首页>沃通新闻>英国政府建议公共服务网站启用全站HTTPS加密

英国政府建议公共服务网站启用全站HTTPS加密

英国政府通信总部的信息安全机构通讯电子安全小组(CESG),于2015年9月2日发布对外服务网站TLS(安全传输层协议)部署指南,建议并指导英国相关公共服务网站服务器部署SSL证书建立TLS加密连接,保障公共服务网站的用户数据传输安全。

与美国政府6月出台的HTTPS-Only标准相比,英国政府的这份指南更加偏重技术方面,虽然没有像美国政府一样提出强制部署HTTPS的要求并列出时间表,但是CESG此举同样体现了英国政府保护用户隐私、保证政府网站信息安全的期望。该指南建议公共服务部门的相关网站根据Qualys、谷歌和Mozilla的安全配置建议应用HTTPS加密连接,并提出对外服务的网站只使用HTTPS服务;将HTTP服务自动重定向到HTTPS加密服务;向可靠的证书颁发机构(CA)获取SSL证书;使用扩展验证型EV证书提升客户信心;为邮件服务器部署TLS连接等实用建议,还就如何向CA机构获取证书、如何部署测试提供了相关指南。

全站https加密

以前,政府公共服务系统仅在局域网内部运行,随着政府办公信息化进程的加快,政府相关服务逐步搬到线上,社保系统、户籍查询系统、疾控中心、医院等对外服务网站包含个人身份证、社保参保信息、财务、薪酬、房屋等大量个人敏感信息,与公民的隐私密切相关,相应的安全防护措施却没有跟上。目前,我国启用HTTPS服务的政府网站只占极少数,HTTPS加密作为网站最基本的安全防护措施,在我国政府网站中的部署率却不足10%,今年4月发生的30省千万用户社保数据泄露事件就显现出政府网站安全隐患的“冰山一角”。我国政府很有必要效仿欧美,出台相关政策要求政府对外服务网站加强网站安全防护,启用HTTPS加密服务,保证政府网站信息安全、保护公民隐私数据、保证政府网站不会被假冒。

为了防止加密流量被监听,防止国家重要民生数据被泄露,推荐部署最高安全级别的所有地址栏都绿色显示单位名称的EV SSL证书。沃通CA获工信部许可,是合法CA机构,沃通SSL证书能完美兼容1999年以后的所有浏览器、服务器及移动终端,目前已经为工业和信息化部、北京市地震局、湖北省国家税务局、深圳市社会保险基金管理局、深圳市住房公积金管理中心、深圳市道路交通管理中心、福建省经济信息中心等多个政府对外服务网站提供HTTPS加密和SSL认证服务,希望我国越来越多的政府网站加入全站HTTPS加密的行列。