3月22日晚,有市民发现滨州市医疗保障局的小程序“滨州医保”突然打不开,页面显示该小程序免费使用的证书到期了。市民质疑政府医保部门使用免费的DV证书不专业:相当于给一个需要最高安保级别的金库只配了一把普通的挂锁,这给用户的个人信息安全带来了极高的风险。
图片
据了解,政府网站(尤其是医保、社保等涉及公民敏感数据的平台)必须遵守 《网络安全法》和等级保护(等保)制度。政务系统通常要求使用国密算法(SM2)或支持国产化环境的证书,而免费DV证书通常只支持国际通用算法,不符合政务系统的密评要求。而且,DV证书无法在浏览器中显示单位名称,这意味着任何人都可以申请一个类似的域名,部署DV证书,伪装成医保网站,用户无法通过证书信息辨别真伪,极易遭遇钓鱼攻击。医保数据属于最高级别的敏感信息,DV证书虽然提供了基础加密,但在身份认证和防篡改方面的强度远低于OV/EV证书,无法满足金融级或政务级的数据保护需求。文章源自两天的博客-https://2days.org/182.html
图片
图片
3月23日,市民核实发现,“滨州医保”小程序已进行了续期。虽然小程序恢复了访问,但根源问题并没有解决:续期依然是90天有效期的免费证书,未来仍面临过期中断的风险,身份验证的漏洞也依然存在,钓鱼网站的威胁并未消除。文章源自两天的博客-https://2days.org/182.html
图片
对咱们老百姓来说,日常使用时要尽量从官方号进入小程序,遇到陌生链接或要求输入密码的弹窗要立刻警惕,避免落入钓鱼陷阱。而对医保部门而言,更需要尽快升级为能验证真实身份的证书,完善证书生命周期管理,别让民生服务因为这类细节问题掉链子。文章源自两天的博客-https://2days.org/182.html
文章源自两天的博客-https://2days.org/182.html
从“能用”到“可信”,政务服务网站的SSL证书该怎么选?文章源自两天的博客-https://2days.org/182.html
文章源自两天的博客-https://2days.org/182.html
那么,政务服务网站到底该部署哪种SSL证书,才能既保障数据安全,又维护政府公信力?文章源自两天的博客-https://2days.org/182.html
今天,我们就来聊聊这个话题。文章源自两天的博客-https://2days.org/182.html
政务服务网站与普通商业网站相比,有几个显著特点:文章源自两天的博客-https://2days.org/182.html
基于这些特殊性,政务服务网站在选择SSL证书时,不能只看“有没有”,更要看“够不够”。
在深入讨论之前,我们先简单回顾一下三种主流SSL证书的区别:
任何人都可以为一个域名申请DV证书——包括黑客。他们可以伪造一个高仿的政府网站,挂上DV证书,地址栏同样显示绿色小锁。普通用户根本无法分辨这是真官网还是钓鱼网站。
对于政务服务网站而言,此类状况绝不容许存在的。公民所迫切需求的,是那份“确定性”——他们要确信自己访问的是货真价实的政府网站,而非不法分子精心伪造的欺诈页面。
因此,DV证书不适合政务服务网站。
最直观的区别是:在支持EV的浏览器上,地址栏会直接绿色高亮显示单位名称——例如:
国密SSL证书采用SM2、SM3、SM4等国产密码算法,实现与国际证书同等的加密、认证功能,同时满足自主可控的要求。
“这里是安全的,这里是可信的,请放心使用。”
从OV到EV,从国际算法到国密算法,政务服务网站在SSL证书的选择上,值得投入更多关注。
本站文章大部分始于原创,用于个人学习记录,可能对您有所帮助,仅供参考!
