美國政府發布一項計劃，HTTPS將成為公共網站聯邦安全標準，其目標是到2016年12月31日，讓美國聯邦政府所有網站都使用HTTPS加密。

美國人民希望政府網站是安全的，并且他們在這些網站的訪問是作為隱私被保護的。HTTPS協議用當今的因特網技術為公共網絡連接提供了最強的隱私保護。HTTPS的使用降低了用戶在使用政府在線服務時被截獲和被修改的風險。

這個建議的動機，"HTTPS-only標準"，會要求所有可公開訪問的聯邦網站和網絡服務使用HTTPS。

目標

所有可公開訪問的聯邦網站和web服務[1]只通過一個安全的連接提供服務。目前公共網絡連接可用的最強的隱私保護就是HTTPS協議。

背景

未被加密過的HTTP協議不能避免數據被截獲或者修改，會導致用戶竊聽，追蹤以及修改收到的數據。許多商業組織已經采用了HTTPS協議或者HTTPS-only政策來保護訪問他們網站和服務的用戶。訪問聯邦網站和服務的用戶也應該有同樣的保護。

隱私和安全連接正在成為因特網的基準，正如被因特網標準體的政策，流行的網絡瀏覽器，以及有實踐的因特網公司所證明的那樣。聯邦政府必須適應這種變化，以及轉變的開始的收益。聯邦級別主動的投資會加快整個互聯網范圍的采納，以及為整個公眾瀏覽提升更好的隱私標準。

大部分的聯邦網站使用的HTTP協議作為主要的傳輸協議，用于公共網絡的通訊。沒有加密過的HTTP連接創建了一個隱私漏洞，并且暴露了沒有加密過的聯邦網站和服務的用戶的潛在的敏感信息。通過HTTP發送的數據很容易被竊取，修改以及模擬。這個數據包括瀏覽器識別，站點內容，搜索條目，以及其他用戶提交的信息。

所有正在被瀏覽的活動都應該是隱私的和敏感的

HTTPS-only這條標準會消除不一致，主觀決定是依照于在通常情況下，哪些內容或者瀏覽活動是敏感的，以及創建一個更強大的政府范圍的隱私標準。

那些不使用HTTPS的聯邦網站，將無法與那些實踐了隱私和安全的商業組織，或者當前以及即將到來的因特網標準保持同步。這會導致美國人在那些已知的威脅面前更加脆弱，這會降低對政府的信任。盡管一些聯邦站點目前使用HTTPS，但是在這個領域沒有一個統一的政策。這個被提議的HTTPS-only標準會提供給公眾一個一致的，隱私的瀏覽體驗以及會將聯邦政府推到一個領導互聯網安全的高度。

百科：HTTPS

HTTPS 為連接的客戶端驗證網站或Web服務的身份，并將幾乎所有在網站或服務和用戶之間發送的信息進行加密。受保護的信息包括cookie，用戶代理信息，URL路徑，表單提交，查詢字符串參數。HTTPS 是為了防止在運輸過程中這些信息被讀取或改變。

HTTPS 是在傳輸層安全(TLS)連接上使用 HTTP 協議。TLS 是一個網絡協議，建立一個與被驗證過的對象在一個不安全的網絡中建立加密連接。

瀏覽器和其他 HTTPS 客戶端都是配置相信證書授權機構[2]，這些機構可以代表Web服務方發布加密簽名證書。這些證書會被發送到客戶端，在證書簽發的時候，Web服務的主機會向證書授權機構證明自己的屬主身份。這可以避免未知的或不可信的網站偽裝成一個聯邦網站或服務。

HTTPS 不做什么

HTTPS有一些重要的限制。

目的地IP地址和域名在傳輸的時候是不加密的。即使加密過的流量也可以間接地透露一些信息，如在網站停留的時間，所請求的資源或提交的信息大小。

HTTPS可以保證兩個系統連接之間的完整性，而不是系統本身。它不是設計用來保護Web服務器免受黑客攻擊或侵害，或防止Web服務暴露其用戶信息。同樣，如果用戶的系統是被攻擊者侵害了，這個系統會被修改，之后的HTTPS連接都是在攻擊者的控制之下。被侵害的或惡意的證書授權機構同樣會削弱或者減少HTTP的保護。

挑戰與思考

網站性能：雖然加密會添加一些計算開銷，但是對現代的軟件和硬件服務器的性能或延遲并無實質性影響。內容傳輸網絡或服務器軟件支持SPDY或HTTP/2協議(一些大的瀏覽器要求HTTP2)的網站，可能發現他們網站的性能在遷移到HTTPS后有了很大的提升。

