俄勒冈州民主党议员罗恩·威登(Ron Wyden)呼吁美国国防部更新公共网站的安全性能,使之符合21世纪的标准。
许多国防部公共网站都没有使用HTTPS加密——确保安全链接并能阻止中间人攻击的网页协议——威登希望国防部新任CIO达纳·德西(Dana Deasy)在接下来两个月内,将此事作为头等大事。
在周二写给德西的信中,威登表示,一小部分国防部的下属网站,如美国陆军、空军和美国国家安全局的官网主页默认使用受信任的凭证和HTTPS加密。但至于其他网站,如国防部自己的CIO网站,都没有使用HTTPS或发布基本的证书。
“许多主流浏览器不认为这些国防部证书是可信的,并且会向用户发布安全警告,导致用户在访问网站信息前需被迫进行网站导航,”威登写道。“这些挑战不仅影响了美国公民;在家中访问国防部网站的服务商们也会遭遇安全警告,从而必须在访问国防部公共资源时跳过错误警报。”
该议员表示,国防部在此事上是滞后的。一份来自行政管理和预算局2015年的备忘录设置了一项规定,要求所有网站在2016年年底时必须通过HTTPS和HSTS进行访问。HSTS是一项规定网站强制要求浏览器使用安全HTTPS协议的政策(因HTTP安全性较低而被弃用),2017年国防部安全再次颁布了一次指令重申预算局的规定。
威登称,此时对于五角大楼而言是保护网站的关键时机,因为,从七月开始,谷歌Chrome浏览器将会对所有通过HTTP协议链接的用户发出安全警告。
“这些警告将有损公众对于国防部的信任,会让公众质疑国防部防御复杂网络攻击的能力。更有甚者,国防部拒绝部署网络安全最佳实例其实也降低了公众的安全意识,因为这等于教育用户忽视重要的安全警告,”威登写道。
他希望德西发布能在7月20日前发布一项“行动计划”,指导所有五角大楼机构和办公室按照预算局和国土安全部发布的互联网安全指令完成部署。此外,威登表示,各个国防部机构和办公室应当为所有面向公众的网站和服务部署“主流浏览器信任的证书”,并对免费的“时效性短,机器生成的证书”使用情况进行评估。
本文由安全内参翻译自fedscoop
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
