21 個沒有正確設置 TLS 證書的香港公共機構網站

序
筆者經常會瀏覽巴士公司、鐵路公司的網站,卻發現它們的網站均不支援 TLS 加密。在這個網站加密證書完全免費的年代,令筆者感到非常意外。
筆者決定粗略觀察一下大部分公共機構的網站,看看這個情況是否爲香港公營機構的常態。
測試方法
以 Google Chrome 前往該公共機構的網站。
- 觀察以 HTTP 協定瀏覽網站時,會否自動跳轉並改以 HTTPS 協定連接。
- 如果沒有跳轉改以 HTTPS 連接,嘗試手動輸入並以 HTTPS 協定連接該網站。
- 以 HTTPS 協定瀏覽該網站,觀察有沒有「Insecure content」的警告。
結果
以下公共機構的網站出現 SSL/TLS 設定上的錯誤,種類包括:沒有安裝 TLS 證書、重新導向卻以 HTTP 協定連接、沒有重新導向至 HTTPS 協定頁面、混合內容(Mixed Content)。
沒有安裝 TLS 證書
新大嶼山巴士(2022/03/07 更新:網站已安裝 TLS 證書並透過 302 Redirect 解決問題)http://www.newlantaobus.com/- 香港出口信用保險局
http://www.hkecic.com/ - 法改會
http://www.lasc.hk/ 按揭證券有限公司(2021/03/05 更新:網站已安裝 TLS 證書並透過 301 Redirect 解決問題)http://www.hkmc.com.hk/職業安全健康局(2022/03/07 更新:網站已安裝 TLS 證書並透過 302 Redirect 解決問題)http://www.oshc.org.hk/
重新導向卻以 HTTP 協定連接
九巴 KMB(2022/03/07 更新:網站已解決問題)https://kmb.hk港鐵 MTR(2022/03/07 更新:網站已解決問題)https://mtr.com.hk
https://www.mtr.com.hk
使用了舊版及不安全的 TLS 協定
吸煙與健康委員會(2021/06/30 更新:網站已解決問題)https://www.smokefree.hk/

沒有重新導向至 HTTPS 協定頁面
建造業議會(2022/03/07 更新:網站已安裝 TLS 證書並透過 302 Redirect 解決問題)http://www.cic.hk/- 地產代理監管局
http://www.eaa.org.hk/ 考評局 HKEAA(2021/06/30 更新:網站已解決問題)http://www.hkeaa.edu.hk/九廣鐵路 KCRC(2021/06/30 更新:網站已解決問題)http://www.kcrc.com/- 城巴/新巴 Bravo Bus
http://www.bravobus.com.hk/
混合內容(Mixed Content)
行政長官(2021/03/05 更新:網站已修正問題)https://www.ceo.gov.hk/法改會(2022/03/07 更新:網站已修正問題)https://www.hkreform.gov.hk/- 懲教署
https://www.csd.gov.hk/ 庫務科(2021/06/30 更新:網站已解決問題)https://www.fstb.gov.hk/- 稅務局
https://www.ird.gov.hk/ - 審計署
https://www.aud.gov.hk/ 監警會(2021/06/30 更新:網站已解決問題)https://www.ipcc.gov.hk/藝術發展局(2021/03/05 更新:網站已修正問題)http://www.hkadc.org.hk/
參考來源
Let’s Encrypt. (2020, December 14). Retrieved January 19, 2021, from https://zh.wikipedia.org/zh-hk/Let%27s_Encrypt
MDN contributors. (2019, March 24). 混合內容. Retrieved January 19, 2021, from https://developer.mozilla.org/zh-TW/docs/Web/Security/Mixed_content
Simon East. (2015, August 14). What is the “Upgrade-Insecure-Requests” HTTP header? Retrieved January 19, 2021, from https://stackoverflow.com/a/32003517
Also published on Medium.