2016 haben wir uns gefragt: Wie viele Websites der Bundesregierung unterstützen HTTPS? Wir haben herausgefunden, dass Sie bereit sind? In der Tat - 2 (in Worten: zwei, Karl!) Sites von 85. Formal - 32 unterstützt, d.h. HTTPS wurde auf den Servern aktiviert, aber dann beruhte alles auf der traditionellen russischen Schwäche: Das SSL-Zertifikat war abgelaufen, selbstsigniert oder sogar von einer anderen Site, die HTTPS-Verbindung wechselt automatisch zu HTTP oder leitet zum Admin-Panel der Site weiter, der Webserver ist anfällig für ROBOT, POODLE und andere Überschüsse schlecht, HTTPS-Verbindung nur über SSL und andere Kinder der Feierlichkeit.
Selbst nach unseren bescheidenen Kriterien - einem gültigen SSL-Zertifikat, Unterstützung für TLS 1.2 und der Weigerung, anfällige oder unzuverlässige Krypto-Algorithmen wie DH und RC4 zu verwenden - unterstützten daher nur 2 Standorte HTTPS (denken Sie daran, von 85 befragten).
Heute haben wir erneut dieselbe Frage gestellt, obwohl die Kriterien leicht verschärft wurden, aber dennoch stellte sich heraus, dass die Situation viel besser war : 27 von 82 Standorten können als wirklich unterstützend für HTTPS angesehen werden, und 23 weitere - bedingt unterstützt. Bedingt in dem Sinne, dass unter bestimmten Bedingungen, abhängig von der Client-Seite in größerem Maße: Die aktuelle Version des Browsers, entsprechend dem Verstand konfiguriert, HTTPS durch Handles angezeigt wurde - die Verbindung ist geschützt, sie haben keine der oben genannten bereitgestellt - hängt davon ab.
Weitere 8 Websites imitieren nur die Unterstützung für HTTPS (bei gleicher Trägheit): selbstsignierte (Assay Office) und Kurven (Verteidigungsministerium und FADN) SSL-Zertifikate, anfällige Chiffresuiten (Ministerium für wirtschaftliche Entwicklung). An einigen Stellen haben sie noch nichts über Software-Updates und deren Web gehört -Server glänzen im Netz mit freundlichen Bannern "Wir haben ROBOT & POODLE!" (Ministerium für Bauwesen, Rosreestr, Rosfinmonitoring und Rosnedra).
Die verbleibenden 24 Standorte, angefangen beim Präsidenten bis hin zur KEK, machten einen noch einfacheren Job: kein HTTPS, kein Problem. SVR - warum brauchen wir eine sichere Verbindung? FSB - melden Sie die Vorbereitung eines Terroranschlags über HTTP! BFS - wir haben auch nichts zu verbergen. Wir wissen es natürlich nicht genau, aber anscheinend gibt es eine Art Logik: Tee ist keine Website einer Bank oder ein VKontagtag, auf eine sichere Verbindung kann man verzichten.
Im Allgemeinen bietet alles, was heute für mehrere tausend Rubel pro Jahr mehr oder weniger anständiges virtuelles Hosting bietet: ein normales SSL-Zertifikat von Let's Encrypt, eine aktuelle Version eines Webservers und kryptografische Bibliotheken mit intelligenten Einstellungen, die meisten russischen Behörden immer noch Noch nicht verfügbar. Aber jeder, hey, hat eine Art untergeordnete GIVTs mit dem entsprechenden Staat und Budget ...