21 個沒有正確設置 TLS 證書的香港公共機構網站

序

筆者經常會瀏覽巴士公司、鐵路公司的網站，卻發現它們的網站均不支援 TLS 加密。在這個網站加密證書完全免費的年代，令筆者感到非常意外。

筆者決定粗略觀察一下大部分公共機構的網站，看看這個情況是否爲香港公營機構的常態。

測試方法

以 Google Chrome 前往該公共機構的網站。

• 觀察以 HTTP 協定瀏覽網站時，會否自動跳轉並改以 HTTPS 協定連接。
  • 如果沒有跳轉改以 HTTPS 連接，嘗試手動輸入並以 HTTPS 協定連接該網站。
• 以 HTTPS 協定瀏覽該網站，觀察有沒有「Insecure content」的警告。

結果

以下公共機構的網站出現 SSL/TLS 設定上的錯誤，種類包括：沒有安裝 TLS 證書、重新導向卻以 HTTP 協定連接、沒有重新導向至 HTTPS 協定頁面、混合內容（Mixed Content）。

沒有安裝 TLS 證書

1. 新大嶼山巴士
   http://www.newlantaobus.com/
2. 香港出口信用保險局
   http://www.hkecic.com/
3. 法改會
   http://www.lasc.hk/
4. 按揭證券有限公司（2021/03/05 更新：網站已透過 301 Redirect 解決問題）
   http://www.hkmc.com.hk/
5. 職業安全健康局
   http://www.oshc.org.hk/

重新導向卻以 HTTP 協定連接

6. 九巴 KMB
   https://kmb.hk
7. 港鐵 MTR
   https://mtr.com.hk
   https://www.mtr.com.hk

使用了舊版及不安全的 TLS 協定

8. 吸煙與健康委員會
   https://www.smokefree.hk/

沒有重新導向至 HTTPS 協定頁面

9. 建造業議會
   http://www.cic.hk/
10. 地產代理監管局
    http://www.eaa.org.hk/
11. 考評局 HKEAA
    http://www.hkeaa.edu.hk/
12. 九廣鐵路 KCRC
    http://www.kcrc.com/

混合內容（Mixed Content）

13. 城巴/新巴 Bravo Bus
    https://www.bravobus.com.hk/
14. 行政長官（2021/03/05 更新：網站已修正問題）
    https://www.ceo.gov.hk/
15. 法改會
    https://www.hkreform.gov.hk/
16. 懲教署
    https://www.csd.gov.hk/
17. 庫務科
    https://www.fstb.gov.hk/
18. 稅務局
    https://www.ird.gov.hk/
19. 審計署
    https://www.aud.gov.hk/
20. 監警會
    https://www.ipcc.gov.hk/
21. 藝術發展局（2021/03/05 更新：網站已修正問題）
    http://www.hkadc.org.hk/

參考來源

Let’s Encrypt. (2020, December 14). Retrieved January 19, 2021, from https://zh.wikipedia.org/zh-hk/Let%27s_Encrypt

MDN contributors. (2019, March 24). 混合內容. Retrieved January 19, 2021, from https://developer.mozilla.org/zh-TW/docs/Web/Security/Mixed_content

Simon East. (2015, August 14). What is the “Upgrade-Insecure-Requests” HTTP header? Retrieved January 19, 2021, from https://stackoverflow.com/a/32003517