Em 2016, nos perguntamos: quantos sites do governo federal oferecem suporte a HTTPS? Nós descobrimos que você está pronto? Na verdade - 2 (em palavras: dois, Karl!) Sites de 85. Formalmente - 32 com suporte, ou seja, HTTPS foi habilitado nos servidores, mas então tudo dependia da desleixo tradicional russo: o certificado SSL estava expirado, autoassinado ou mesmo de outro site, a conexão HTTPS muda automaticamente para HTTP ou redireciona para o painel de administração do site, o servidor web é vulnerável a ROBÔ, POODLE e outros excessos ruins, conexão HTTPS somente sobre SSL e outros filhos da folia.
Portanto, mesmo de acordo com nossos critérios modestos - um certificado SSL válido, suporte para TLS 1.2 e recusa em usar algoritmos de criptografia vulneráveis ou não confiáveis como DH e RC4 - na verdade, apenas 2 sites suportavam HTTPS (lembre-se, de 85 pesquisados).
Hoje, fizemos novamente a mesma pergunta, embora restringindo um pouco os critérios, mas mesmo assim a situação acabou sendo muito melhor : 27 de 82 sites podem ser considerados como realmente compatíveis com HTTPS e mais 23 - condicionalmente. Condicionalmente, no sentido de que sob certas condições, dependendo em maior medida do lado do cliente: a versão atual do navegador, configurada de acordo com a mente, HTTPS era indicado por alças - a conexão é protegida, eles não forneciam nenhuma das anteriores - depende.
Outros 8 sites apenas imitam o suporte para HTTPS (todos com a mesma desleixo): certificados SSL autoassinados (Assay Office) e curvas (Ministério da Defesa e FADN), suítes de criptografia vulneráveis (Ministério do Desenvolvimento Econômico), em alguns lugares eles ainda não ouviram sobre atualizações de software e sua web -servidores brilham na Net com banners amigáveis "Temos ROBÔ E POODLE!" (Ministério da Construção, Rosreestr, Rosfinmonitoring e Rosnedra).
Os 24 sites restantes, começando com o presidencial e terminando com o CEC, fizeram um trabalho ainda mais fácil: sem HTTPS, sem problemas. SVR - por que precisamos de uma conexão segura? FSB - relata a preparação de um ataque terrorista via HTTP! FSO - não temos nada a esconder, você também. Não sabemos ao certo, é claro, mas, aparentemente, há uma espécie de lógica: o chá não é o site de um banco e não é uma VKontagtag, você pode fazer sem uma conexão segura.
Em geral, tudo o que hoje, por alguns milhares de rublos por ano, oferece hospedagem virtual mais ou menos decente: um certificado SSL normal da Let's Encrypt, uma versão atualizada de um servidor web e bibliotecas criptográficas com configurações inteligentes, a maioria das autoridades russas ainda não disponível ainda. Mas todo mundo, ei, tem algum tipo de GIVTs subordinados com o estado e orçamento apropriados ...