小说,yy玄幻小说排行榜完本,完美的世界 1993 电影

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案

HTTPS-Only標(biāo)準(zhǔn)：美政府網(wǎng)站將使用HTTPS加密

美國(guó)政府發(fā)布一項(xiàng)計(jì)劃，HTTPS將成為公共網(wǎng)站聯(lián)邦安全標(biāo)準(zhǔn)，其目標(biāo)是到2016年12月31日，讓美國(guó)聯(lián)邦政府所有網(wǎng)站都使用HTTPS加密。

創(chuàng)新互聯(lián)建站是一家專(zhuān)注于網(wǎng)站設(shè)計(jì)制作、網(wǎng)站設(shè)計(jì)與策劃設(shè)計(jì),惠民網(wǎng)站建設(shè)哪家好?創(chuàng)新互聯(lián)建站做網(wǎng)站,專(zhuān)注于網(wǎng)站建設(shè)10年,網(wǎng)設(shè)計(jì)領(lǐng)域的專(zhuān)業(yè)建站公司;建站業(yè)務(wù)涵蓋:惠民等地區(qū)?；菝褡鼍W(wǎng)站價(jià)格咨詢(xún):18980820575

美國(guó)人民希望政府網(wǎng)站是安全的，并且他們?cè)谶@些網(wǎng)站的訪(fǎng)問(wèn)是作為隱私被保護(hù)的。HTTPS協(xié)議用當(dāng)今的因特網(wǎng)技術(shù)為公共網(wǎng)絡(luò)連接提供了最強(qiáng)的隱私保護(hù)。HTTPS的使用降低了用戶(hù)在使用政府在線(xiàn)服務(wù)時(shí)被截獲和被修改的風(fēng)險(xiǎn)。

這個(gè)建議的動(dòng)機(jī)，"HTTPS-only標(biāo)準(zhǔn)"，會(huì)要求所有可公開(kāi)訪(fǎng)問(wèn)的聯(lián)邦網(wǎng)站和網(wǎng)絡(luò)服務(wù)使用HTTPS。

目標(biāo)

所有可公開(kāi)訪(fǎng)問(wèn)的聯(lián)邦網(wǎng)站和web服務(wù)[1]只通過(guò)一個(gè)安全的連接提供服務(wù)。目前公共網(wǎng)絡(luò)連接可用的最強(qiáng)的隱私保護(hù)就是HTTPS協(xié)議。

背景

未被加密過(guò)的HTTP協(xié)議不能避免數(shù)據(jù)被截獲或者修改，會(huì)導(dǎo)致用戶(hù)竊聽(tīng)，追蹤以及修改收到的數(shù)據(jù)。許多商業(yè)組織已經(jīng)采用了HTTPS協(xié)議或者HTTPS-only政策來(lái)保護(hù)訪(fǎng)問(wèn)他們網(wǎng)站和服務(wù)的用戶(hù)。訪(fǎng)問(wèn)聯(lián)邦網(wǎng)站和服務(wù)的用戶(hù)也應(yīng)該有同樣的保護(hù)。

隱私和安全連接正在成為因特網(wǎng)的基準(zhǔn)，正如被因特網(wǎng)標(biāo)準(zhǔn)體的政策，流行的網(wǎng)絡(luò)瀏覽器，以及有實(shí)踐的因特網(wǎng)公司所證明的那樣。聯(lián)邦政府必須適應(yīng)這種變化，以及轉(zhuǎn)變的開(kāi)始的收益。聯(lián)邦級(jí)別主動(dòng)的投資會(huì)加快整個(gè)互聯(lián)網(wǎng)范圍的采納，以及為整個(gè)公眾瀏覽提升更好的隱私標(biāo)準(zhǔn)。

大部分的聯(lián)邦網(wǎng)站使用的HTTP協(xié)議作為主要的傳輸協(xié)議，用于公共網(wǎng)絡(luò)的通訊。沒(méi)有加密過(guò)的HTTP連接創(chuàng)建了一個(gè)隱私漏洞，并且暴露了沒(méi)有加密過(guò)的聯(lián)邦網(wǎng)站和服務(wù)的用戶(hù)的潛在的敏感信息。通過(guò)HTTP發(fā)送的數(shù)據(jù)很容易被竊取，修改以及模擬。這個(gè)數(shù)據(jù)包括瀏覽器識(shí)別，站點(diǎn)內(nèi)容，搜索條目，以及其他用戶(hù)提交的信息。

