- การเปรียบเทียบ
- บทเรียน
- เว็บไซต์ของรัฐบาลสหรัฐฯ ได้รับประโยชน์จากการรักษาความปลอดภัย HTTPS ที่ปรับปรุงแล้ว
โปรแกรม DotGov ของรัฐบาลสหรัฐฯ ประกาศว่าเว็บไซต์ .gov ใหม่จะสามารถเข้าถึงได้ผ่าน HTTPS เท่านั้น และจะโหลดโดยอัตโนมัติตั้งแต่วันที่ 1 กันยายน 2020
โปรแกรมนี้ได้รับการดูแลโดย US General Services Administration (GSA) ซึ่งดูแลโดเมนระดับบนสุด .gov (TLD) GSA ยังให้บริการโดเมน .gov แก่องค์กรภาครัฐที่ตั้งอยู่ในสหรัฐอเมริกา ตั้งแต่หน่วยงานรัฐบาลกลางไปจนถึงเทศบาลท้องถิ่น
ในประกาศบนเว็บไซต์ โปรแกรม DotGov อธิบายเหตุผลในการตัดสินใจโหลดโดเมน .gov ล่วงหน้า โดยกล่าวว่า:
"เราเชื่อว่าประโยชน์ด้านความปลอดภัยของการโหลดล่วงหน้ามีความสำคัญและจำเป็นต่อการตอบสนองความคาดหวังสาธารณะในเรื่องความปลอดภัยในบริการ .gov" เราเชื่อว่าเว็บไซต์ของรัฐบาลควรมีความปลอดภัยเสมอ "
กำลังโหลด .gov TLD . ล่วงหน้า
หลังจากเปลี่ยนจาก HTTP เป็น HTTPS เว็บไซต์ของรัฐบาลสหรัฐฯ จะรักษาความปลอดภัยการเชื่อมต่อของผู้เยี่ยมชมโดยใช้ TLS (Transport Layer Security) วิธีนี้จะเข้ารหัสข้อมูลทั้งหมดที่แลกเปลี่ยนและปกป้องผู้ใช้จากการโจมตีแบบแทรกกลาง
แม้ว่า DotGov จะโหลด .gov TLD ล่วงหน้าในเดือนกันยายนของปีนี้ แต่จะไม่ถูกส่งไปยังรายการโหลดล่วงหน้า HTTP Strict Transport Security (HSTS) จนกว่าจะถึงวันถัดไป เนื่องจากจะทำให้ไซต์ของรัฐบาลที่ใช้ HTTPS ไม่สามารถเข้าถึงได้ในปัจจุบัน
HSTS คือคำสั่งเว็บเซิร์ฟเวอร์ที่สั่งให้เว็บเบราว์เซอร์เชื่อมต่อโดยใช้การเชื่อมต่อ HTTPS ที่ปลอดภัยเท่านั้น เว็บเบราว์เซอร์รวบรวมรายการโหลดล่วงหน้า HSTS ซึ่งมีชื่อของไซต์ที่รู้จักทั้งหมดเพื่อรองรับการเชื่อมต่อที่ปลอดภัย เพื่อให้เบราว์เซอร์ไม่เชื่อมต่อกับไซต์เหล่านั้นโดยใช้โปรโตคอลที่ไม่ปลอดภัย
ในบล็อกโพสต์ โปรแกรม DotGov ให้ข้อมูลเพิ่มเติมเกี่ยวกับสิ่งที่โหลดล่วงหน้า .gov TLD โดยกล่าวว่า:
"ในความเป็นจริง การโหลดล่วงหน้าเป็นขั้นตอนง่ายๆ แต่การจะไปถึงที่นั่นได้นั้นต้องใช้ความพยายามร่วมกันระหว่างองค์กรของรัฐบาลกลาง รัฐ ท้องถิ่น และชนเผ่าที่ใช้ทรัพยากรร่วมกัน แต่มักจะไม่ได้ทำงานร่วมกันในด้านนี้ เราสามารถโหลด .gov ล่วงหน้าได้ ในอีกไม่กี่ปีข้างหน้า”
หากต้องการโหลด .gov TLD ล่วงหน้า โปรแกรม DotGov กำลังทำงานร่วมกับ Cybersecurity and Infrastructure Security Agency (CISA) เพื่อให้แน่ใจว่าเจ้าของโดเมน .gov พร้อมที่จะโหลดโดเมนของตนล่วงหน้าในอนาคต ตั้งแต่วันที่ 1 กันยายนเป็นต้นไป โดเมน .gov ใหม่ทั้งหมดจะถูกโหลดล่วงหน้าโดยอัตโนมัติ เพื่อให้โปรแกรมมุ่งเน้นไปที่การเปลี่ยนโดเมนเก่าที่ไม่ใช่โดเมนใหม่เป็น HTTPS
ผ่านทาง BleepingComputer