biện pháp bảo vệ đảm bảo dịch vụ của họ chỉ được cung cấp thông qua kết nối an toàn. Cụ thể điều đó có nghĩa là tất cả các kết nối phải:

  • Được cấu hình cho HTTPS
  • Đã bật HSTS
  • Hỗ trợ ít nhất TLS 1.2 hoặc cao hơn
  • Không hỗ trợ SSL 2.0, SSL 3.0, TLS 1.0 hoặc TLS 1.1
  • Các mật mã yếu tiêu chuẩn RC4 và 3DES bị vô hiệu hóa

Nếu trang web của một bộ phận liên quan đến việc trao đổi dữ liệu cá nhân thì yêu cầu sử dụng SSL được yêu cầu càng sớm càng tốt. Tất cả các phòng ban khác được gia hạn đến ngày 30 tháng 9 năm 2019.

Người Canada phải tự tin rằng họ đang truy cập một dịch vụ hợp pháp và kết nối của họ vẫn còn riêng tư và không bị can thiệp. Bằng cách áp dụng các tiêu chuẩn bảo mật cụ thể đã được áp dụng rộng rãi trong ngành, các phòng ban có thể đảm bảo tính toàn vẹn và bảo mật thông tin liên lạc của họ với người dân Canada. Điều này bao gồm việc triển khai giao thức HTTPS cung cấp một lớp bảo vệ bằng cách mã hóa các kết nối bằng cách sử dụng Bảo mật lớp truyền tải (Transport Layer Security – TLS ). HTTPS, cùng với các thuật toán mã hóa được chấp thuận, cung cấp mức bảo mật và quyền riêng tư mà người dùng mong đợi từ các dịch vụ web của Chính phủ Canada. Ngoài ra, trong khi sử dụng các trình duyệt web hiện đại, một kết nối an toàn sẽ luôn được khởi tạo khi HTTP Strict Transport Security ( HSTS ) được cấu hình.

Việc triển khai HTTPS trong ITPIN chỉ là một phần nhỏ của việc bảo mật dịch vụ kỹ thuật số, trước khi đưa ra các cân nhắc bảo mật bổ sung:

  • Triển khai các hệ điều hành (OS) hiện đại và các ứng dụng được duy trì với các phiên bản phần mềm được hỗ trợ, cập nhật và được kiểm tra.
  • Chủ động quản lý các lỗ hổng phần mềm, bao gồm sửa chữa các lỗ hổng đã biết một cách nhanh chóng theo chính sách bảo trì vá kịp thời cho hệ điều hành và các ứng dụng và thực hiện các bước giảm thiểu khác, nơi không thể áp dụng các bản vá.
  • Thực hiện bảo mật dựa trên máy chủ thích hợp để bảo vệ các hệ thống chống lại việc tấn công và phát tán mã độc.
  • Giảm thiểu các dịch vụ có sẵn và kiểm soát kết nối bằng cách loại bỏ hoặc vô hiệu hóa tất cả các cổng và dịch vụ không cần thiết cũng như xóa các tài khoản không cần thiết khỏi các hệ thống.
  • Bật ghi nhật ký hệ thống để cải thiện khả năng phát hiện và xác định các hành vi bất thường, thực hiện giám sát hệ thống và hỗ trợ phản hồi sự cố và phân tích pháp y của các hệ thống bị xâm nhập.
  • Cẩn thận kiểm soát và quản lý các đặc quyền được gán cho người dùng và quản trị viên. Cung cấp mức độ hợp lý (nhưng tối thiểu) các đặc quyền và quyền của hệ thống cần thiết cho vai trò của họ.
  • Sử dụng các cơ chế xác thực mạnh (ví dụ: xác thực đa yếu tố) nếu có thể để bảo vệ khỏi truy cập trái phép.
  • Thiết kế các dịch vụ web để chúng được bảo vệ khỏi các lỗ hổng bảo mật phổ biến như SQLinjection và các dịch vụ khác được mô tả trong các ấn phẩm được sử dụng rộng rãi như Dự án bảo mật ứng dụng Web mở (OWASP) Top 10 .

(Theo SSLstore)

bình luận

Leave a Comment