|
Уеб порталът Netcraft съобщи, че десетки държавни американски сайтове са станали недостъпни или небезопасни заради прекъсването работата на правителството на САЩ. Не работят важни платежни портали и онлайн услуги, които се използват от НАСА, министерството на правосъдието на САЩ и апелационният съд. 
Около 400 000 федерални служители са в принудителен отпуск и никой не се сеща, че трябва да се продължат сроковете на действие на над 80 TLS сертификата на държавни уеб сайтове в .gov зоната. Ситуацията се задълбочава от това, че някои от тези сайтове станаха недостъпни поради строгата политика за HSTS безопасност, която бе въведена преди тези събития. Един от примерите е https://ows2.usdoj.gov – уеб сайта на министерството на правосъдието на САЩ. Неговият сертификат изтече една седмица преди срива на държавните служби. Сертификатът бе подписан от центъра за сертифициране GoDaddy, но не е обновен след неговото изтичане на 17 декември миналата година.  Домейнът usdoj.gov и всички негови поддомейни са включени в списъка на HSTS Chromium. Това е разумна мярка за безопасност, която е причина всички съвременни браузъри да използват безопасни и криптирани протоколи за достъп до сайта на министерството на правосъдието. В подобни случаи браузърите, включително Google Chrome и Mozilla Firefox, нарочно скриват допълнителната опция, даваща възможност на потребителя да заобиколи предупреждението и да посети сайта. Експертите по информационна безопасност на Netcraft считат, че ситуацията е плачевна, но са на мнение, че когато се налага избор между удобството и безопасността е по-добре да се избере безопасността, когато няма начин да се осигури и едно и другото. Ако потребителите имаха възможност да игнорират тези предупреждения, стават възможни атаките от типа MiTM, именно за борбата с които са предназначени TLS сертификатите. Само че HSTS политиката правилно е настроена само при някои .gow сайтове. При останалите се показва опцията за игнориране на предупреждението. Според Netcraft, по този начин информационната безопасност рязко спада.  Така например, домейнът https://rockettest.nasa.gov/ не е включен в списъка на HSTS политиката, въпреки че неговият сертификат изтече на 5 януари тази година. Друг пример нагледно демонстрира потенциалната опасност от игнориране предупрежденията на браузъра. Сертификатът на сайта на лабораторията в Бъркли https://d2l.lbl.gov изтече на 8 януари 2019 година и още не е подменен. Понеже липсва ефективна HSTS политика, потребителите могат да игнорират предупрежденията и да влязат в раздела за регистриране и логване. В този пример, ще се появи съобщение, че в тази уеб страница не бива да се въвежда каквато и да било конфиденциална информация. Държавните служители на САЩ излязоха в принудителен отпуск поради упоритата и твърда позиция на американската политическа сцена. Президентът Доналд Тръмп не желае компромис по въпроса за строежа на стена на границата с Мексико, която е част от неговите предизборни обещания. А демократите не желаят да одобрят бюджета от $5,7 милиарда, необходими за издигане на стената. |
