انتهت صلاحية شهادة DigiCert التي يستخدمها موقع محكمة الاستئناف الأمريكية في 5 يناير 2019 ولم يتم تجديدها. يحتوي الموقع على روابط إلى نظام حفظ المستندات و PACER (نظام وصول الجمهور إلى السجلات الإلكترونية القضائية)وفقًا
لدراسة أجرتها Netcraft ، أصبحت عشرات المواقع الحكومية الأمريكية إما غير آمنة أو يتعذر الوصول إليها أثناء الإغلاق الفيدرالي المستمر. من بينها بوابات الدفع الهامة وخدمات الوصول عن بعد التي تستخدمها وكالة ناسا ووزارة العدل الأمريكية ومحكمة الاستئناف.
حوالي 400000 موظف فيدرالي حاليًا في إجازة قسرية. لذلك ، ليس من المستغرب أن لا أحد يكلف نفسه عناء تجديد أكثر من 80 شهادة TLS على المواقع الحكومية في منطقة .gov. يتفاقم الوضع بسبب عدم إمكانية الوصول إلى بعض هذه المواقع المهجورة بسبب السياسة الأمنية الصارمة لـ HSTS التي تم تنفيذها قبل الإغلاق.
ومن الأمثلة على ذلك
https://ows2.usdoj.gov ، موقع وزارة العدل الأمريكية. انتهت شهادته قبل أسبوع من الإغلاق. تم التوقيع على الشهادة من قبل هيئة شهادات GoDaddy موثوقة ، ولكن لم يتم تحديثها منذ انتهاء صلاحيتها في 17 ديسمبر 2018.
جميع المجالات الفرعية التابعة لوزارة العدل الأمريكية مشمولة بسياسة HSTS. بالإضافة إلى شهادة TLS منتهية الصلاحية ، فإن هذا يمنع المستخدمين في الوقت الحالي من تجاهل التحذيرات وتسجيل الدخول إلى الموقع.يتم تضمين نطاق usdoj.gov وجميع نطاقاته الفرعية في
قائمة التحميل المسبق HSTS Chromium . هذا تدبير أمني معقول يفرض على المتصفحات الحديثة استخدام البروتوكولات الآمنة المشفرة فقط عند الوصول إلى مواقع وزارة العدل. في الوقت نفسه ، يتم حظر الوصول عند اكتشاف شهادة منتهية الصلاحية. في هذه الحالات ، تخفي المتصفحات الحديثة ، مثل Google Chrome و Mozilla Firefox ، عن قصد خيارًا متقدمًا يتيح للمستخدم تجاوز التحذير والانتقال إلى الموقع.
إدراكًا للوضع المثير للشفقة ، يعتقد خبراء Netcraft أنه ما زال بين قابلية الاستخدام والأمان ، يجب عليك اختيار الثاني ، إذا لم تتمكن من الحصول على كليهما. إذا أتيحت للمستخدمين الفرصة لتجاهل مثل هذه التحذيرات ، فسيصبحون عرضة لهجمات مثل MiTM ، والتي صممت شهادات TLS للتعامل معها.
ومع ذلك ، يتم تكوين سياسة HSTS الصحيحة على عدد قليل من مواقع .gov فقط. تظهر في قائمة التحميل المسبق HSTS ، ويحاول الباقي تعيين السياسة من خلال رأس HTTP Strict-Transport-Security. لن يتم تنفيذ هذه السياسة بشهادة منتهية الصلاحية ؛ فهي نافذة فقط إذا كان المستخدم قد زار مواقع بالفعل من قبل.
وبالتالي ، في معظم المواقع المتأثرة ، سيتم عرض تحذير أمان يمكن للمستخدم تجاوزه ، يكتب Netcraft: "هذا يخلق بعض مشاكل الأمان ، لأن المستخدمين أكثر عرضة لتجاهل هذه التحذيرات الأمنية ويصبحون عرضة لهجمات مثل MiTM."
لا يزال موقع ناسا يستخدم شهادة منتهية الصلاحية ، لكن المجال ليس مدرجًا في القائمة الأولية لـ HSTS. وبالتالي ، يمكن للمستخدمين تجاهل تحذيرات المتصفح والانتقال إلى الموقععلى سبيل المثال ، لا
يتم تضمين المجال
https://rockettest.nasa.gov/ في قائمة التحميل المسبق لـ HSTS ، وتنتهي صلاحية الشهادة في 5 يناير 2019.
مثال آخر يوضح الخطر المحتمل لتجاهل تحذيرات أمان المتصفح. انتهت صلاحية شهادة موقع بيركلي لاب
https://d2l.lbl.gov في 8 يناير 2019 (على الرغم من أن بيركلي لاب لا يتأثر بالإغلاق) ولم يتم استبداله بعد. نظرًا لعدم وجود سياسة HSTS فعالة ، يمكن للمستخدمين تجاهل تحذيرات المتصفح والانتقال إلى نموذج تسجيل الدخول. في هذا المثال ، سيؤدي النقر بجوار شريط عنوان المتصفح إلى نصح المستخدم صراحة بعدم ترك أي معلومات سرية على الصفحة.
كان إغلاق الحكومة بسبب الموقف العنيد للجانبين على الساحة السياسية الأمريكية. لا يريد الرئيس دونالد ترامب حل وسط مع المكسيك ، ويرفض الديمقراطيون الموافقة على ميزانية تبلغ 5.7 مليار دولار لبناء الجدار. إذا استمر الإغلاق وظل الموظفون الفيدراليون في إجازة ، فقد لا يتوفر المزيد من المواقع الحكومية في المستقبل القريب بسبب شهادات TLS منتهية الصلاحية.