所有正在被瀏覽的活動(dòng)都應(yīng)該是隱私的和敏感的

HTTPS-only這條標(biāo)準(zhǔn)會(huì)消除不一致，主觀(guān)決定是依照于在通常情況下，哪些內(nèi)容或者瀏覽活動(dòng)是敏感的，以及創(chuàng)建一個(gè)更強(qiáng)大的政府范圍的隱私標(biāo)準(zhǔn)。

那些不使用HTTPS的聯(lián)邦網(wǎng)站，將無(wú)法與那些實(shí)踐了隱私和安全的商業(yè)組織，或者當(dāng)前以及即將到來(lái)的因特網(wǎng)標(biāo)準(zhǔn)保持同步。這會(huì)導(dǎo)致美國(guó)人在那些已知的威脅面前更加脆弱，這會(huì)降低對(duì)政府的信任。盡管一些聯(lián)邦站點(diǎn)目前使用HTTPS，但是在這個(gè)領(lǐng)域沒(méi)有一個(gè)統(tǒng)一的政策。這個(gè)被提議的HTTPS-only標(biāo)準(zhǔn)會(huì)提供給公眾一個(gè)一致的，隱私的瀏覽體驗(yàn)以及會(huì)將聯(lián)邦政府推到一個(gè)領(lǐng)導(dǎo)互聯(lián)網(wǎng)安全的高度。

百科：HTTPS

HTTPS 為連接的客戶(hù)端驗(yàn)證網(wǎng)站或Web服務(wù)的身份，并將幾乎所有在網(wǎng)站或服務(wù)和用戶(hù)之間發(fā)送的信息進(jìn)行加密。受保護(hù)的信息包括cookie，用戶(hù)代理信息，URL路徑，表單提交，查詢(xún)字符串參數(shù)。HTTPS 是為了防止在運(yùn)輸過(guò)程中這些信息被讀取或改變。

HTTPS 是在傳輸層安全(TLS)連接上使用 HTTP 協(xié)議。TLS 是一個(gè)網(wǎng)絡(luò)協(xié)議，建立一個(gè)與被驗(yàn)證過(guò)的對(duì)象在一個(gè)不安全的網(wǎng)絡(luò)中建立加密連接。

瀏覽器和其他 HTTPS 客戶(hù)端都是配置相信證書(shū)授權(quán)機(jī)構(gòu)[2]，這些機(jī)構(gòu)可以代表Web服務(wù)方發(fā)布加密簽名證書(shū)。這些證書(shū)會(huì)被發(fā)送到客戶(hù)端，在證書(shū)簽發(fā)的時(shí)候，Web服務(wù)的主機(jī)會(huì)向證書(shū)授權(quán)機(jī)構(gòu)證明自己的屬主身份。這可以避免未知的或不可信的網(wǎng)站偽裝成一個(gè)聯(lián)邦網(wǎng)站或服務(wù)。

HTTPS 不做什么

HTTPS有一些重要的限制。

目的地IP地址和域名在傳輸?shù)臅r(shí)候是不加密的。即使加密過(guò)的流量也可以間接地透露一些信息，如在網(wǎng)站停留的時(shí)間，所請(qǐng)求的資源或提交的信息大小。

HTTPS可以保證兩個(gè)系統(tǒng)連接之間的完整性，而不是系統(tǒng)本身。它不是設(shè)計(jì)用來(lái)保護(hù)Web服務(wù)器免受黑客攻擊或侵害，或防止Web服務(wù)暴露其用戶(hù)信息。同樣，如果用戶(hù)的系統(tǒng)是被攻擊者侵害了，這個(gè)系統(tǒng)會(huì)被修改，之后的HTTPS連接都是在攻擊者的控制之下。被侵害的或惡意的證書(shū)授權(quán)機(jī)構(gòu)同樣會(huì)削弱或者減少HTTP的保護(hù)。

