統計 / 專題 / 網絡服務

21 個沒有正確設置 TLS 證書的香港公共機構網站

by 2021/01/20

Share
21 bad TLS website

筆者經常會瀏覽巴士公司、鐵路公司的網站,卻發現它們的網站均不支援 TLS 加密。在這個網站加密證書完全免費的年代,令筆者感到非常意外。

筆者決定粗略觀察一下大部分公共機構的網站,看看這個情況是否爲香港公營機構的常態。

內容大綱

    1. 測試方法
      1. 結果
        1. 沒有安裝 TLS 證書
          1. 重新導向卻以 HTTP 協定連接
            1. 使用了舊版及不安全的 TLS 協定
              1. 沒有重新導向至 HTTPS 協定頁面
                1. 混合內容(Mixed Content)
                2. 參考來源

                  測試方法

                  Google Chrome 前往該公共機構的網站。

                  • 觀察以 HTTP 協定瀏覽網站時,會否自動跳轉並改以 HTTPS 協定連接。
                    • 如果沒有跳轉改以 HTTPS 連接,嘗試手動輸入並以 HTTPS 協定連接該網站。
                  • 以 HTTPS 協定瀏覽該網站,觀察有沒有「Insecure content」的警告。

                  結果

                  以下公共機構的網站出現 SSL/TLS 設定上的錯誤,種類包括:沒有安裝 TLS 證書、重新導向卻以 HTTP 協定連接、沒有重新導向至 HTTPS 協定頁面、混合內容(Mixed Content)

                  沒有安裝 TLS 證書

                  1. 新大嶼山巴士
                    http://www.newlantaobus.com/
                  2. 香港出口信用保險局
                    http://www.hkecic.com/
                  3. 法改會
                    http://www.lasc.hk/
                  4. 按揭證券有限公司(2021/03/05 更新:網站已透過 301 Redirect 解決問題)
                    http://www.hkmc.com.hk/
                  5. 職業安全健康局
                    http://www.oshc.org.hk/

                  重新導向卻以 HTTP 協定連接

                  1. 九巴 KMB
                    https://kmb.hk
                  2. 港鐵 MTR
                    https://mtr.com.hk
                    https://www.mtr.com.hk

                  使用了舊版及不安全的 TLS 協定

                  1. 吸煙與健康委員會(2021/06/30 更新:網站已解決問題)
                    https://www.smokefree.hk/
                  21 個沒有正確設置 TLS 證書的香港公共機構網站 1
                  吸煙與健康委員會的網站伺服器在修正前僅支援過時的 SSL 3 及 TLS 1.0。

                  沒有重新導向至 HTTPS 協定頁面

                  1. 建造業議會
                    http://www.cic.hk/
                  2. 地產代理監管局
                    http://www.eaa.org.hk/
                  3. 考評局 HKEAA(2021/06/30 更新:網站已解決問題)
                    http://www.hkeaa.edu.hk/
                  4. 九廣鐵路 KCRC(2021/06/30 更新:網站已解決問題)
                    http://www.kcrc.com/

                  混合內容(Mixed Content)

                  1. 城巴/新巴 Bravo Bus
                    https://www.bravobus.com.hk/
                  2. 行政長官(2021/03/05 更新:網站已修正問題)
                    https://www.ceo.gov.hk/
                  3. 法改會
                    https://www.hkreform.gov.hk/
                  4. 懲教署
                    https://www.csd.gov.hk/
                  5. 庫務科(2021/06/30 更新:網站已解決問題)
                    https://www.fstb.gov.hk/
                  6. 稅務局
                    https://www.ird.gov.hk/
                  7. 審計署
                    https://www.aud.gov.hk/
                  8. 監警會(2021/06/30 更新:網站已解決問題)
                    https://www.ipcc.gov.hk/
                  9. 藝術發展局(2021/03/05 更新:網站已修正問題)
                    http://www.hkadc.org.hk/

                  參考來源

                  Let’s Encrypt. (2020, December 14). Retrieved January 19, 2021, from https://zh.wikipedia.org/zh-hk/Let%27s_Encrypt

                  MDN contributors. (2019, March 24). 混合內容. Retrieved January 19, 2021, from https://developer.mozilla.org/zh-TW/docs/Web/Security/Mixed_content

                  Simon East. (2015, August 14). What is the “Upgrade-Insecure-Requests” HTTP header? Retrieved January 19, 2021, from https://stackoverflow.com/a/32003517

                  Also published on Medium.

                  喜歡尋找網絡上的趣聞,搜刮最新的網絡資訊。

                  發表迴響

                  分類

                  %d 位部落客按了讚: