网络小白,我发现访问很多 gov 网站的时候,网址栏都会显示不安全,然后查了一下谷歌帮助,是因为没有使用 https (超文本传输安全协议)而是使用了 http (超文本传输协议),也就说没有使用 SSL 数字证书(不知道可不可以这么理解)。
那么这样不是会导致很多安全问题吗,因为我查到HTTP 协议无法加密数据,所有通信数据都在网络中明文“裸奔”,这是导致数据泄露、数据篡改、流量劫持、钓鱼攻击等安全问题的重要原因。而 HTTPS 是用来解决 HTTP 明文协议的缺陷,在 HTTP 的基础上加入 SSL/TLS 协议,依靠 SSL 证书来验证服务器的身份,为客户端和服务器端之间建立“SSL”通道,确保数据运输安全,我的博客都申请了个证书加上了,是 gov 网站没有这方面的需求吗还是其他原因? 谢谢大家
1
Osk 2022-05-10 23:09:54 +08:00
毕竟一般来说, 谁头铁敢去搞这一类网站呢...
|
2
dcsuibian 2022-05-10 23:11:47 +08:00
敢那么干真的是吃了雄心豹子胆了
|
3
ZE3kr 2022-05-10 23:17:32 +08:00 via iPhone
肯定有需求
|
4
PMR 2022-05-10 23:20:36 +08:00
上这个玩意得另外加钱 多数开发 /运维公司 上百万 1 年的费用还不包含 还需续费定期更新边缘 certificate 区别个人随便找个免费就行
就算漏洞满天飞 敢动的人较少 HTTPS 主要是防止宽带运营商在中间做劫持 3 大运营商就算劫持域名也将 cngov 的加入 whitelist 过去某地运营商在流量中注入广告 js 没做 whitelist 用户投诉甩锅到网站 被干到工信部去 |
5
iyaozhen 2022-05-10 23:24:48 +08:00
之前维护过学校的网站
其实也没啥,就是没更新了,还能用。就像你自己的业务为什么不上 http/2 甚至 http/3 呢,数据库为什么不主从灾备呢。没特殊的理由,就是没重构,没弄。 |
6
sky96111 2022-05-10 23:47:26 +08:00 via Android
因为 ISP 、路由器制造商和 gov 自身都不会或者不敢对此类域名进行劫持。加上 gov 网页以信息展示为主,大多不需要登录,也不必担心传输泄漏用户数据,所以选择了省钱且不用续期证书的 HTTP
|
7
lostberryzz 2022-05-10 23:48:44 +08:00
登陆界面一般还是有 https 的,单纯信息公告不需要
|
8
mercury233 2022-05-11 00:25:41 +08:00
我觉得主要问题是中国没有靠谱的根证书机构了,网站的可信性不能依赖外国机构
|
9
WebKit 2022-05-11 00:48:45 +08:00 via Android
因为不需要啊。
|
10
tLbf2p3UC4BM3H1N 2022-05-11 10:05:11 +08:00
GOV 有个监控系统,监控相关的域名,甚至是同名(仿名)网站,如果被扫描到就会下发并通报,让当地“网管”去解决,如果网站有结构变动(如改地址,改用途)还得打申请进行注销(如果使用属性未及时申报也会被通报)然后重新申请注册,不然就要通报当地管理部门,再说个冷知识较多当地网站 /官方公众号都是小职员在管理,账号、密码都记在记事本 OR 个人微信里面。
|
11
AoEiuV020CN 2022-05-11 12:28:17 +08:00
> HTTP 协议无法加密数据
不要被唬了,https 流行前大家都 http 难道都裸奔? http 本身不提供加密也可以自己封装加密处理重要数据的,安全性也未必就比 https 差, 反而 https 受限于颁发机构,等于把自己的一部分安全寄托在别人手上了, |
12
Damn 2022-05-11 12:46:55 +08:00
只要你肉身还在 GOV 的势力范围内,你动动试试?
|
13
Zy143L 2022-05-11 21:52:58 +08:00 via Android
首先 回有铁头娃去搞 gov 网站?或者 js 插广告?
其次..gov 网站多数都是政务公开 并没有什么隐私交互 |
14
YiPeng0505 OP |