美国政府网站HTTPS-Only标准值得借鉴
发布日期:2015-06-12
美国白宫6月8日下午发布的官方文件,“HTTPS-Only”将成为公共网站联邦安全标准。该标准早在今年3月份就起草并征求公众意见。HTTPS-Only标准要求所有政府网站在2016年12月31日前完成全站https部署,以后不允许政府网站是使用http明文协议,为此还专门成立了有关团队负责,并制定了详细的部署技术规范。此举是为了保证政府网站信息安全、保护用户的隐私、保证政府网站不会假冒。
目前在国内,通过安装SSL证书实现HTTPS加密传输的网站,主要是涉及在线支付、资金安全的网站,但政府的对外网站很有必要效仿美国,全部实现HTTPS安全访问,也就是中国政府网站全站HTTPS-Only。政府网站虽然基本不涉及资金支付,但其与公民的隐私密切相关(如举报人的个人信息或在线提交的重要材料等),一旦出现泄密或篡改,将对政府的形象和公信力造成负面影响。
考虑到之前发生的棱镜门等国外监听计划,政府网站不仅要全站HTTPS,还应选择自主可控的国产SSL证书,不能使用国外SSL证书产品,防止加密流量被监听,防止国家重要民生数据被泄露。
由于SSL证书的特殊性,并不是所有国产CA机构都能签发SSL证书,只有通过国际WebTrust认证,才能签发受全球浏览器信任的SSL证书。沃通CA作为工信部许可的CA机构,是我国目前唯一可完全取代国外CA证书的合法CA机构!沃通SSL证书能完美兼容1999年以后的所有浏览器、服务器及移动终端,实现信息安全自主可控的同时,兼具良好的通用性,性能上可完全替代国外SSL证书产品。
沃通CA在中国市场占有率超过50%,已经为工业和信息化部、北京市地震局、湖北省国家税务局、深圳市社会保险基金管理局、深圳市住房公积金管理中心、深圳市道路交通管理中心、福建省经济信息中心等多个党政机关、事业单位提供国产SSL证书产品和服务。
希望我国的政府网站能尽快实现HTTPS的“全覆盖”, 这不仅体现了政府对信息安全和公民隐私保护的重视,更会对其他行业起到示范引导作用,让更多的网站安装SSL证书,保护公民的网络信息安全。
