Hlavní navigace

Domény v .GOV budou mít povinně HTTPS, vynutí to prohlížeče

Petr Krčmář

Provozovatel americké vládní domény .GOV se rozhodl učinit další krok k zabezpečení obsahu na vládních webech: všechny nové domény v .GOV budou muset povinně nasazovat HTTPS. Vynucovat to budou nové verze prohlížečů.

HTTPS se šíří internetem, ať chcete nebo ne. Tlačí jej tvůrci prohlížečů, velké firmy, ale i některé vládní organizace. Bílý dům od června 2015 požaduje, aby nové veřejně dostupné federální služby na svých webech používaly šifrované připojení. Do konce loňského roku mělo také dojít k migraci všech služeb na HTTPS.

Nezávislá vládní agentura General Services Administration (GSA) na svém webu uvádí, že 70 % domén ve vládní doméně prvního řádu .GOV už HTTPS používá. Na webu jsou k dispozici podrobné dokumenty vysvětlující výhody HTTPS a popisující správné nasazení i výsledný stav. Bez zajímavosti není ani fakt, že správně nasazené HTTPS v tomto případě znamená i zapojení HSTS.

Čtěte dále: Bezpečnější šifrování HTTPS s hlavičkami HSTS a HPKP

GSA uvádí, že v .GOV se v tuto chvíli nachází přibližně 1000 domén druhého řádu a dalších 26 000 subdomén. Doménu zde může získat jen vládní organizace, stát, město a další subjekty. Vše podrobně vysvětlují oficiální pravidla, v každém případě není možné subdoménu získat veřejně.

Růst nasazení HTTPS v .GOV

Letos má přijít další krok: nové domény a subdomény v .GOV budou muset povinně zavést i HTTPS včetně HSTS. O vynucení pravidel se postarají moderní prohlížeče, které budou po těchto webech požadovat platný certifikát a nedovolí uživateli tuto ochranu překonat.

Jakmile totiž bude nová doména registrována, GSA ji automaticky přidá na seznam domén v HSTS preloadu. Tvůrci prohlížečů tyto seznamy zahrnují do aktualizací a prohlížeče pak u daných domén nedovolují vůbec použití HTTP. Pokud je adresa zadána v jednoduchém tvaru bez protokolu, prohlížeč se sám postará o její přepsání na https://. To výrazně zvyšuje zabezpečení webu, protože to znemožňuje útok typu HTTPS stripping, kdy by útočník po cestě zamlčel HTTP přesměrování a nechal uživatele dále používat nešifrovanou variantu.

GSA chce nový postup zavést během letošního léta, přidané domény se tak k uživatelům dostanou pravděpodobně někdy na podzim. Všichni provozovatelé dotčených domén o tom mají být informováni nejméně 30 dnů předem. Provozovatelé těchto služeb pak budou muset co nejdříve zajistit dostupnost po HTTPS, jinak nebude většina uživatelů schopna web navštívit. Žádné další kroky nejsou podle GSA nutné.

Organizace ale upozorňuje na fakt, že HSTS zasáhne i subdomény, takže pokud je na nich provozován intranet podporující pouze HTTP, bude změnou ovlivněn. Takové systémy je tedy možné přesunout na privátní domény, ale GSA výrazně nedoporučuje používat HTTP ani na intranetové služby.

Zajímavé je také to, jak se zveřejněná doporučení staví k certifikátům. GSA doporučuje používat ty nejlevnější DV certifikáty, které jsou dnes dostupné zdarma. Vyšší stupeň certifikátu prý nepřináší žádnou rozšířenou bezpečnost a DV certifikáty jsou pro vládní weby naprosto v pořádku. Navíc obvykle umožňují automatické nasazení, což je považováno za významnou výhodu.

Je také doporučováno co nejdříve nahradit zastaralé certifikáty s SHA-1 a pokud možno zajistit automatickou obnovu certifikátů. Dokument také zmiňuje dobu platnosti certifikátu, přičemž čím kratší, tím bezpečnější, neboť je možné rychleji řešit případný incident a únik privátního klíče.

Našli jste v článku chybu?
24. 1. 2017 18:33
lojzak (neregistrovaný)

"Negramotnej Jirsák" to myslel jako vtip. Všichni, kromě "jéčka", pochopili.

Pane Jirsák, příště nezapomeň za ironické a nebo sarkastické komentáře napsat "bazinga", aby to došlo všem.

24. 1. 2017 10:45

Z hlediska doménové hierarchie ano, z hlediska HTTPS rozhodně ne. Třeba autority mají seznamy domén, pro které nevystavují certifkáty nebo mají speciální režim a je pro ně potřeba extra ověření. Stejně tak třeba prohlížeče distribuují zvláštní revokační seznamy certifikátů pro vybrané domény, které jsou zajímavější než jiné a podobně. Tady rovnost rozhodně neplatí. Pokud HSTS přeroste, je možné, že se prostě ten seznam nějak redukuje a dostanou se do něj třeba jen nějaké top weby z Alexa nebo po…