要知道，HTTP協議是以明文方式發送內容，其不提供任何方式的數據加密，因此信息在傳送過程中很容易遭到截取，作為HTTP的安全版，HTTPS被廣泛的用于網絡上安全敏感的通訊，例如我們常見的在線支付方面。

“據英國政府發布官方聲明，從2016年10月1日起，英國所有的政府數字服務（GDS）網站就已被強制要求啟用HTTPS加密，所有服務都必須在郵件系統中部署基于域的消息身份驗證、報告和合規性（DMARC）策略。另外，美國政府也曾發布HTTPS-Only標準，要求所有政府網站在2016年底強制使用HTTPS。”

英美兩國為何先后發布強制HTTPS政策？HTTPS加密對政府網站安全到底有多么重要？對我國政府網站的HTTPS應用現狀有何啟示？

網絡安全形勢堪憂，英美政府強勢推HTTPS加密政策

國際互聯網安全形勢日益嚴峻，地下黑色產業鏈的成熟活躍，政府網站承載著各種公民隱私數據，成為黑客組織首要的攻擊目標。英美兩國政府都多次爆出重大的政府網站數據泄露事件，美國OPM(人事管理辦公室) 400萬聯邦雇員信息泄露、1.9億美國選民信息泄露以及近期英國國防部軍隊內部資料面臨泄露威脅等安全事件，都在向政府機構發出警示，政府機構數據安全正遭遇著前所未有的巨大威脅。

數據泄露的原因涉及多個方面，而由于數據未加密或安全協議不足等基礎防護問題導致的泄露事件為數眾多。如果基礎安全防護不到位，不管啟用多么昂貴的系統同樣不堪一擊。因此，2015年6月，美國政府出臺了HTTPS-Only標準，強制要求聯邦政府公共服務網站在2016年底啟用全站HTTPS加密連接。同年9月，英國政府通信總部也曾發布指南指導、建議使用HTTPS，當時并沒有強硬設置最后期限。然而，隨著政府數據安全事件愈演愈烈，英國政府近期再次發布最新安全指導細則要求所有政府網站在2016年10月之前實現強制HTTPS加密，比美國還要提前3個月實現政府網站全站HTTPS加密。

英美政府強制HTTPS政策的具體措施

英國政府對啟用HTTPS連接提出了細致的要求：

(1)使用HTTPS加密連接并設置HSTS保護

啟用HSTS(HTTP嚴格傳輸安全)保護，可以確保瀏覽器始終采用HTTPS連接網站服務，拒絕使用HTTP協議，避免降級攻擊。英國政府還計劃將service.gov.uk提交至瀏覽器廠商的HSTS預加載列表，換言之，所有當代主流瀏覽器只有通過HTTPS才能訪問政府服務。

(2)啟用DMARC協議進行電子郵件認證

英國政府還規定，使用DMARC協議進行電子郵件認證。DMARC策略將確保公民不會收到由騙子和釣魚者發出的假冒政府郵件。如果這一策略在2016年10月1日沒有執行，郵件可能會被外部電子郵件提供商拒絕。

美國政府啟用HTTPS-Only的原則：

(1)所有在聯邦代理域或子域下的新開發的網站和服務必須即刻遵守HTTPS-Only政策；

(2)涉及到個人身份信息交互的、本質上特別敏感的或需經高級別保密通信的 Web 服務需部署HTTPS；

(3)聯邦機構必須在2016年底內實現可通過安全連接（HTTPS Only）訪問到目前所有的網站和服務；

(4)鼓勵但不強制企業網站和系統也都使用 HTTPS。

我國政府網站的HTTPS應用現狀

目前我國政府網站的安全問題更加令人擔憂，隨著“互聯網+政務”的戰略提速，大部分電子政務業務都已經遷移到互聯網上，網上辦事變得方便快捷，但相應的安全建設卻沒有及時提上議程，政府門戶網站被篡改、網絡釣魚、敏感數據泄露等事件層出不窮。2015年爆發的超30省社保數據泄露的重大事件，造成數千萬用戶的個人身份證、社保參保信息、財務、薪酬、房屋等敏感信息泄露，引發公眾恐慌，嚴重影響政府網站公信力。

HTTPS加密作為網站基礎安全機制，在英美政府強制推動下得到廣泛普及，但在我國政府網站中普及率卻非常之低。CA針對已解析到Gov.cn的68029個政府網站進行了統計分析，結果顯示近90%的政府網站未部署SSL證書，4%的政府網站部署了非常不安全的自簽名證書，5.6%的政府網站證書已過期或無效，僅1.7%的政府網站部署了有效的SSL證書。

HTTPS加密對政府網站安全到底有多么重要？

HTTP是非常不安全的明文傳輸協議，不提供任何方式的數據加密，任何通過HTTP傳輸的數據都以明文形式在網絡中“裸奔”，無需攻擊或拖庫，就能輕松攔截到用戶敏感數據；而且HTTP無法驗證服務器身份的真實性，服務器返回的請求容易被篡改或者假冒，用戶根本無法察覺。HTTP協議的缺陷是導致政府網站數據泄露、拖庫、數據篡改、釣魚仿冒等安全隱患的重要原因。

使用HTTPS加密能夠確保用戶數據在傳輸過程中處于加密狀態，同時驗證服務器身份的真實性，防止網站被假冒、篡改，有效解決常見的數據泄露、數據篡改、流量劫持和釣魚欺詐等安全事件，確保用戶和政府網站進行信息交互時始終安全。

強制HTTPS加密，中國政府網站更需要！

網絡安全正在成為影響國家安全及其他領域發展和成敗的重要因素之一。為推動“互聯網+政務”戰略得到有力執行，加強政府網站安全建設，我國政府也應出臺強制HTTPS政策，要求政府網站啟用HTTPS加密，提升公民隱私數據的安全防護，重塑公民網上信心，讓公民信任政府網站提供的公共服務是安全的。