En 2016, nous nous sommes demandé: combien de sites du gouvernement fédéral prennent en charge HTTPS? Nous avons découvert que vous êtes prêt? En fait - 2 (en mots: deux, Karl!) Sites sur 85. Formellement - 32 pris en charge, c'est-à-dire HTTPS était activé sur les serveurs, mais tout reposait sur la négligence traditionnelle russe: le certificat SSL était expiré, auto-signé, ou même d'un autre site, la connexion HTTPS bascule automatiquement vers HTTP ou redirige vers le panneau d'administration du site, le serveur Web est vulnérable à ROBOT, POODLE, et autres excès mauvais, connexion HTTPS uniquement sur SSL et d'autres enfants de réjouissance.
Par conséquent, même selon nos modestes critères - un certificat SSL valide, la prise en charge de TLS 1.2 et le refus d'utiliser des algorithmes cryptographiques vulnérables ou peu fiables tels que DH et RC4 - en fait, seuls 2 sites supportaient HTTPS (rappel, sur 85 interrogés).
Aujourd'hui, nous avons à nouveau posé la même question, bien que légèrement resserré les critères, mais malgré cela, la situation s'est avérée bien meilleure : 27 sites sur 82 peuvent être considérés comme prenant réellement en charge le HTTPS, et 23 autres - le soutiennent sous condition. Conditionnellement, dans le sens où dans certaines conditions, dépendant dans une plus large mesure du côté client: la version actuelle du navigateur, configurée selon l'esprit, HTTPS était indiqué par des poignées - la connexion est protégée, elles ne fournissaient aucun des éléments ci-dessus - dépend de.
8 autres sites n'imitent que le support pour HTTPS (tous de la même négligence): certificats SSL auto-signés (Bureau de test) et courbes (Ministère de la Défense et FADN), suites de chiffrement vulnérables (Ministère du Développement économique), dans certains endroits, ils n'ont toujours pas entendu parler des mises à jour logicielles et de leur site Web -les serveurs brillent sur le Web avec des bannières conviviales "Nous avons ROBOT & POODLE!" (Ministère de la construction, Rosreestr, Rosfinmonitoring et Rosnedra).
Les 24 sites restants, en commençant par le présidentiel et en terminant par le CEC, ont fait un travail encore plus facile: pas de HTTPS, pas de problème. SVR - pourquoi avons-nous besoin d'une connexion sécurisée? FSB - signalez la préparation d'une attaque terroriste via HTTP! OFS - nous n'avons rien à cacher, vous aussi. Nous ne savons pas avec certitude, bien sûr, mais, apparemment, il y a une sorte de logique: le thé n'est pas le site Web d'une banque ou un VKontagtag, vous pouvez vous passer d'une connexion sécurisée.
En général, tout ce qui aujourd'hui pour plusieurs milliers de roubles par an fournit un hébergement virtuel plus ou moins décent: un certificat SSL normal de Let's Encrypt, une version à jour du serveur Web et des bibliothèques cryptographiques avec des paramètres intelligents, la plupart des autorités russes toujours pas encore disponible. Mais tout le monde, hé, a une sorte de GIVT subordonné avec l'état et le budget appropriés ...