Из-за шатдауна правительства США не продлены более 80 сертификатов TLS
Сертификат DigiCert, используемый веб-сайтом Апелляционного суда США, истёк 5 января 2019 года и не был продлён. На сайте размещены ссылки на систему подачи документов и PACER (система публичного доступа к судебным электронным записям)
Согласно исследованию Netcraft, десятки государственных сайтов США стали или небезопасными, или недоступными во время продолжающегося федерального шатдауна. Среди них важные платёжные порталы и службы удалённого доступа, которыми пользуются НАСА, Министерство юстиции США и Апелляционный суд.
Около 400 000 федеральных служащих в настоящее время находятся в вынужденном отпуске. Поэтому не слишком удивляет, что никто не удосужился продлить более 80 сертификатов TLS на государственных сайтах в зоне .gov. Cитуацию усугубляет то, что некоторые из этих заброшенных сайтов стали недоступны из-за строгой политики безопасности HSTS, которую внедрили до шатдауна.
Один из примеров — https://ows2.usdoj.gov, веб-сайт Министерства юстиции США. Его сертификат истёк за неделю до шатдауна. Сертификат был подписан доверенным центром сертификации GoDaddy, но не обновлялся с момента его истечения 17 декабря 2018 года.
Все поддомены Министерства юстиции США охвачены политикой HSTS. В сочетании с истёкшим сертификатом TLS это в настоящее время мешает пользователям проигнорировать предупреждения и зайти на сайт
Домен usdoj.gov и все его поддомены включены в список предварительной загрузки HSTS Chromium. Это разумная мера безопасности, которая вынуждает современные браузеры использовать только безопасные, зашифрованные протоколы при доступе к веб-сайтам Министерства юстиции. В то же время доступ блокируется при обнаружении сертификата с истёкшим сроком действия. В этих случаях современные браузеры, такие как Google Chrome и Mozilla Firefox, намеренно скрывают расширенную опцию, которая позволит пользователю обойти предупреждение и перейти на сайт.
Признавая плачевность ситуации, эксперты Netcraft считают, что всё-таки между удобством использования и безопасностью следует выбрать второе, если нельзя получить и то, и другое. Если бы у пользователей была возможность игнорировать такие предупреждения, то они стали бы уязвимы для атак типа MiTM, для борьбы с которыми и предназначаются сертификаты TLS.
Впрочем, правильная политика HSTS настроена лишь на нескольких сайтах .gov. Они отображаются в списке предварительной загрузки HSTS, а остальные пытаются установить политику через HTTP-заголовок Strict-Transport-Security. Такая политика не будет выполняться с истёкшим сертификатом, она эффективна только в том случае, если пользователь уже посещал сайты раньше.
Таким образом, на большинстве затронутых сайтов будет отображаться предупреждение системы безопасности, которое пользователь сможет обойти, пишет Netcraft: «Это создаёт некоторые проблемы безопасности, поскольку пользователи с большей вероятностью игнорируют эти предупреждения безопасности и становятся уязвимыми для атак типа MiTM».
Этот сайт НАСА до сих пор использует просроченный сертификат, но домен не входит в предварительный список HSTS. Таким образом, пользователи могут игнорировать предупреждения браузера и перейти на сайт
Например, домен https://rockettest.nasa.gov/ не включён в список предварительной загрузки HSTS, а срок действия сертификата истёк 5 января 2019 года.
Другой пример наглядно демонстрирует потенциальную опасность игнорирования предупреждений безопасности браузера. Сертификат сайта лаборатории в Беркли https://d2l.lbl.gov истёк 8 января 2019 года (хотя Berkeley Lab не затронута шатдауном) и ещё не заменён. Поскольку нет эффективной политики HSTS, пользователи могут игнорировать предупреждения браузера и перейти к форме для логина. В этом примере нажатие рядом с адресной строкой браузера явно посоветует пользователю не оставлять на странице никакой конфиденциальной информации.
Правительственный шатдаун произошёл из-за упрямой позиции двух сторон на американской политической сцене. Президент Дональд Трамп не желает идти на компромисс по вопросу стены с Мексикой, а демократы отказываются утвердить бюджет, содержащий $5,7 млрд для возведения стены. Если шатдаун продлится, а федеральные служащие останутся в отпуске, в ближайшее время ещё больше государственных сайтов могут оказаться недоступными из-за просроченных сертификатов TLS.