Sertifikat DigiCert yang digunakan oleh situs web Pengadilan Banding AS berakhir pada 5 Januari 2019 dan belum diperpanjang. Situs ini berisi tautan ke sistem pengarsipan dokumen dan PACER (sistem akses publik ke catatan elektronik yudisial)Menurut sebuah
studi Netcraft, lusinan situs pemerintah AS menjadi tidak aman atau tidak dapat diakses selama penutupan federal yang sedang berlangsung. Diantaranya adalah portal pembayaran penting dan layanan akses jarak jauh yang digunakan oleh NASA, Departemen Kehakiman AS dan Pengadilan Banding.
Sekitar 400.000 karyawan federal saat ini sedang cuti paksa. Oleh karena itu, tidak terlalu mengejutkan bahwa tidak ada yang peduli untuk memperbarui lebih dari 80 sertifikat TLS di situs pemerintah di zona .gov. Situasi ini diperparah oleh kenyataan bahwa beberapa situs yang ditinggalkan ini menjadi tidak dapat diakses karena kebijakan keamanan HSTS yang ketat yang diterapkan sebelum penutupan.
Salah satu contohnya adalah
https://ows2.usdoj.gov , situs web Departemen Kehakiman AS. Sertifikatnya kedaluwarsa satu minggu sebelum penutupan. Sertifikat tersebut ditandatangani oleh Otoritas Sertifikat GoDaddy yang tepercaya, tetapi belum diperbarui sejak berakhir pada 17 Desember 2018.
Semua subdomain Departemen Kehakiman AS dilindungi oleh kebijakan HSTS. Dikombinasikan dengan sertifikat TLS yang kadaluwarsa, saat ini mencegah pengguna dari mengabaikan peringatan dan masuk ke situs.Domain usdoj.gov dan semua subdomainnya termasuk dalam
daftar preload Chromium HSTS . Ini adalah tindakan keamanan yang masuk akal yang memaksa browser modern untuk hanya menggunakan protokol yang dienkripsi dan aman ketika mengakses situs web Kementerian Kehakiman. Pada saat yang sama, akses diblokir ketika sertifikat kedaluwarsa ditemukan. Dalam kasus ini, peramban modern, seperti Google Chrome dan Mozilla Firefox, sengaja menyembunyikan opsi lanjutan yang akan memungkinkan pengguna untuk memintas peringatan dan pergi ke situs.
Menyadari situasi yang menyedihkan, para pakar Netcraft percaya bahwa masih di antara kegunaan dan keamanan, Anda harus memilih yang kedua, jika Anda tidak bisa mendapatkan keduanya. Jika pengguna memiliki kesempatan untuk mengabaikan peringatan seperti itu, mereka akan menjadi rentan terhadap serangan seperti MiTM, yang dirancang untuk menangani sertifikat TLS.
Namun, kebijakan HSTS yang benar dikonfigurasi hanya pada beberapa situs .gov. Mereka muncul dalam daftar preload HSTS, dan sisanya mencoba mengatur kebijakan melalui header HTTP Strict-Transport-Security. Kebijakan semacam itu tidak akan dijalankan dengan sertifikat yang kadaluwarsa, itu hanya berlaku jika pengguna telah mengunjungi situs sebelumnya.
Dengan demikian, di sebagian besar situs yang terkena dampak, peringatan keamanan akan ditampilkan bahwa pengguna dapat mem-bypass, tulis Netcraft: "Ini menciptakan beberapa masalah keamanan, karena pengguna lebih cenderung mengabaikan peringatan keamanan ini dan menjadi rentan terhadap serangan seperti MiTM."
Situs NASA ini masih menggunakan sertifikat kadaluwarsa, tetapi domainnya tidak ada dalam daftar awal HSTS. Dengan demikian, pengguna dapat mengabaikan peringatan browser dan pergi ke situsMisalnya, domain
https://rockettest.nasa.gov/ tidak termasuk dalam daftar preload HSTS, dan sertifikat kedaluwarsa pada 5 Januari 2019.
Contoh lain menggambarkan potensi bahaya mengabaikan peringatan keamanan browser. Sertifikat situs Berkeley Lab
https://d2l.lbl.gov kedaluwarsa pada 8 Januari 2019 (meskipun Berkeley Lab tidak terpengaruh oleh penutupan) dan belum diganti. Karena tidak ada kebijakan HSTS yang efektif, pengguna dapat mengabaikan peringatan browser dan masuk ke formulir login. Dalam contoh ini, mengklik di sebelah bilah alamat browser akan dengan jelas menyarankan pengguna untuk tidak meninggalkan informasi rahasia pada halaman.
Penutupan pemerintah disebabkan oleh posisi kedua belah pihak yang keras kepala di panggung politik Amerika. Presiden Donald Trump tidak mau berkompromi dengan Meksiko, dan Demokrat menolak untuk menyetujui anggaran sebesar $ 5,7 miliar untuk membangun tembok itu. Jika shutdown berlangsung dan karyawan federal tetap berlibur, dalam waktu dekat bahkan lebih banyak situs pemerintah mungkin tidak tersedia karena sertifikat TLS yang kedaluwarsa.