統計 / 專題 / 網絡服務

21 個沒有正確設置 TLS 證書的香港公共機構網站

by 2021/01/20

21 bad TLS website

筆者經常會瀏覽巴士公司、鐵路公司的網站,卻發現它們的網站均不支援 TLS 加密。在這個網站加密證書完全免費的年代,令筆者感到非常意外。

筆者決定粗略觀察一下大部分公共機構的網站,看看這個情況是否爲香港公營機構的常態。

內容大綱

    1. 測試方法
      1. 結果
        1. 沒有安裝 TLS 證書
          1. 重新導向以 HTTP 協定連接
            1. 使用了舊版及不安全的 TLS 協定
              1. 沒有重新導向至 HTTPS 協定頁面
                1. 混合內容(Mixed Content)
                2. 參考來源

                  測試方法

                  Google Chrome 前往該公共機構的網站。

                  • 觀察以 HTTP 協定瀏覽網站時,會否自動跳轉並改以 HTTPS 協定連接。
                    • 如果沒有跳轉改以 HTTPS 連接,嘗試手動輸入並以 HTTPS 協定連接該網站。
                  • 以 HTTPS 協定瀏覽該網站,觀察有沒有「Insecure content」的警告。

                  結果

                  以下公共機構的網站出現 SSL/TLS 設定上的錯誤,種類包括:沒有安裝 TLS 證書、重新導向以 HTTP 協定連接、沒有重新導向至 HTTPS 協定頁面、混合內容(Mixed Content)

                  沒有安裝 TLS 證書

                  1. 新大嶼山巴士
                    http://www.newlantaobus.com/
                  2. 香港出口信用保險局
                    http://www.hkecic.com/
                  3. 法改會
                    http://www.lasc.hk/
                  4. 按揭證券有限公司
                    http://www.hkmc.com.hk/
                  5. 職業安全健康局
                    http://www.oshc.org.hk/

                  重新導向以 HTTP 協定連接

                  1. 九巴 KMB
                    https://kmb.hk
                  2. 港鐵 MTR
                    https://mtr.com.hk
                    https://www.mtr.com.hk

                  使用了舊版及不安全的 TLS 協定

                  1. 吸煙與健康委員會
                    https://www.smokefree.hk/
                  21 個沒有正確設置 TLS 證書的香港公共機構網站 1
                  吸煙與健康委員會的網站伺服器僅支援過時的 SSL 3 及 TLS 1.0,非常誇張。

                  沒有重新導向至 HTTPS 協定頁面

                  1. 建造業議會
                    http://www.cic.hk/
                  2. 地產代理監管局
                    http://www.eaa.org.hk/
                  3. 考評局 HKEAA
                    http://www.hkeaa.edu.hk/
                  4. 九廣鐵路 KCRC
                    http://www.kcrc.com/

                  混合內容(Mixed Content)

                  1. 城巴/新巴 Bravo Bus
                    https://www.bravobus.com.hk/
                  2. 行政會議
                    https://www.ceo.gov.hk/
                  3. 法改會
                    https://www.hkreform.gov.hk/
                  4. 懲教署
                    https://www.csd.gov.hk/
                  5. 庫務科
                    https://www.fstb.gov.hk/
                  6. 稅務局
                    https://www.ird.gov.hk/
                  7. 審計署
                    https://www.aud.gov.hk/
                  8. 監警會
                    https://www.ipcc.gov.hk/
                  9. 藝術發展局
                    http://www.hkadc.org.hk/

                  參考來源

                  Let’s Encrypt. (2020, December 14). Retrieved January 19, 2021, from https://zh.wikipedia.org/zh-hk/Let%27s_Encrypt

                  MDN contributors. (2019, March 24). 混合內容. Retrieved January 19, 2021, from https://developer.mozilla.org/zh-TW/docs/Web/Security/Mixed_content

                  Simon East. (2015, August 14). What is the “Upgrade-Insecure-Requests” HTTP header? Retrieved January 19, 2021, from https://stackoverflow.com/a/32003517

                  喜歡尋找網絡上的趣聞,搜刮最新的網絡資訊。

                  發表迴響

                  分類

                  %d 位部落客按了讚: