V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
YiPeng0505
V2EX  ›  问与答

gov 网站安全证书问题

  •  
  •   YiPeng0505 · 2022-05-10 23:07:29 +08:00 · 1476 次点击
    这是一个创建于 749 天前的主题,其中的信息可能已经有所发展或是发生改变。

    网络小白,我发现访问很多 gov 网站的时候,网址栏都会显示不安全,然后查了一下谷歌帮助,是因为没有使用 https (超文本传输安全协议)而是使用了 http (超文本传输协议),也就说没有使用 SSL 数字证书(不知道可不可以这么理解)。

    那么这样不是会导致很多安全问题吗,因为我查到HTTP 协议无法加密数据,所有通信数据都在网络中明文“裸奔”,这是导致数据泄露、数据篡改、流量劫持、钓鱼攻击等安全问题的重要原因。而 HTTPS 是用来解决 HTTP 明文协议的缺陷,在 HTTP 的基础上加入 SSL/TLS 协议,依靠 SSL 证书来验证服务器的身份,为客户端和服务器端之间建立“SSL”通道,确保数据运输安全,我的博客都申请了个证书加上了,是 gov 网站没有这方面的需求吗还是其他原因? 谢谢大家

    14 条回复    2022-05-11 23:49:16 +08:00
    Osk
        1
    Osk  
       2022-05-10 23:09:54 +08:00
    毕竟一般来说, 谁头铁敢去搞这一类网站呢...
    dcsuibian
        2
    dcsuibian  
       2022-05-10 23:11:47 +08:00
    敢那么干真的是吃了雄心豹子胆了
    ZE3kr
        3
    ZE3kr  
       2022-05-10 23:17:32 +08:00 via iPhone
    肯定有需求
    PMR
        4
    PMR  
       2022-05-10 23:20:36 +08:00
    上这个玩意得另外加钱 多数开发 /运维公司 上百万 1 年的费用还不包含 还需续费定期更新边缘 certificate 区别个人随便找个免费就行
    就算漏洞满天飞 敢动的人较少

    HTTPS 主要是防止宽带运营商在中间做劫持 3 大运营商就算劫持域名也将 cngov 的加入 whitelist

    过去某地运营商在流量中注入广告 js 没做 whitelist
    用户投诉甩锅到网站 被干到工信部去
    iyaozhen
        5
    iyaozhen  
       2022-05-10 23:24:48 +08:00
    之前维护过学校的网站

    其实也没啥,就是没更新了,还能用。就像你自己的业务为什么不上 http/2 甚至 http/3 呢,数据库为什么不主从灾备呢。没特殊的理由,就是没重构,没弄。
    sky96111
        6
    sky96111  
       2022-05-10 23:47:26 +08:00 via Android
    因为 ISP 、路由器制造商和 gov 自身都不会或者不敢对此类域名进行劫持。加上 gov 网页以信息展示为主,大多不需要登录,也不必担心传输泄漏用户数据,所以选择了省钱且不用续期证书的 HTTP
    lostberryzz
        7
    lostberryzz  
       2022-05-10 23:48:44 +08:00
    登陆界面一般还是有 https 的,单纯信息公告不需要
    mercury233
        8
    mercury233  
       2022-05-11 00:25:41 +08:00
    我觉得主要问题是中国没有靠谱的根证书机构了,网站的可信性不能依赖外国机构
    WebKit
        9
    WebKit  
       2022-05-11 00:48:45 +08:00 via Android
    因为不需要啊。
    tLbf2p3UC4BM3H1N
        10
    tLbf2p3UC4BM3H1N  
       2022-05-11 10:05:11 +08:00
    GOV 有个监控系统,监控相关的域名,甚至是同名(仿名)网站,如果被扫描到就会下发并通报,让当地“网管”去解决,如果网站有结构变动(如改地址,改用途)还得打申请进行注销(如果使用属性未及时申报也会被通报)然后重新申请注册,不然就要通报当地管理部门,再说个冷知识较多当地网站 /官方公众号都是小职员在管理,账号、密码都记在记事本 OR 个人微信里面。
    AoEiuV020CN
        11
    AoEiuV020CN  
       2022-05-11 12:28:17 +08:00
    > HTTP 协议无法加密数据
    不要被唬了,https 流行前大家都 http 难道都裸奔?
    http 本身不提供加密也可以自己封装加密处理重要数据的,安全性也未必就比 https 差,
    反而 https 受限于颁发机构,等于把自己的一部分安全寄托在别人手上了,
    Damn
        12
    Damn  
       2022-05-11 12:46:55 +08:00
    只要你肉身还在 GOV 的势力范围内,你动动试试?
    Zy143L
        13
    Zy143L  
       2022-05-11 21:52:58 +08:00 via Android
    首先 回有铁头娃去搞 gov 网站?或者 js 插广告?
    其次..gov 网站多数都是政务公开 并没有什么隐私交互
    YiPeng0505
        14
    YiPeng0505  
    OP
       2022-05-11 23:49:16 +08:00 via iPhone
    @Osk 也是哈🤦‍♂️🤦‍♂️
    @weeiy 😮我靠 还能这样
    @AoEiuV020CN 我确实没想到这个方面,受教了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2790 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 14:24 · PVG 22:24 · LAX 07:24 · JFK 10:24
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.