Над 80 TLS сертификата не бяха продължени заради прекъсването работата на американското правителство

2
380

Уеб порталът Netcraft съобщи, че десетки държавни американски сайтове са станали недостъпни или небезопасни заради прекъсването работата на правителството на САЩ. Не работят важни платежни портали и онлайн услуги, които се използват от НАСА, министерството на правосъдието на САЩ и апелационният съд.

Около 400 000 федерални служители са в принудителен отпуск и никой не се сеща, че трябва да се продължат сроковете на действие на над 80 TLS сертификата на държавни уеб сайтове в .gov зоната. Ситуацията се задълбочава от това, че някои от тези сайтове станаха недостъпни поради строгата политика за HSTS безопасност, която бе въведена преди тези събития.

Един от примерите е https://ows2.usdoj.gov – уеб сайта на министерството на правосъдието на САЩ. Неговият сертификат изтече една седмица преди срива на държавните служби. Сертификатът бе подписан от центъра за сертифициране GoDaddy, но не е обновен след неговото изтичане на 17 декември миналата година.

Домейнът usdoj.gov и всички негови поддомейни са включени в списъка на HSTS Chromium. Това е разумна мярка за безопасност, която е причина всички съвременни браузъри да използват безопасни и криптирани протоколи за достъп до сайта на министерството на правосъдието. В подобни случаи браузърите, включително Google Chrome и Mozilla Firefox, нарочно скриват допълнителната опция, даваща възможност на потребителя да заобиколи предупреждението и да посети сайта.

Експертите по информационна безопасност на Netcraft считат, че ситуацията е плачевна, но са на мнение, че когато се налага избор между удобството и безопасността е по-добре да се избере безопасността, когато няма начин да се осигури и едно и другото. Ако потребителите имаха възможност да игнорират тези предупреждения, стават възможни атаките от типа MiTM, именно за борбата с които са предназначени TLS сертификатите.

Само че HSTS политиката правилно е настроена само при някои .gow сайтове. При останалите се показва опцията за игнориране на предупреждението. Според Netcraft, по този начин информационната безопасност рязко спада.

Така например, домейнът https://rockettest.nasa.gov/ не е включен в списъка на HSTS политиката, въпреки че неговият сертификат изтече на 5 януари тази година.

Друг пример нагледно демонстрира потенциалната опасност от игнориране предупрежденията на браузъра. Сертификатът на сайта на лабораторията в Бъркли https://d2l.lbl.gov изтече на 8 януари 2019 година и още не е подменен. Понеже липсва ефективна HSTS политика, потребителите могат да игнорират предупрежденията и да влязат в раздела за регистриране и логване. В този пример, ще се появи съобщение, че в тази уеб страница не бива да се въвежда каквато и да било конфиденциална информация.


Държавните служители на САЩ излязоха в принудителен отпуск поради упоритата и твърда позиция на американската политическа сцена. Президентът Доналд Тръмп не желае компромис по въпроса за строежа на стена на границата с Мексико, която е част от неговите предизборни обещания. А демократите не желаят да одобрят бюджета от $5,7 милиарда, необходими за издигане на стената.

2
ДОБАВИ КОМЕНТАР

avatar
2 Коментари
0 Отговори на коментарите
2 Последователи
 
Коментарът с най-много реакции
Най-горещият коментар
2 Автори на коментарите
👍🏾👳🏿‍♂️👩🏿‍💻👨‍👨‍👧‍👦🏳️‍🌈🇺🇳🇪🇺🌈RB3301 Автори на последните коментари
  Абонирай се  
нови стари оценка
Извести ме за
RB3301
RB3301

апелационният съд 😀

👍🏾👳🏿‍♂️👩🏿‍💻👨‍👨‍👧‍👦🏳️‍🌈🇺🇳🇪🇺🌈
👍🏾👳🏿‍♂️👩🏿‍💻👨‍👨‍👧‍👦🏳️‍🌈🇺🇳🇪🇺🌈

.gow сайтове?