O certificado DigiCert usado pelo site do Tribunal de Apelações dos EUA expirou em 5 de janeiro de 2019 e não foi renovado. O site contém links para o sistema de arquivamento de documentos e o PACER (sistema de acesso público a registros eletrônicos judiciais)Segundo um
estudo da Netcraft, dezenas de sites do governo dos EUA se tornaram inseguros ou inacessíveis durante o desligamento federal em andamento. Entre eles estão importantes portais de pagamento e serviços de acesso remoto usados pela NASA, pelo Departamento de Justiça dos EUA e pelo Tribunal de Apelação.
Atualmente, cerca de 400.000 funcionários federais estão em licença forçada. Portanto, não é de surpreender que ninguém se preocupasse em renovar mais de 80 certificados TLS em sites governamentais na zona .gov. A situação é agravada pelo fato de que alguns desses sites abandonados se tornaram inacessíveis devido à rígida política de segurança HSTS que foi implementada antes do desligamento.
Um exemplo é
https://ows2.usdoj.gov , o site do Departamento de Justiça dos EUA. Seu certificado expirou uma semana antes do encerramento. O certificado foi assinado por uma Autoridade de Certificação GoDaddy confiável, mas não foi atualizado desde seu vencimento em 17 de dezembro de 2018.
Todos os subdomínios do Departamento de Justiça dos EUA são cobertos pela política HSTS. Combinado com um certificado TLS expirado, atualmente impede que os usuários ignorem avisos e façam login no site.O domínio usdoj.gov e todos os seus subdomínios estão incluídos na
lista de pré-carregamento do HSTS Chromium . Essa é uma medida de segurança razoável que força os navegadores modernos a usar apenas protocolos criptografados e seguros ao acessar os sites do Ministério da Justiça. Ao mesmo tempo, o acesso é bloqueado quando um certificado expirado é descoberto. Nesses casos, navegadores modernos, como Google Chrome e Mozilla Firefox, ocultam intencionalmente uma opção avançada que permitirá ao usuário ignorar o aviso e acessar o site.
Reconhecendo a situação lamentável, os especialistas da Netcraft acreditam que ainda entre usabilidade e segurança, você deve escolher o segundo, se não conseguir os dois. Se os usuários tivessem a oportunidade de ignorar esses avisos, eles se tornariam vulneráveis a ataques como o MiTM, com o qual os certificados TLS foram projetados para lidar.
No entanto, a política correta do HSTS é configurada em apenas alguns sites .gov. Eles aparecem na lista de pré-carregamento do HSTS e o restante tenta definir a política por meio do cabeçalho HTTP Strict-Transport-Security. Essa política não será executada com um certificado expirado; só será efetiva se o usuário já tiver visitado sites antes.
Assim, na maioria dos sites afetados, um aviso de segurança será exibido, indicando que o usuário pode ignorar, escreve Netcraft: "Isso cria alguns problemas de segurança, porque os usuários têm mais probabilidade de ignorar esses avisos de segurança e ficar vulneráveis a ataques como o MiTM".
Este site da NASA ainda usa um certificado expirado, mas o domínio não está na lista preliminar de HSTS. Assim, os usuários podem ignorar os avisos do navegador e acessar o sitePor exemplo, o domínio
https://rockettest.nasa.gov/ não
está incluído na lista de pré-carregamento do HSTS e o certificado expirou em 5 de janeiro de 2019.
Outro exemplo ilustra o perigo potencial de ignorar os avisos de segurança do navegador. O certificado do site do Berkeley Lab
https://d2l.lbl.gov expirou em 8 de janeiro de 2019 (embora o Berkeley Lab não seja afetado pelo desligamento) e ainda não foi substituído. Como não existe uma política eficaz de HSTS, os usuários podem ignorar os avisos do navegador e acessar o formulário de login. Neste exemplo, clicar ao lado da barra de endereço do navegador explicitamente aconselhará o usuário a não deixar nenhuma informação confidencial na página.
A paralisação do governo ocorreu devido à posição obstinada dos dois lados no cenário político americano. O presidente Donald Trump não quer se comprometer com o México, e os democratas se recusam a aprovar um orçamento de 5,7 bilhões de dólares para construir o muro. Se o desligamento durar e os funcionários federais permanecerem em férias, em um futuro próximo, ainda mais sites governamentais poderão estar indisponíveis devido a certificados TLS expirados.