En 2016, nos preguntamos: 驴Cu谩ntos sitios del gobierno federal admiten HTTPS? Descubrimos, 驴est谩s listo? De hecho - 2 (en palabras: 隆dos, Karl!) Sitios de 85. Formalmente - 32 apoyados, es decir. HTTPS se habilit贸 en los servidores, pero luego todo se bas贸 en el descuido tradicional ruso: el certificado SSL venci贸, autofirmado o incluso desde otro sitio, la conexi贸n HTTPS cambia autom谩ticamente a HTTP o redirige al panel de administraci贸n del sitio, el servidor web es vulnerable a ROBOT, POODLE y otros excesos malos, conexi贸n HTTPS solo sobre SSL y otros hijos de juerga.
Por lo tanto, incluso de acuerdo con nuestros modestos criterios: un certificado SSL v谩lido, compatibilidad con TLS 1.2 y negativa a utilizar algoritmos criptogr谩ficos vulnerables o poco confiables como DH y RC4, de hecho, solo 2 sitios admit铆an HTTPS (recuerdo, de 85 encuestados).
Hoy nos volvimos a hacer la misma pregunta, aunque ajustando ligeramente los criterios, pero aun as铆 la situaci贸n result贸 ser mucho mejor : se puede considerar que 27 de 82 sitios realmente admiten HTTPS, y 23 m谩s, lo admiten condicionalmente. Es condicional en el sentido de que bajo ciertas condiciones, dependiendo en mayor medida del lado del cliente: la versi贸n actual del navegador, configurada de acuerdo a la mente, HTTPS fue indicado por manejadores - la conexi贸n est谩 protegida, no proporcionaron ninguno de los anteriores - depende de.
Otros 8 sitios solo imitan el soporte para HTTPS (todos con el mismo descuido): certificados SSL autofirmados (Assay Office) y curvas (Ministerio de Defensa y FADN), suites de cifrado vulnerables (Ministerio de Desarrollo Econ贸mico), en algunos lugares todav铆a no han o铆do hablar de las actualizaciones de software y su web -Los servidores brillan en la Web con pancartas amigables "隆Tenemos ROBOT & POODLE!" (Ministerio de Construcci贸n, Rosreestr, Rosfinmonitoring y Rosnedra).
Los 24 sitios restantes, comenzando con el presidencial y terminando con el CEC, hicieron un trabajo a煤n m谩s f谩cil: sin HTTPS, no hay problema. SVR: 驴por qu茅 necesitamos una conexi贸n segura? FSB: informe de la preparaci贸n de un ataque terrorista a trav茅s de HTTP. FSO: no tenemos nada que ocultar, t煤 tambi茅n. No lo sabemos con certeza, por supuesto, pero, aparentemente, hay alg煤n tipo de l贸gica: el t茅 no es el sitio web de un banco y no es un VKontagtag, puede prescindir de una conexi贸n segura.
En general, todo lo que hoy por varios miles de rublos al a帽o proporciona un alojamiento virtual m谩s o menos decente: un certificado SSL normal de Let's Encrypt, una versi贸n actualizada del servidor web y bibliotecas criptogr谩ficas con configuraciones inteligentes, la mayor铆a de las autoridades rusas todav铆a no disponible a煤n. Pero todos, oye, tienen alg煤n tipo de GIVT subordinados con el estado y el presupuesto adecuados ...