挑戰(zhàn)與思考

網(wǎng)站性能：雖然加密會(huì)添加一些計(jì)算開(kāi)銷(xiāo)，但是對(duì)現(xiàn)代的軟件和硬件服務(wù)器的性能或延遲并無(wú)實(shí)質(zhì)性影響。內(nèi)容傳輸網(wǎng)絡(luò)或服務(wù)器軟件支持SPDY或HTTP/2協(xié)議(一些大的瀏覽器要求HTTP2)的網(wǎng)站，可能發(fā)現(xiàn)他們網(wǎng)站的性能在遷移到HTTPS后有了很大的提升。

域名指示：當(dāng)使用于多域名時(shí)，擴(kuò)展于TLS的域名指示允許更高效的使用IP地址。然而，這些技術(shù)不為舊的客戶(hù)端所支持。Web服務(wù)的所有者應(yīng)評(píng)估采用這種技術(shù)的可行性來(lái)提高性能和效率。

混合內(nèi)容：通過(guò)HTTPS提供服務(wù)的網(wǎng)站，需要確保所有外部資源(圖片、腳本、字體等)也是以安全鏈接載入的?，F(xiàn)代瀏覽器會(huì)拒絕從一個(gè)安全網(wǎng)站引用非安全的資源。當(dāng)遷移現(xiàn)有的網(wǎng)站的時(shí)候，對(duì)非安全資源的更新、替換或者移除引用，會(huì)牽涉到自動(dòng)的和手動(dòng)的(額外)付出。對(duì)有些網(wǎng)站來(lái)說(shuō)，這可能是遷移網(wǎng)站最耗時(shí)的步驟。

API和服務(wù)：Web服務(wù)主要還是為非瀏覽器客戶(hù)端提供服務(wù)的，比如那些Web API，它需要一種更為漸進(jìn)和手動(dòng)的遷移策略，因?yàn)椴皇撬械目蛻?hù)端都可以被假設(shè)為為HTTPS鏈接作好了配置，或者可以成功地執(zhí)行重定向的。

規(guī)劃變更：協(xié)議和Web標(biāo)準(zhǔn)定期改進(jìn)以及安全漏洞的出現(xiàn)，都需要及時(shí)關(guān)注。聯(lián)邦網(wǎng)站和服務(wù)應(yīng)以允許快速更新配置和更換證書(shū)的方式來(lái)部署 HTTPS。

嚴(yán)格的傳輸安全：支持 HTTPS 的網(wǎng)站和服務(wù)必須開(kāi)啟 HTTP 嚴(yán)格傳輸安全(HSTS)來(lái)控制標(biāo)準(zhǔn)的瀏覽器一直使用 HTTPS 協(xié)議。這減少了不安全的重定向，并保護(hù)用戶(hù)阻止那些試圖將當(dāng)前的連接降為簡(jiǎn)單 HTTP 連接的企圖。一旦HSTS啟用，域名可以提交到一個(gè)被所有主要瀏覽器使用的"預(yù)載列表"的來(lái)確保 HSTS 策略在任何時(shí)間生效。

域名系統(tǒng)安全協(xié)議(DNSSEC)：這個(gè)建議不撤銷(xiāo) M-08-23 或與之沖突，M-08-23 是"保護(hù)聯(lián)邦政府的域名系統(tǒng)基礎(chǔ)設(shè)施"。一旦 DNS 解析完成，DNSSEC 并不保證客戶(hù)和目的 IP 之間通信的保密性或完整性。HTTPS 提供這種額外的安全。

有成本效率的實(shí)施

實(shí)施一個(gè)HTTPS唯一標(biāo)準(zhǔn)必須付出代價(jià)。大量的聯(lián)邦網(wǎng)站已經(jīng)部署了HTTPS。該方案的目標(biāo)是為了推廣這種應(yīng)用。

聯(lián)邦政府網(wǎng)站采用統(tǒng)一的 HTTPS 需要有管理和財(cái)政負(fù)擔(dān)，這包括開(kāi)發(fā)時(shí)間，獲得證書(shū)的財(cái)務(wù)成本，長(zhǎng)期的維護(hù)費(fèi)用。開(kāi)發(fā)的成本是跟一個(gè)網(wǎng)站的規(guī)模和技術(shù)基礎(chǔ)設(shè)施緊密相關(guān)。建議的合規(guī)時(shí)間表給項(xiàng)目規(guī)劃和資源準(zhǔn)備提供了足夠的靈活性。

