В 2016 году мы задались вопросом: сколько сайтов федеральных
органов власти поддерживают HTTPS? Мы узнали, вы готовы? Фактически 2 (прописью: два,
Карл!) сайта из 85. Формально 32 поддерживали, т.е. на серверах был
включен HTTPS, но дальше все упиралось в традиционное российское
разгильдяйство: SSL-сертификат просрочен, самоподписан или вообще
от другого сайта, соединение по HTTPS автоматически переключается
на HTTP или переадресуется в админку сайта, веб-сервер уязвим к
ROBOT, POODLE и прочим излишествам нехорошим, HTTPS-подключение
только по SSL и прочий чад кутежа.
Поэтому, даже согласно нашим скромным критериям действительный
SSL-сретификат, поддержка TLS 1.2 и отказ от использования уязвимых
или ненадежных криптоалгоритмов типа DH и RC4 фактически HTTPS
поддерживали только 2 сайта (напоминаю, из 85 обследованных).
Сегодня мы снова задались тем же вопросом, хотя и несколько
ужесточив критерии, но даже при этом ситуация оказалась существенно лучше: 27 сайтов из
82 могут считаться реально поддерживающими HTTPS и еще 23 условно
поддерживают его. Условно в том смысле, что при определенных
условиях, зависящих в большей степени от клиентской стороны:
актуальная версия браузера, сконфигурирована по уму, ручками
указали HTTPS соединение защищено, не обеспечили чего-то из
перечисленного depends on.
Еще 8 сайтов лишь имитируют поддержку HTTPS (все то же
разгильдяйство): самоподписанные (Пробирная палата) и кривые
(Минобороны и ФАДН) SSL-сертификаты, уязвимые шифронаборы
(Минэкономразвития), кое-где до сих пор не слышали об обновлениях
софта и их веб-сервера светят в Сеть приветливыми баннерами We have
ROBOT & POODLE! (Минстрой, Росреестр, Росфинмониторинг и
Роснедра).
Оставшиеся 24 сайта, начиная с президентского и заканчивая
ЦИКовским, поступили еще проще: нет HTTPS нет проблемы. СВР зачем
нам защищенное соединение? ФСБ сообщайте о подготовке теракта по
HTTP! ФСО нам нечего скрывать, вам тоже. Мы точно не знаем,
конечно, но, видимо, какая-то такая логика: чай не сайт банка и не
ВКонтагтег какой-нибудь, можно и без защищенного соединения
обойтись.
В общем, все то, что сегодня за несколько тысяч рублей в год
обеспечивает любой мало-мальски приличный виртуальный хостинг:
нормальный SSL-сертификат от Let's Encrypt, актуальная версия
веб-сервера и криптографических библиотек с настройками по уму,
большинству российских органов власти до сих пор недоступно. Зато у
каждого, поди, есть какой-нибудь подведомственный ГИВЦ с
соответствующим штатом и бюджетом
|
Русский
|
|
|
Русский
|
|
English
|
