美国政府网站HTTPS-Only标准

美国白宫6月8日下午发布的官方文件，“HTTPS-Only”将成为公共网站联邦安全标准。该标准早在今年3月份就起草并征求公众意见。HTTPS-Only标准要求所有政府网站在2016年12月31日前完成全站https部署，以后不允许政府网站是使用http明文协议，为此还专门成立了有关团队负责，并制定了详细的部署技术规范。此举是为了保证政府网站信息安全、保护用户的隐私、保证政府网站不会假冒。

目前在国内，通过安装SSL证书实现HTTPS加密传输的网站，主要是涉及在线支付、资金安全的网站，但政府的对外网站很有必要效仿美国，全部实现HTTPS安全访问，也就是中国政府网站全站HTTPS-Only。政府网站虽然基本不涉及资金支付，但其与公民的隐私密切相关（如举报人的个人信息或在线提交的重要材料等），一旦出现泄密或篡改，将对政府的形象和公信力造成负面影响。

考虑到之前发生的棱镜门等国外监听计划，政府网站不仅要全站HTTPS，还应选择自主可控的国产SSL证书，不能使用国外SSL证书产品，防止加密流量被监听，防止国家重要民生数据被泄露。由于SSL证书的特殊性，并不是所有国产CA机构都能签发SSL证书，只有通过国际WebTrust认证，才能签发受全球浏览器信任的SSL证书。