Federal Agencies Cermin Situs Komersial untuk Enkripsi

0
1333

Organisasi sektor swasta dan publik memiliki tujuan bersama dalam menyelenggarakan situs internet: memastikan bahwa koneksi dengan pelanggan dan warga aman. Namun, keamanan yang lengkap belum universal di kedua sektor.

Google dan Mozilla, misalnya, termasuk di antara banyak entitas yang mempromosikan keamanan Internet melalui penerapan teknologi Secure Transfer Hyper Text Transfer Protocol, atau HTTPS, versus teknologi HTTP dasar dan kurang aman yang mendasari layanan Internet.

Di sektor publik, petugas informasi kepala federal dan Administrasi Layanan Umum mempromosikan HTTPS juga. GSA baru-baru ini memberi tahu agen federal bahwa mereka telah mengembangkan sebuah program yang dirancang untuk memastikan bahwa semua situs web federal baru akan disediakan keamanan koneksi secara otomatis melalui penggunaan kemampuan enkripsi HTTPS. Program ini akan diluncurkan sekitar musim semi ini, kata GSA.

“Tahun ini, GSA akan mengambil langkah maju yang signifikan dalam membuat komunikasi yang aman menjadi standar layanan Web federal dengan secara otomatis menerapkan HTTPS di peramban Web modern untuk domain cabang dot dot gov yang baru dikeluarkan dan subdomain mereka,” GSA mengatakan dalam sebuah pemberitahuan yang diterbitkan awal tahun ini.

GSA telah mendukung adopsi HTTPS secara aktif, terutama sehubungan dengan perintah Gedung Putih tahun 2015 yang mewajibkan semua layanan Web federal yang baru mendukung dan menerapkan koneksi HTTPS melalui Internet publik, dan bahwa agen federal memigrasi layanan Web yang ada ke HTTPS pada akhir tahun lalu.

Enkripsi Situs Federal Baru

Dalam hal membuat situs web federal baru, karena domain cabang eksekutif terdaftar, program dot-gov akan mengirimkannya ke browser Web untuk memuatkan pramuat, kata GSA.

Setelah pengiriman, diperlukan waktu hingga tiga bulan sebelum pemuatan dimuat di browser Web modern. Setelah preloading berlaku, browser akan menerapkan HTTPS secara ketat untuk domain dan subdomainnya. Pengguna tidak akan bisa mengklik peringatan sertifikat. Setiap layanan Web di domain harus dapat diakses melalui HTTPS agar dapat digunakan oleh peramban Web modern, GSA mencatat.

Misalnya, jika sebuah agen mendaftarkan situs dot-gov pada bulan Mei, GSA akan mengkomunikasikan kepada peramban Web bahwa situs baru harus diberlakukan hanya sebagai HTTPS. Dalam beberapa bulan pada saat itu, upaya pengguna untuk mengunjungi situs HTTP yang baru dibuat akan menyebabkan browser mereka mengalihkan secara otomatis ke domain yang ditunjuk HTTPS. Agensi yang mendaftarkan situs dot-gov baru harus menggunakan konfigurasi HTTPS sehingga pengguna dapat menavigasi ke situs web dengan sukses.

GSA mengharapkan proses adopsi keamanan berjalan cukup lancar.

“HTTPS adalah protokol standar yang digunakan untuk kelas layanan Web yang semakin besar. Sertifikat dapat diperoleh dengan harga murah atau gratis,” kata GSA dalam sebuah pernyataan yang diberikan kepada E-Commerce Times oleh juru bicara Cat Langel.

Kontraktor Web Federal Tidak Perlu Khawatir

Sementara beberapa agen memiliki kontrak dengan penyedia layanan sektor swasta untuk layanan Web, proses HTTPS seharusnya tidak menghasilkan beban yang signifikan bagi kontraktor atau agen yang mereka dukung, menurut GSA.

Ini akan terus menjadi tanggung jawab agen untuk mendapatkan dan menyebarkan sertifikat, dan untuk benar mengkonfigurasi dukungan HTTPS untuk situs web di domain tersebut. Jika situs web biro iklan di bawah domain yang baru dikeluarkan tidak mendukung HTTPS, pengguna tidak dapat mengunjungi situs web agensi menggunakan browser Web modern.

Program GSA untuk menyediakan teknologi HTTPS otomatis untuk situs web federal yang baru, serta rencana komprehensif pemerintah untuk melindungi semua situs federal pada akhirnya, telah mendapat persetujuan dari komunitas e-commerce.

