2016年,我们问自己:有多少联邦政府网站支持HTTPS?我们发现你准备好了吗?实际上-85个站点中有2个(换言之:两个,Karl!)。正式-支持32个站点,即。在服务器上启用了HTTPS,但随后一切都取决于俄罗斯的传统:SSL证书已过期,自签名甚至来自另一个站点,HTTPS连接会自动切换为HTTP或重定向到站点的管理面板,Web服务器容易受到ROBOT,POODLE等攻击只能通过SSL和其他狂欢的方式来破坏HTTPS连接。
因此,即使按照我们适度的标准-有效的SSL证书,对TLS 1.2的支持以及拒绝使用易受攻击或不可靠的加密算法(例如DH和RC4)-实际上,只有两个站点支持HTTPS(请记住,在接受调查的85个站点中)。
今天,我们再次提出了同样的问题,尽管稍微提高了标准,但事实证明情况要好得多:可以认为82个站点中的27个确实支持HTTPS,另外23个站点有条件地支持HTTPS。从某种意义上说,有条件地在一定程度上取决于客户端:在某种程度上取决于客户端配置的浏览器的当前版本,HTTPS由句柄指示-连接受保护,它们没有提供以上任何内容-取决于。
另外8个站点仅模仿对HTTPS的支持(同样草率):自签名(检测办公室)和曲线(国防部和FADN)SSL证书,易受攻击的密码套件(经济发展部),在某些地方他们仍然没有听说过软件更新和Web。服务器在网络上闪耀着友好的标语“我们有机器人和杂物!” (建设部,Rosreestr,Rosfinmonitoring和Rosnedra)。
剩下的24个站点,从总统站点开始到CEC站点,都做得更加轻松:没有HTTPS,没有问题。 SVR-为什么我们需要安全的连接? FSB-通过HTTP报告恐怖袭击的准备情况! FSO-我们也没什么可隐瞒的。当然,我们不确定,但显然存在某种逻辑:tea不是银行的网站,也不是某些VKontagtag,您可以在没有安全连接的情况下进行操作。
总的来说,今天每年花费几千卢布的所有东西都提供了或多或少的像样的虚拟主机:来自Let's Encrypt的标准SSL证书,Web服务器的最新版本以及具有智能设置的密码库,大多数俄罗斯当局仍然尚不可用。但是,每个人都有某种具有适当状态和预算的从属GIVT ...