對(duì)美國(guó)公眾實(shí)際的好處還是大于納稅人所承擔(dān)的花費(fèi)的。即使存在很少的自稱(chēng)是聯(lián)邦服務(wù)的非官方或惡意網(wǎng)站，或是對(duì)美國(guó)政府官方網(wǎng)站的通信的少量監(jiān)聽(tīng)也會(huì)對(duì)公民產(chǎn)生重大損失。

https.cio.gov提供的技術(shù)支持將會(huì)幫助這個(gè)擬議標(biāo)準(zhǔn)節(jié)約而高效地實(shí)現(xiàn)。

原則

為了提升HTTPS部署的效率和效果，所遵從的這個(gè)建議時(shí)間表不僅要合理而且要切實(shí)可行。這個(gè)提議要求代理機(jī)構(gòu)遵守下述指導(dǎo)下，在聯(lián)邦域名下部署HTTPS：

1.所有在聯(lián)邦代理域或子域下的新開(kāi)發(fā)的網(wǎng)站和服務(wù)必須即刻遵守這個(gè)政策

2.對(duì)于當(dāng)前的網(wǎng)站和服務(wù)，代理機(jī)構(gòu)必須基于風(fēng)險(xiǎn)分析優(yōu)先部署。涉及到個(gè)人身份信息交互的，本質(zhì)上特別敏感的或需經(jīng)高級(jí)別保密通信的 Web 服務(wù)需優(yōu)先部署HTTPS

3.代理機(jī)構(gòu)必須在2年內(nèi)可通過(guò)安全連接(HTTPS Only)訪(fǎng)問(wèn)到目前所有的網(wǎng)站和服務(wù)

4.鼓勵(lì)但不強(qiáng)制企業(yè)內(nèi)部網(wǎng)內(nèi)使用 HTTPS

總之，HTTPS-Only 標(biāo)準(zhǔn)將會(huì)提高用戶(hù)信息的傳輸安全，為客戶(hù)提供有意義的隱私保護(hù)。

技術(shù)支持

請(qǐng)使用 https.cio.gov 獲得技術(shù)支持，并在此標(biāo)準(zhǔn)實(shí)施的幫助下獲得最佳體驗(yàn)。

請(qǐng)為這個(gè)建議和技術(shù)支持材料提供您寶貴的反饋和建議，或者通過(guò) email 至 [email protected] 參與評(píng)論

腳注

[1] 提供公開(kāi)訪(fǎng)問(wèn)的網(wǎng)站和服務(wù)，在這里被定義成全部或者分成幾個(gè)部分為聯(lián)邦政府所維護(hù)的可在因特網(wǎng)上基于HTTP或者HTTPS可用的在線(xiàn)資源或者服務(wù)，并且由一個(gè)代理機(jī)構(gòu)、承包商或者其他組織機(jī)構(gòu)的代表進(jìn)行操作. 他們會(huì)向公眾或者一個(gè)特定的用戶(hù)組展示政府信息或者提供服務(wù)，并支撐起一個(gè)機(jī)構(gòu)任務(wù)的性能. 這一個(gè)定義包含了所有的web交互，不管訪(fǎng)問(wèn)者是已經(jīng)登錄了還是匿名的。

[2] 在web上的HTTPS協(xié)議環(huán)境下，證書(shū)頒發(fā)機(jī)構(gòu)是受到瀏覽器和操作系統(tǒng)信任的第三方機(jī)構(gòu)或者公司，向域名擁有人分發(fā)數(shù)字證書(shū)。

[3] 將HTTP連接只用于重定向客戶(hù)端到HTTPS連接，這種做法是可以接受并且受到鼓勵(lì)的。 HSTS 消息頭應(yīng)該之一定義至少一年的時(shí)限(max-age)。

[4] "Intranet" 在這里被定義成一個(gè)不能直接被公眾互聯(lián)網(wǎng)訪(fǎng)問(wèn)到的計(jì)算機(jī)網(wǎng)絡(luò)。

網(wǎng)頁(yè)標(biāo)題：HTTPS-Only標(biāo)準(zhǔn)：美政府網(wǎng)站將使用HTTPS加密
標(biāo)題鏈接：http://m.fisionsoft.com.cn/article/coioedj.html

新聞中心

其他資訊