今年以来,我多次访问政府门户网站和网站。我经常遇到这样的提示:“到www.minlaw.gov.bd或www.mefwd.gov.bd的连接不安全。您看到这个警告是因为这个网站不支持https。”
然后有两个选择-继续到网站或返回。
现在,我是冒着数据隐私的风险,还是继续完成手头的任务,这个两难的选择让我多次承受压力。它有害吗?我有麻烦了吗?
“这确实是一个严重的问题,尤其是在网络安全受到关注的情况下。任何重要的政府门户网站和网站都应该使用SSL认证来保护或加密。组织必须购买证书并每年更新一次。
如果不这样做,浏览器将向您显示警告,如果您继续访问门户,您的数据可能被黑客攻击,或者恶意软件可能会污染您的计算机。如果你继续进行任何交易,细节可能会从网站上泄露,”孟加拉国软件与信息服务协会(BASIS)前主席赛义德·阿尔马斯·卡比尔说。
这意味着SSL证书是必须的,特别是对于很多人进入的政府网站和门户网站。
根据Syed Almas Kabir的说法,门户网站也需要对移动友好,因为大多数公民将通过智能手机进入这些门户网站。
每天究竟有多少人访问政府门户网站?据a2i国家门户实施专家Mohammad Samsozzaman称,每30分钟就有7万名用户进入国家门户。
什么是SSL证书?
SSL是安全套接字层(Secure Sockets Layer)的缩写,它是一种安全协议,在web服务器和web浏览器之间创建加密链接。SSL保证互联网连接的安全,防止犯罪分子读取或修改在两个系统之间传输的信息。当您在地址栏中看到URL旁边的挂锁图标时,这意味着SSL保护您正在访问的网站。
公司和组织需要在他们的网站上添加SSL证书,以确保在线交易的安全,并保持客户信息的私密性和安全性。
当网站受SSL证书保护时,URL中会出现缩略词HTTPS(代表超文本传输协议安全)。如果没有SSL证书,将只显示字母HTTP(即没有S表示安全)。一个挂锁图标也将显示在URL地址栏。这是对网站访问者的信任和保证。
全球有多个SSL证书提供商,证书的定价取决于它们提供的服务。例如,DIGI搜索每年收费6万泰铢(1000美元),作为交换,它将向你提供高达10亿美元的保证,如果网站或用户发生任何问题,他们将负责处理。
还有一家叫科摩多的公司,他们也会给你类似的证书,每年1万泰铢,但他们不提供任何保证。
我为什么这么做?重要的政府门户网站没有SSL认证?
我们联系了a2i的基础设施专家Debabrata Sarkar。据他说,你的浏览器显示这样的安全信息主要有三个原因。您正在访问的网站没有安装SSL证书,或者证书安装已经过期,需要更新。
另一个原因可能是用于搜索的域名与配置的SSL证书上的主题DN(专有名称)不匹配。
“你的浏览器基本上是给你一个警告;现在就看你是否愿意冒着安全风险进入了。”
DN是一个描述证书中标识信息的术语,是证书本身的一部分。包含证书的所有者或请求者(称为主题DN)和颁发证书的CA的DN信息的证书称为颁发者DN。
因此,每半小时访问这些门户网站的7万名用户需要自行承担风险。值得吗?
此外,一个网站有很多链接,如果其中一个链接是用http而不是https连接的,这在技术上被称为混合内容,有时也被称为“http over https”,你的浏览器会显示安全信息。
HTTPS是经过加密和验证的HTTP。这两个协议之间的唯一区别是HTTPS使用TLS (SSL)加密正常的HTTP请求和响应,并对这些请求和响应进行数字签名。因此,HTTPS比HTTP安全得多。
如果一个网站使用HTTP而不是HTTPS,所有的请求和响应都可以被监控会话的任何人读取。从本质上讲,恶意行为者可以读取请求或响应中的文本,并确切地知道某人正在请求、发送或接收什么信息。
你可以使用http和https搜索网站,如果它是用SSL认证保护的,http将显示为不安全的,而https将带你到网站。
目前有超过50,000个(介于45,000到55,000之间)国家门户网站正在运行。从2014年的地区信息门户网站开始,在9年的时间里,这些网站的数量增加了,包括各部委和部门,甚至在市和工会的教区一级。
“2018年,当https开始流行时,我们将几个部委网站纳入了该协议。在过去的五年中,我们将60个部委网站置于https协议之下,其余的网站则置于http协议之下。”
“到2022年底,当网络安全成为一个主要问题时,我们决定将所有5万个网站置于安全的https协议之下。到今天为止,我们已经能够带来两万个部门和社区的网站和门户网站。除此之外,现在有超过450个首长级域名使用https协议。”
在与Sarkar交谈时,我在b谷歌Chrome浏览器上搜索了法律和司法部的网站,它向我显示了不安全的警告信息。该门户由a2i管理,该门户的SSL证书是在2022年9月获得的,应该在2023年10月7日到期。那为什么说10月1日进入不安全?
Sarkar指示我在网址中不包含www。我可以登录到传送门。
“实际上没有必要在url中使用WWW。它的存在只有一个目的——识别网址。这与其他重要的URL符号不同,例如文件传输协议(FTP)服务器(FTP)或新闻服务器(news)。因此,WWW可能被归类为一个更大网站的子域名,”Sarkar解释道。
他补充说:“我们在2/3证书下注册了500个域名,这被称为多个域名证书,其中我们不允许www子域名。
所以问题是,如果a2i要为每个门户收集SSL证书,他们将不得不购买50,000个证书。国际标准SSL认证的费用可能从10美元到1000美元不等,这取决于他们提供的服务。
“如果你考虑最低成本,即每份申请1000泰铢,那么每年将需要5000万泰铢,这是一笔很大的钱。从技术上讲,10美元的证书和100美元的证书没有区别,两者都将被CA/B论坛接受,”Sarkar说。
证书颁发机构/浏览器(CA/B)论坛是一个由证书颁发机构(CA)、互联网浏览器软件供应商和其他使用X.509数字证书进行TLS/SSL和代码签名的应用程序供应商组成的自愿组织。
A2i覆盖了90多个证书下的2万多个域名,包括三种类型——多域、通配符和单域SSL。还有一类是通配符证书,它将涵盖单个域的所有子域。A2i使用这个来注册司级域。还有一个域证书。
为了覆盖30,000个门户中的其余部分,a2i需要申请大约490个通配符SSL证书。如果你考虑到每台1万泰铢的最低价格,这将花费近500万泰铢。
“我们正在分阶段进行这项工作,这需要时间和资源。最终,我们会到达那里。”
