英国政府发布官方声明，从2016年10月1日起，英国所有政府网站强制使用HTTPS加密连接，而美国政府也曾发布HTTPS-Only标准，要求所有政府网站在2016年底强制使用HTTPS。英美两国为何先后发布强制HTTPS政策？HTTPS加密对政府网站安全到底有多么重要？我国政府网站的HTTPS应用现状和启示？

网络安全形势堪忧，英美政府强势推HTTPS加密政策

国际互联网安全形势日益严峻，地下黑色产业链的成熟活跃，政府网站承载着各种公民隐私数据，成为黑客组织首要的攻击目标。英美两国政府都多次爆出重大的政府网站数据泄露事件，美国OPM(人事管理办公室) 400万联邦雇员信息泄露、1.9亿美国选民信息泄露以及近期英国国防部军队内部资料面临泄露威胁等安全事件，都在向政府机构发出警示，政府机构数据安全正遭遇着前所未有的巨大威胁。
数据泄露的原因涉及多个方面，而由于数据未加密或安全协议不足等基础防护问题导致的泄露事件为数众多。如果基础安全防护不到位，不管启用多么昂贵的系统同样不堪一击。因此，2015年6月，美国政府出台了HTTPS-Only标准，强制要求联邦政府公共服务网站在2016年底启用全站HTTPS加密连接。同年9月，英国政府通信总部也曾发布指南指导、建议使用HTTPS，当时并没有强硬设置最后期限。然而，随着数据安全事件愈演愈烈，英国政府近期再次发布指导准则要求所有政府网站在2016年10月实现强制HTTPS加密，比美国还要提前2个月实现政府网站全站HTTPS加密。
英美政府强制HTTPS政策的具体措施

美国政府启用HTTPS-Only的原则：
 所有在联邦代理域或子域下的新开发的网站和服务必须即刻遵守HTTPS-Only政策
 涉及到个人身份信息交互的、本质上特别敏感的或需经高级别保密通信的 Web 服务需优先部署HTTPS
 联邦机构必须在2年内可通过安全连接（HTTPS Only）访问到目前所有的网站和服务
 鼓励但不强制企业内部网内使用 HTTPS

英国政府则对启用HTTPS连接提出了更加细致的要求：
 使用HTTPS加密连接并设置HSTS(HTTP严格传输安全)保护
启用HSTS(HTTP严格传输安全)保护，可以确保浏览器始终采用HTTPS连接网站服务，拒绝使用HTTP协议，避免降级攻击。英国政府还计划将service.gov.uk提交至浏览器厂商的HSTS预加载列表，换言之，所有当代主流浏览器只有通过HTTPS才能访问政府服务。

 启用DMARC协议进行电子邮件认证
英国政府还规定，所有服务使用DMARC协议进行电子邮件认证。DMARC策略将确保邮件不会收到由骗子和钓鱼者发出的邮件。如果这一策略在2016年10月1日没有执行，邮件可能会被外部电子邮件提供商拒绝。

点击连接购买SSL证书 https://shop.evtrust.com