Việc đóng cửa chính phủ Mỹ tiếp tục xảy ra, và ngày càng nhiều trang web của chính phủ Mỹ đang bị dừng hoạt động.
Hiện tại, hàng chục trang web của chính phủ Hoa Kỳ không thể truy cập được do việc chứng chỉ SSL hết hạn. Điều này đã ảnh hưởng đến các cơ quan như NASA, Bộ Tư pháp Hoa Kỳ và Tòa án phúc thẩm và bao gồm các cổng thanh toán của chính phủ và các dịch vụ truy cập từ xa.
Hơn 80 chứng chỉ SSL / TLS đã hết hạn trong hơn 21 ngày, việc hết hạn này đã diễn ra và điều đó chỉ bị làm trầm trọng thêm bởi thực tế một số trang web này nằm trong danh sách preload của HSTS, khiến chúng không thể truy cập được.
Vì vậy, hôm nay chúng ta sẽ nói về việc hết hạn chứng chỉ và con dao hai lưỡi là danh sách preload của HSTS.
Hãy phân tích nó ra.
Đây là những gì xảy ra khi chứng chỉ SSL / TLS của bạn hết hạn
Chúng tôi luôn nói về những gì xảy ra khi chứng chỉ SSL / TLS của bạn hết hạn . Chúng tôi đưa ra các ví dụ cấu hình cao như Ericsson , Equachus , LinkedIn , Cisco , bạn đặt tên cho nó. Hầu hết các trường hợp đó là kết quả của sơ suất hoặc giám sát.
Tuy nhiên, đây là kết quả trực tiếp của việc chính phủ Mỹ đóng cửa hiện tại.
Chúng tôi đã nói chuyện, vào đầu tuần này, về việc thảm khốc này sẽ diễn ra lâu dài như thế nào đối với bộ máy An ninh mạng của Hoa Kỳ . Đó là bởi vì, giống như việc đóng cửa năm 2013 đã làm với NSA, điều này sẽ ngăn cản điều tốt nhất và sáng nhất từ việc đảm nhận một công việc của chính phủ thay vì hướng đến khu vực tư nhân sinh lợi hơn nhiều.
Tuy nhiên, vẫn còn một số nhân viên đã ở lại để xử lý các chức năng thiết yếu trên cơ sở bắt buộc phải có để bảo vệ mạng. Rõ ràng, quản lý chứng chỉ không được coi là một chức năng thiết yếu, đó là lý do – theo Netcraft – hơn 80 chứng chỉ SSL / TLS đã hết hạn kể từ khi tắt máy.
Có thể hàng trăm ngàn nhân viên liên bang không được trả lương có thể không phải là những người duy nhất bị tổn thương. Khi ngày càng nhiều chứng chỉ được sử dụng bởi các trang web của chính phủ chắc chắn sẽ hết hạn trong những ngày, tuần tiếp theo – hoặc thậm chí là vài tháng – có thể có một số thực tế cơ hội làm suy yếu an ninh của tất cả công dân Hoa Kỳ.
Paul Mutton, Netcraft
Danh sách preload HSTS không giúp ích trong trường hợp này
Như bạn chắc chắn đã biết, HSTS hoặc HTTP Strict Transport Security, là một tiêu đề bảo mật buộc các trình duyệt chỉ thử các kết nối HTTPS. Hoặc nói cách khác, nó giúp loại bỏ khả năng mọi người thực hiện các kết nối HTTP không được mã hóa với trang web của bạn.
Thật không may, có một cửa sổ nhỏ bé nơi người dùng internet dễ bị tổn thương. Nó tồn tại trong lần truy cập đầu tiên vào một trang web nhất định, trước khi tiêu đề đã được tải xuống. Để đóng cửa sổ này, nhiều trang web, như Bộ Tư pháp, tự thêm vào danh sách tải trước của HSTS. Các trình duyệt biết chỉ thực hiện các kết nối HTTPS an toàn với bất kỳ trang web nào trong danh sách, ngay cả khi người dùng chưa bao giờ truy cập nó trước đó.
Bạn có lẽ có thể nhìn thấy nơi này đang xảy ra … ows2.usdoj.gov, là một trang web Bộ Tư Pháp với một / TLS SSL đã hết hạn vào ngày 17 tháng 12 . Nó đã không được đổi mới. Đó thực sự không phải là điều tồi tệ nhất trên thế giới và nó an toàn hơn nhiều so với việc tìm cách kết nối qua HTTP.
Trớ trêu thay, sự bất lực của chính phủ đã cứu một số trang web khỏi cạm bẫy của HSTS.
Tuy nhiên, chỉ một số trang web .gov bị ảnh hưởng triển khai các chính sách HSTS hoạt động chính xác . Chỉ một số ít các trang web xuất hiện trong danh sách tải trước HSTS và chỉ một phần nhỏ trong số còn lại cố gắng thiết lập chính sách thông qua tiêu đề HTTP Strict-Transport-Security – nhưng các chính sách sau sẽ không được tuân thủ khi chúng được phục vụ cùng với chứng chỉ hết hạn và do đó sẽ chỉ có hiệu lực nếu người dùng đã truy cập các trang web trước đó.
Do đó, hầu hết các trang web này sẽ chỉ hiển thị cảnh báo xen kẽ tiêu chuẩn thường đi kèm với chứng chỉ hết hạn. Một vài trang web thậm chí sẽ cho phép bạn truy cập các trang đăng nhập của họ thông qua HTTP nếu bạn nhấp qua kết nối.
Rõ ràng, đừng làm điều đó.