Tên miền .Gov của Hoa Kỳ để tải trước HSTS để bảo mật tối đa

Các trang web của chính phủ Hoa Kỳ đang thực hiện một bước quan trọng khác để trở nên an toàn hơn sau khi có thông báo rằng tất cả các TLD .gov sẽ được thay đổi để thực thi tải trước HSTS.

Chương trình DotGov đã đưa ra thông báo vào Chủ nhật, nói rằng tất cả các miền .gov mới sẽ được tự động tải trước từ ngày 1 tháng 9 năm 2020. Quá trình chuyển đổi các miền lịch sử sẽ mất nhiều thời gian hơn.

Tiêu chuẩn HSTS đảm bảo trình duyệt của người dùng luôn thực thi kết nối HTTPS với trang web, bao gồm cả việc ngăn người dùng nhấp qua nếu tên miền có lỗi chứng chỉ.

“Tuy nhiên, để người dùng tận dụng HSTS, trình duyệt của họ phải nhìn thấy tiêu đề HSTS trên một trang web ít nhất một lần. Điều này có nghĩa là người dùng không được bảo vệ cho đến  sau  lần kết nối an toàn thành công đầu tiên của họ với một miền nhất định, điều này  có thể không xảy ra trong một số trường hợp nhất định , ”DotGov viết.

“Để giải quyết vấn đề này, một miền có thể được gửi đến  danh sách tải trước HSTS , danh sách các miền được nhúng vào trình duyệt tự động bật HSTS,  ngay cả trong lần truy cập đầu tiên . Các miền tải trước bảo vệ toàn bộ ‘không gian tên’ của chúng, bao gồm tất cả các miền phụ hiện tại hoặc tiềm năng. ”

Mặc dù TLD .gov mới sẽ được tải trước tự động từ tháng 9, nhưng các TLD hiện có sẽ mất nhiều thời gian hơn để chuyển đổi. Nếu tính năng tải trước được bật vào ngày hôm nay, những ứng dụng hiện không cung cấp HTTPS sẽ không thể truy cập được đối với người dùng, DotGov cảnh báo.

Tổ chức này đang hợp tác với Cơ quan An ninh mạng và Cơ sở hạ tầng của Bộ An ninh Nội địa (CISA) để đảm bảo các chủ sở hữu miền .gov đã sẵn sàng cho việc di chuyển, nhưng cho biết sẽ mất một thời gian.

“Thực ra tải trước là một bước đơn giản, nhưng để đạt được điều đó sẽ đòi hỏi nỗ lực phối hợp giữa các tổ chức chính phủ liên bang, tiểu bang, địa phương và bộ lạc sử dụng một nguồn tài nguyên chung, nhưng không thường xuyên làm việc cùng nhau trong lĩnh vực này,” nó giải thích.

“Với nỗ lực phối hợp, chúng tôi có thể tải trước .gov trong vòng vài năm”. Tất cả các cơ quan chính phủ Hoa Kỳ được cho là đã làm cho trang web của họ có thể truy cập thông qua HTTPS chỉ thông qua HSTS vào cuối năm 2016.

>>> Xem thêm: Cơ chế bảo mật HSTS là gì? HSTS hoạt động như thế nào?

Leave a Comment