域名指示：當使用于多域名時，擴展于TLS的域名指示允許更高效的使用IP地址。然而，這些技術不為舊的客戶端所支持。Web服務的所有者應評估采用這種技術的可行性來提高性能和效率。

混合內容：通過HTTPS提供服務的網站，需要確保所有外部資源(圖片、腳本、字體等)也是以安全鏈接載入的。現代瀏覽器會拒絕從一個安全網站引用非安全的資源。當遷移現有的網站的時候，對非安全資源的更新、替換或者移除引用，會牽涉到自動的和手動的(額外)付出。對有些網站來說，這可能是遷移網站最耗時的步驟。

API和服務：Web服務主要還是為非瀏覽器客戶端提供服務的，比如那些Web API，它需要一種更為漸進和手動的遷移策略，因為不是所有的客戶端都可以被假設為為HTTPS鏈接作好了配置，或者可以成功地執行重定向的。

規劃變更：協議和Web標準定期改進以及安全漏洞的出現，都需要及時關注。聯邦網站和服務應以允許快速更新配置和更換證書的方式來部署 HTTPS。

嚴格的傳輸安全：支持 HTTPS 的網站和服務必須開啟 HTTP 嚴格傳輸安全(HSTS)來控制標準的瀏覽器一直使用 HTTPS 協議。這減少了不安全的重定向，并保護用戶阻止那些試圖將當前的連接降為簡單 HTTP 連接的企圖。一旦HSTS啟用，域名可以提交到一個被所有主要瀏覽器使用的"預載列表"的來確保 HSTS 策略在任何時間生效。

域名系統安全協議(DNSSEC)：這個建議不撤銷 M-08-23 或與之沖突，M-08-23 是"保護聯邦政府的域名系統基礎設施"。一旦 DNS 解析完成，DNSSEC 并不保證客戶和目的 IP 之間通信的保密性或完整性。HTTPS 提供這種額外的安全。

有成本效率的實施

實施一個HTTPS唯一標準必須付出代價。大量的聯邦網站已經部署了HTTPS。該方案的目標是為了推廣這種應用。

聯邦政府網站采用統一的 HTTPS 需要有管理和財政負擔，這包括開發時間，獲得證書的財務成本，長期的維護費用。開發的成本是跟一個網站的規模和技術基礎設施緊密相關。建議的合規時間表給項目規劃和資源準備提供了足夠的靈活性。

對美國公眾實際的好處還是大于納稅人所承擔的花費的。即使存在很少的自稱是聯邦服務的非官方或惡意網站，或是對美國政府官方網站的通信的少量監聽也會對公民產生重大損失。

https.cio.gov提供的技術支持將會幫助這個擬議標準節約而高效地實現。

原則

為了提升HTTPS部署的效率和效果，所遵從的這個建議時間表不僅要合理而且要切實可行。這個提議要求代理機構遵守下述指導下，在聯邦域名下部署HTTPS：

1.所有在聯邦代理域或子域下的新開發的網站和服務必須即刻遵守這個政策

2.對于當前的網站和服務，代理機構必須基于風險分析優先部署。涉及到個人身份信息交互的，本質上特別敏感的或需經高級別保密通信的 Web 服務需優先部署HTTPS

3.代理機構必須在2年內可通過安全連接(HTTPS Only)訪問到目前所有的網站和服務

4.鼓勵但不強制企業內部網內使用 HTTPS

總之，HTTPS-Only 標準將會提高用戶信息的傳輸安全，為客戶提供有意義的隱私保護。

技術支持

請使用 https.cio.gov 獲得技術支持，并在此標準實施的幫助下獲得最佳體驗。

請為這個建議和技術支持材料提供您寶貴的反饋和建議，或者通過 email 至 [email protected] 參與評論

腳注

[1] 提供公開訪問的網站和服務，在這里被定義成全部或者分成幾個部分為聯邦政府所維護的可在因特網上基于HTTP或者HTTPS可用的在線資源或者服務，并且由一個代理機構、承包商或者其他組織機構的代表進行操作. 他們會向公眾或者一個特定的用戶組展示政府信息或者提供服務，并支撐起一個機構任務的性能. 這一個定義包含了所有的web交互，不管訪問者是已經登錄了還是匿名的。

[2] 在web上的HTTPS協議環境下，證書頒發機構是受到瀏覽器和操作系統信任的第三方機構或者公司，向域名擁有人分發數字證書。

[3] 將HTTP連接只用于重定向客戶端到HTTPS連接，這種做法是可以接受并且受到鼓勵的。 HSTS 消息頭應該之一定義至少一年的時限(max-age)。

[4] "Intranet" 在這里被定義成一個不能直接被公眾互聯網訪問到的計算機網絡。