自去年12月22日起,因美國參議院未能通過包含美墨築牆的臨時支出法案,美國總統川普(Donald Trump)則拒絕簽署不含美墨築牆經費的臨時支出法案,美國政府因預算不足而關閉部份政府機構或服務,估計已有1/4的政府機構關門,80萬名員工被停薪。資安業者Netcraft則發出警告,美國政府所設立的.gov網站至少有逾80個TLS憑證已經失效,可能招來中間人(man-in-the-middle,MITM)攻擊。

美國政府旗下的聯邦網站一向都採用HTTP+TLS憑證以提供HTTPS加密通訊服務,然而,美國參議院與川普之間的歧義造成政府機構的預算不足,直到1月13日已持續停擺24天,創下美國史上最高紀錄,連到期的TLS憑證都無法續約。

Netcraft在1月10日指出,至少有超過80個美國政府網站的TLS憑證已經過期,使用者造訪這些網站時,將會造成兩種結果,一是面臨無法存取的窘況,二為網頁上會跳出安全警告,但仍允許使用者以未加密的HTTP協定連結。

Netcraft的網路安全顧問Paul Mutton說明,前者是因某些政府網站被納入了Chromium的HSTS預載名單中,HSTS為HTTP的強制安全傳輸技術(HTTP Strict Transport Security),當網站採用HSTS策略時,瀏覽器即會強制使用HTTPS與網站通訊,假設網站不支援HTTPS,便會無法存取。

儘管HSTS會造成使用者無法造訪特定的政府網站,但Mutton更擔心的是後者可能引來的中間人攻擊。

原本啟用HSTS的美國政府網站並不多,但在Mutton發出警告之後,已有不少TLS憑證失效的美國政府網站加入HSTS的行列。

Mutton說,未來的幾天、幾周甚至是幾個月可能會有愈來愈多的憑證失效,將增加美國民眾造訪這些政府網站的風險。


Advertisement

更多 iThome相關內容