“Kami mendukung upaya pemerintah federal untuk secara proaktif melindungi privasi dan keamanan pengguna Internet saat mereka menggunakan situs web pemerintah Dengan membuat proses yang dulu menjadi proses yang sulit dilakukan menjadi satu turnkey, GSA melakukan hal yang benar,” kata Nat. Meysenburg, teknolog staf di New America Open Technology Institute .

Ini adalah “membuat situs web aman menjadi praktik standar bagi departemen di seluruh pemerintahan,” katanya.

“Langkah ini untuk menyelaraskan HTTPS oleh pemerintah merupakan penegasan lain tentang pentingnya situs web terenkripsi, dan mudah-mudahan akan mendorong lebih banyak lagi perusahaan untuk menerapkan situs web yang aman. Seperti yang baru-baru ini kami dapatkan tentang adopsi HTTPS, situs web terenkripsi dengan cepat menjadi prosedur operasi standar, “Meysenburg mengatakan kepada E-Commerce Times.

“Google telah lama berusaha menyediakan komunikasi Web yang aman dengan HTTPS, dan berkomitmen untuk menawarkan HTTPS karena semakin banyak layanannya,” kata Parisa Tabriz, pakar keamanan di Google, dalam komentar yang disampaikan ke Kantor Manajemen dan Anggaran saat OMB meluncurkan Programnya di tahun 2015.

“Dalam hal ini, Google sangat mendukung” Standar HTTPS yang diusulkan oleh Gedung Putih untuk menyediakan orang-orang di seluruh Amerika Serikat dan dunia – secara eksklusif mendapatkan akses ke layanan Pemerintah AS, “lanjutnya.

“Ketika berinteraksi dengan pemerintah, baik untuk pajak, imigrasi, jaminan sosial, pendaftaran pemilih, perawatan kesehatan, atau layanan publik lainnya, orang memiliki kebutuhan kritis akan informasi yang mereka kirim dan terima sebagai rahasia dan tidak terkontaminasi,” kata Tabriz. “HTTPS adalah persyaratan minimum untuk mencapai hal ini, dan Google senang melihat Gedung Putih mengenali kebutuhan ini.”

Upaya Federal Mengungguli Sektor Swasta

Situs berkemampuan HTTPS menyediakan dua elemen keamanan utama untuk situs non-HTTPS, menurut Open Technology Institute. Enkripsi, fitur pertama, memastikan konten dari permintaan atau transaksi Web tertentu tetap ada, dan tidak dapat diakses oleh siapa pun kecuali pengguna dan situs web yang relevan.

“Bahkan jika komunikasi dicegat oleh pihak ketiga, teks itu tampaknya tidak lain hanyalah serentetan teks acak,” catatan tanggapan OTI terhadap proposal HTTPS federal.

Kedua, autentikasi HTTPS memverifikasi bahwa situs web sebenarnya terkait dengan orang atau organisasi yang diklaimnya mewakili, bukan oleh penipu yang membuat situs tersebut mengelabui pengguna agar membocorkan informasi pribadi, yang dikenal sebagai serangan phishing, “OTI menunjukkan .

Sementara agen federal gagal memenuhi target konversi HTTPS yang lengkap pada akhir tahun 2016, survei GSA terhadap kepatuhan federal menunjukkan kemajuan signifikan terhadap tujuan tersebut. Survei dilakukan antara pertengahan 2015 dan akhir 2016. GSA mencapai kesimpulan berikut:

Kebijakan Gedung Putih menghasilkan adopsi HTTPS yang signifikan di pemerintah AS, sampai-sampai pemerintah sekarang melampaui sektor swasta mengenai penggunaan HTTPS.
HTTPS telah beralih dari minoritas yang jelas ke mayoritas dukungan yang jelas di ranah dot-gov cabang eksekutif sejak dikeluarkannya polis.
Data lalu lintas Web menunjukkan bahwa HTTPS sekarang digunakan untuk sebagian besar permintaan Web ke layanan dot dot pemerintah eksekutif.
Survei tersebut menargetkan situs dot-gov utama dan juga beberapa subdomain situs induk – sebanyak 27.000 situs. Namun, survei tersebut mengecualikan situs Departemen Pertahanan yang dirancang berdasarkan protokol ‘dot-mil’.

Daftar GSA dari situs dot-gov federal mungkin tidak komprehensif, namun memperingatkan. Pada akhir 2016, 73 persen situs dot dot pemerintah eksekutif mendukung HTTPS versus sekitar 32 persen pada pertengahan tahun 2015.

Juga, 61 persen situs menerapkan HTTPS pada akhir tahun 2016 versus 15 persen pada awal periode survei. GSA merujuk sebuah laporan industri pada bulan Oktober 2016 di 1 juta situs dalam membandingkan kemajuan HTTPS federal versus sektor swasta.