V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
YiPeng0505
V2EX  ›  问与答

gov 网站安全证书问题

  •  
  •   YiPeng0505 · 99 天前 · 1009 次点击
    这是一个创建于 99 天前的主题,其中的信息可能已经有所发展或是发生改变。

    网络小白,我发现访问很多 gov 网站的时候,网址栏都会显示不安全,然后查了一下谷歌帮助,是因为没有使用 https (超文本传输安全协议)而是使用了 http (超文本传输协议),也就说没有使用 SSL 数字证书(不知道可不可以这么理解)。

    那么这样不是会导致很多安全问题吗,因为我查到HTTP 协议无法加密数据,所有通信数据都在网络中明文“裸奔”,这是导致数据泄露、数据篡改、流量劫持、钓鱼攻击等安全问题的重要原因。而 HTTPS 是用来解决 HTTP 明文协议的缺陷,在 HTTP 的基础上加入 SSL/TLS 协议,依靠 SSL 证书来验证服务器的身份,为客户端和服务器端之间建立“SSL”通道,确保数据运输安全,我的博客都申请了个证书加上了,是 gov 网站没有这方面的需求吗还是其他原因? 谢谢大家

    14 条回复    2022-05-11 23:49:16 +08:00
    Osk
        1
    Osk  
       99 天前
    毕竟一般来说, 谁头铁敢去搞这一类网站呢...
    dcsuibian
        2
    dcsuibian  
       99 天前
    敢那么干真的是吃了雄心豹子胆了
    ZE3kr
        3
    ZE3kr  
       99 天前 via iPhone
    肯定有需求
    PMR
        4
    PMR  
       99 天前
    上这个玩意得另外加钱 多数开发 /运维公司 上百万 1 年的费用还不包含 还需续费定期更新边缘 certificate 区别个人随便找个免费就行
    就算漏洞满天飞 敢动的人较少

    HTTPS 主要是防止宽带运营商在中间做劫持 3 大运营商就算劫持域名也将 cngov 的加入 whitelist

    过去某地运营商在流量中注入广告 js 没做 whitelist
    用户投诉甩锅到网站 被干到工信部去
    iyaozhen
        5
    iyaozhen  
       99 天前
    之前维护过学校的网站

    其实也没啥,就是没更新了,还能用。就像你自己的业务为什么不上 http/2 甚至 http/3 呢,数据库为什么不主从灾备呢。没特殊的理由,就是没重构,没弄。
    sky96111
        6
    sky96111  
       99 天前 via Android
    因为 ISP 、路由器制造商和 gov 自身都不会或者不敢对此类域名进行劫持。加上 gov 网页以信息展示为主,大多不需要登录,也不必担心传输泄漏用户数据,所以选择了省钱且不用续期证书的 HTTP
    lostberryzz
        7
    lostberryzz  
       99 天前
    登陆界面一般还是有 https 的,单纯信息公告不需要
    mercury233
        8
    mercury233  
       99 天前
    我觉得主要问题是中国没有靠谱的根证书机构了,网站的可信性不能依赖外国机构
    WebKit
        9
    WebKit  
       99 天前 via Android
    因为不需要啊。
    weeiy
        10
    weeiy  
       98 天前
    GOV 有个监控系统,监控相关的域名,甚至是同名(仿名)网站,如果被扫描到就会下发并通报,让当地“网管”去解决,如果网站有结构变动(如改地址,改用途)还得打申请进行注销(如果使用属性未及时申报也会被通报)然后重新申请注册,不然就要通报当地管理部门,再说个冷知识较多当地网站 /官方公众号都是小职员在管理,账号、密码都记在记事本 OR 个人微信里面。
    AoEiuV020CN
        11
    AoEiuV020CN  
       98 天前
    > HTTP 协议无法加密数据
    不要被唬了,https 流行前大家都 http 难道都裸奔?
    http 本身不提供加密也可以自己封装加密处理重要数据的,安全性也未必就比 https 差,
    反而 https 受限于颁发机构,等于把自己的一部分安全寄托在别人手上了,
    Damn
        12
    Damn  
       98 天前
    只要你肉身还在 GOV 的势力范围内,你动动试试?
    Zy143L
        13
    Zy143L  
       98 天前 via Android
    首先 回有铁头娃去搞 gov 网站?或者 js 插广告?
    其次..gov 网站多数都是政务公开 并没有什么隐私交互
    YiPeng0505
        14
    YiPeng0505  
    OP
       98 天前 via iPhone
    @Osk 也是哈🤦‍♂️🤦‍♂️
    @weeiy 😮我靠 还能这样
    @AoEiuV020CN 我确实没想到这个方面,受教了
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1650 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 17:28 · PVG 01:28 · LAX 10:28 · JFK 13:28
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.