美国上诉法院网站使用的DigiCert证书已于2019年1月5日到期,尚未更新。 该站点包含文件归档系统和PACER(公众访问司法电子记录的系统)的链接根据Netcraft的
研究 ,在持续的联邦关闭期间,数十个美国政府站点变得不安全或无法访问。 其中包括重要的支付门户和NASA,美国司法部和上诉法院使用的远程访问服务。
目前约有40万名联邦雇员被迫休假。 因此,毫不奇怪,没有人愿意在.gov区域的政府站点上续签超过80个TLS证书。 由于在关闭之前实施了严格的HSTS安全策略,使得这些废弃站点中的一些变得无法访问,这使情况更加恶化。
一个示例是美国司法部网站
https://ows2.usdoj.gov 。 他的证书在关机前一周过期。 该证书由受信任的GoDaddy证书颁发机构签署,但自2018年12月17日到期以来尚未更新。
HSTS政策涵盖了美国司法部的所有子域。 与过期的TLS证书结合使用,当前可以防止用户忽略警告并登录到该站点。usdoj.gov域及其所有子域都包含在
HSTS Chromium预加载列表中 。 这是一项合理的安全措施,可迫使现代浏览器在访问司法部网站时仅使用安全的加密协议。 同时,当发现过期的证书时,访问将被阻止。 在这些情况下,现代浏览器(例如Google Chrome和Mozilla Firefox)会故意隐藏高级选项,该选项将允许用户绕过警告并转到网站。
Netcraft的专家们认识到了可怜的情况,认为仍然在可用性和安全性之间,如果不能同时兼顾,则应该选择第二个。 如果用户有机会忽略此类警告,则他们将容易受到诸如MiTM之类的攻击的攻击,该攻击旨在处理TLS证书。
但是,仅在少数.gov网站上配置了正确的HSTS策略。 它们出现在HSTS的预加载列表中,其余的尝试通过Strict-Transport-Security HTTP标头设置策略。 此类策略将不会使用过期的证书执行;仅当用户之前已经访问过站点时,此策略才有效。
因此,在大多数受影响的站点上,将显示一个用户可以绕过的安全警告,并写到Netcraft:“这会带来一些安全问题,因为用户更有可能忽略这些安全警告并容易受到MiTM之类的攻击。”
该NASA站点仍使用过期的证书,但是该域不在HSTS的初步列表中。 因此,用户可以忽略浏览器警告并转到站点例如,域
https://rockettest.nasa.gov/未包含在HSTS预加载列表中,并且证书于2019年1月5日到期。
另一个示例说明了忽略浏览器安全警告的潜在危险。 伯克利实验室站点证书
https://d2l.lbl.gov于2019年1月8日到期(尽管伯克利实验室不受关闭影响),尚未替换。 由于没有有效的HSTS策略,因此用户可以忽略浏览器警告并转到登录表单。 在此示例中,单击浏览器地址栏旁边的将明确建议用户不要在页面上保留任何机密信息。
政府关闭是由于双方在美国政治舞台上的顽固立场。 唐纳德·特朗普总统不想在与墨西哥的隔离墙上进行妥协,民主党拒绝批准建造隔离墙的57亿美元预算。 如果关闭持续进行且联邦雇员仍在休假,则由于TLS证书过期,在不久的将来甚至可能无法使用更多的政府站点。