聯邦政府停擺 多個 gov 網站證書過期成安全隱憂

聯邦政府停擺 多個 gov 網站證書過期成安全隱憂

美國聯邦政府停擺已三星期,社會問題陸續浮現。最新揭發超過 80 個政府網站的 TLS 證書逾期未及更新,令網站缺乏可信保護,對網絡安全構成風險。

英國網絡安全公司 Netcraft 發現,美國政府旗下的 gov 網站域名 TLS 證書在停擺期間陸續失效。因為公務員停工和缺乏資金,未有及時更新證書。

例如太空總署火箭推進試驗網站( https://rockettest.nasa.gov )的證書在 1 月 5 日已過期。柏克萊國家實驗室旗下項目網站( https://d2l.lbl.gov/ )證書在 1 月 8 日過期,目前 DNS 無法解讀該網址。

雖然政府在去年 12 月 22 日開始停擺,不過司法部網站( https://ows2.usdoj.gov/ )的證書在此之前已過期。根據 Go Daddy 的登記,其實在去年 12 月 17 日就已失效。

網站證書過期, Safari、Chrome 和 Firefox 等會警告用戶,登入有一定安全風險。不過,用戶亦可繼續存取。證書失效之後,域名不再安全可靠,成為黑客一大機會。

太空總署火箭推進試驗網址的證書在 1 月 5 日已過期

柏克萊國家實驗室旗下項目網站證書過期,目前 DNS 無法解讀該網址。

司法部網站的證書在此之前已過期。