กลาโหมสหรัฐฯ เตรียมยกทุกเว็บไซต์เป็น HTTPS ภายในสิ้นปีนี้

กระทรวงกลาโหมสหรัฐฯ (DOD) วางแผนปรับปรุงเว็บไซต์ที่เปิดให้บุคคลภายนอกเข้าชมเป็น HTTPS และ HSTS (HTTP Strict Transport Security) ภายในสิ้นปีนี้ เพื่อเพิ่มความมั่นคงปลอดภัยให้แก่ระบบเว็บทั้งหมด

การปรับปรุงเว็บไซต์เป็น HTTPS และ HSTS นี้ เกิดจาก Ron Wyden วุฒิสมาชิกจากพรรคเดโมแครต รัฐโอเรกอน ได้ส่งจดหมายเปิดผนึกซึ่งระบุประเด็นเรื่องการใช้เว็บแบบ HTTP ที่ไม่มีความมั่นคงปลอดภัยและ SSL Certificates ที่มีปัญหาในหลายๆ เว็บไซต์ของ DOD เมื่อเดือนพฤษภาคมที่ผ่าน

ภายในจดหมายระบุว่า เว็บไซต์ของ DOD ส่วนใหญ่ยังคงใช้ HTTP มีเพียงส่วนน้อยเท่านั้นที่เป็น HTTPS ในขณะที่เว็บ HTTPS เหล่านั้นก็ใช้ใบรับรองที่ออกโดย DOD Root Certificate Authority ซึ่งเว็บเบราว์เซอร์สมัยใหม่อย่าง Chrome หรือ Firefox ไม่เชื่อถือใน CA ดังกล่าว ส่งผลให้ต่อให้การเชื่อมต่อเป็นแบบ HTTPS แต่เว็บเบราว์เซอร์จะยังคงแจ้งเตือนว่าเป็นเว็บไซต์ที่ไม่มั่นคงปลอดภัย และอาจบล็อกการเข้าถึงได้ นอกจากนี้ Wyden ยังแนะนำให้ DOD ใช้ HSTS เพื่อให้มั่นใจว่า ทุกคนที่เข้าถึงเว็บไซต์ของ DOD จะเชื่อมต่อแบบ HTTPS อีกด้วย

จากข้อเสนอของ Wyden ส่งผลให้ทาง Deasy Dana, CIO ของ DOD ออกแถลงการณ์ออนไลน์เมื่อสัปดาห์ที่ผ่านมา โดยระบุถึงแผนที่จะปรับปรุงเว็บไซต์ของ DOD ตามข้อเสนอของ Wyden พร้อมทั้งยังระบุอีกว่า DOD ได้ดำเนินการโยกย้ายสินทรัพย์ออนไลน์ส่วนใหญ่ไปใช้ช่องทางที่มั่นคงปลอดภัยมานานกว่า 2 – 3 ปีตามโครงการ Binding Operational Directive ของกระทรวงความมั่นคงแห่งมาตุภูมิ สหรัฐฯ (BOD 18-01) ที่เผยแพร่เมื่อปลายปีที่ผ่านมา ไม่ว่าจะเป็นการใช้ HTTPS และ HSTS ในการปกป้องเว็บไซต์, การใช้ STARTTLS และ DMARC เพื่อปกป้องระบบอีเมล หรือทำสัญญากับ PKI Infrastructure เชิงพาณิชย์เพื่อให้ออกใบรับรอง SSL ที่มีความน่าเชื่อถือ

ตามแผนของ BOD 18-01 Deasy คาดการณ์ว่า การปรับปรุงเว็บไซต์ ระบบเมล และการออกใบรับรอง SSL จะแล้วเสร็จและพร้อมใช้งานอย่างมั่นคงปลอดภัยภายในวันที่ 31 ธันวาคม 2018 ที่จะถึงนี้

ที่มา: https://www.bleepingcomputer.com/news/government/dod-to-move-all-websites-to-https-by-the-end-of-the-year/