Wraz z post臋puj膮cym zamkni臋ciem rz膮du USA wiele certyfikat贸w TLS wygasa, co powoduje, 偶e witryny s膮 niedost臋pne

Wraz z post臋puj膮cym zamkni臋ciem rz膮du USA wiele certyfikat贸w TLS wygasa, co powoduje, 偶e witryny s膮 niedost臋pne

Po zamkni臋ciu rz膮du USA w trzecim tygodniu prezydent Trump nadal pr贸buje przekona膰 zar贸wno swoj膮 parti臋, jak i Demokrat贸w, aby zgodzili si臋 sfinansowa膰 jedn膮 z jego obietnic wyborczych – mur na po艂udniowej granicy.

Jak dot膮d zamkni臋cie spowodowa艂o, 偶e parki narodowe i wi臋cej pozosta艂o bez personelu, a dzi艣 jest pierwsz膮 wyp艂at膮, w kt贸rej setki tysi臋cy pracownik贸w federalnych nie otrzyma wyp艂aty. Innym efektem ubocznym zamkni臋cia jest to, 偶e wiele rz膮dowych witryn internetowych jest w trybie offline, poniewa偶 ich certyfikaty TLS wygas艂y i nikt nie jest w stanie ich odnowi膰.

Zobacz te偶:

W艣r贸d agencji, kt贸rych witryny dotyczy problem, s膮 NASA, Departament Sprawiedliwo艣ci Stan贸w Zjednoczonych i S膮d Apelacyjny. W sumie oko艂o 80 lub wi臋cej certyfikat贸w TLS wygas艂o, co wed艂ug Netcraft sprawi艂o, 偶e wiele witryn jest niedost臋pnych dla opinii publicznej.

Problem dotyczy dziesi膮tek certyfikat贸w zwi膮zanych z domenami .gov, a brak ich odnowienia oznacza, 偶e 鈥嬧媜dwiedzaj膮cy – w zale偶no艣ci od u偶ywanej przez nich przegl膮darki – mog膮 by膰 ca艂kowicie zablokowani w dost臋pie do witryn lub mog膮 zosta膰 spe艂nieni przez komunikaty bezpiecze艅stwa ostrzegaj膮ce o odwiedzanie niezabezpieczonej, potencjalnie niebezpiecznej witryny.

Jak zauwa偶y艂 ZDNet:

Rz膮dowe strony internetowe spadaj膮 jak muchy, a nikt nie jest pod r臋k膮, aby odnowi膰 certyfikaty TLS.

Witryny z wygas艂ymi certyfikatami, w kt贸rych administratorzy post臋powali zgodnie z odpowiednimi procedurami i zaimplementowali poprawnie dzia艂aj膮ce zasady HSTS (HTTP Strict Transport Security), nie dzia艂aj膮 na sta艂e, a u偶ytkownicy nie mog膮 uzyska膰 dost臋pu do tych portali, nawet w celu przegl膮dania podstawowych informacji.

Witryny rz膮dowe z wygas艂ymi certyfikatami TLS, kt贸re nie zaimplementowa艂y HSTS, pokazuj膮 b艂膮d HTTPS w przegl膮darkach u偶ytkownik贸w, ale ten b艂膮d mo偶na omin膮膰, aby uzyska膰 dost臋p do witryny przez HTTP.

Niemniej jednak odwiedzaj膮cy s膮 ostrzegani, aby nie logowa膰 si臋 ani nie wykonywa膰 偶adnych poufnych operacji w tych witrynach, poniewa偶 dane uwierzytelniaj膮ce ruchu i uwierzytelniania nie s膮 szyfrowane i mog膮 zosta膰 przechwycone przez podmioty stwarzaj膮ce zagro偶enie.

Nie jest jasne, kiedy certyfikaty zostan膮 odnowione, a je艣li zamkni臋cie nie dobiegnie wkr贸tce ko艅ca, prawdopodobnie b臋dziemy widzie膰 wi臋cej problem贸w z innymi witrynami rz膮dowymi.

Kredyt obrazu: Orhan Cam / Shutterstock