英国政府网站启用HTTPS HSTS DMARC安全保护

从10月1日开始，英国所有的政府服务网站都将需要确保他们使用HTTPS加密和HSTS保护，避免遭到降级攻击(某些攻击试图采用切换用户的方式去访问HTTP协议站点)。DMARC，是一种电子邮件认证协议也将被应用，以增强这些服务电子邮件的安全。

一年前，美国政府宣布，所有联邦网站必须在18个月内启用HTTPS加密。这是提高联邦机构的网站和系统安全这个大计划中的一部分，主要包括：重要数据泄露事件，例如：OPM(人事管理办公室)被黑客侵入。

原因在于不仅仅是联邦雇员的数据应该得到保护，而且访问联邦网站的人的数据也应该被保护。HTTPS加密可以保护自身的数据和隐私，也可以防止数据在传输过程中被攻击，或者通过恶意软件连接到政府的网站。

英国政府早在2012年就制定了关于政府服务网站启用HTTPS加密的计划，但更多的是一种鼓励，而不是一项义务。但现在在2016年10月最后期限前，所有服务经理必须将HTTPS应用于他们的网站。政府同时要求这些网站使用HSTS(HTTP严格传输安全)，它的一个安全特征是：当用户第一次访问网站时，会“ping”用户的浏览器强制HTTPS加密。然而，为了进一步确保他们一直连接HTTPS，今年九月，英国政府将提交service.gov.uk域名到浏览器厂商HSTS预装列表里。在2016年10月份这个最后期限后，所有服务网站在最新的浏览器访问时，如果是未加密的连接访问时会停止工作。

英国政府还规定，所有服务也会使用DMARC协议进行电子邮件认证。DMARC策略将确保邮件不会收到由骗子和钓鱼者发出的邮件。

所有的服务都应该发布DMARC策略并将其设置为最高级别，被称为“P =拒绝。“如果这一策略在2016年10月1日不能执行，邮件可能会被外部电子邮件提供商拒绝。如果服务管理者不能在最后期限之前完成策略，他们只能用一个临时策略“P =没有”来重载。

英国政府的目标是提高公民访问公共服务和他们的网站时的信任度。由于有了这些新的安全措施，比如说，当人们习惯性的在线访问公共网站时，可以相信他们自己的个人信息是安全的(尽管数据的存储安全是一个完整的不同的问题)。

本文由沃通CA翻译整理，文章地址：http://www.wosign.com/News/uk-32174.htm

引用链接：http://www.tomshardware.com/News/uk,32174.html

相关资讯：

英国所有的政府网站将默认启用HTTPS加密

英国政府建议公共服务网站启用全站HTTPS加密

美国正在推进政府网站采用HTTPS-Only标准

美国政府网站将强制实现全站HTTPS加密，值得我国政府借鉴

中国也需要HTTPS-Only标准