21 個沒有正確設置 TLS 證書的香港公共機構網站

Share
21 bad TLS website

筆者經常會瀏覽巴士公司、鐵路公司的網站,卻發現它們的網站均不支援 TLS 加密。在這個網站加密證書完全免費的年代,令筆者感到非常意外。

筆者決定粗略觀察一下大部分公共機構的網站,看看這個情況是否爲香港公營機構的常態。

測試方法

Google Chrome 前往該公共機構的網站。

  • 觀察以 HTTP 協定瀏覽網站時,會否自動跳轉並改以 HTTPS 協定連接。
    • 如果沒有跳轉改以 HTTPS 連接,嘗試手動輸入並以 HTTPS 協定連接該網站。
  • 以 HTTPS 協定瀏覽該網站,觀察有沒有「Insecure content」的警告。

結果

以下公共機構的網站出現 SSL/TLS 設定上的錯誤,種類包括:沒有安裝 TLS 證書、重新導向卻以 HTTP 協定連接、沒有重新導向至 HTTPS 協定頁面、混合內容(Mixed Content)

沒有安裝 TLS 證書

  1. 新大嶼山巴士
    http://www.newlantaobus.com/
  2. 香港出口信用保險局
    http://www.hkecic.com/
  3. 法改會
    http://www.lasc.hk/
  4. 按揭證券有限公司(2021/03/05 更新:網站已透過 301 Redirect 解決問題)
    http://www.hkmc.com.hk/
  5. 職業安全健康局
    http://www.oshc.org.hk/

重新導向卻以 HTTP 協定連接

  1. 九巴 KMB
    https://kmb.hk
  2. 港鐵 MTR
    https://mtr.com.hk
    https://www.mtr.com.hk

使用了舊版及不安全的 TLS 協定

  1. 吸煙與健康委員會(2021/06/30 更新:網站已解決問題)
    https://www.smokefree.hk/
21 個沒有正確設置 TLS 證書的香港公共機構網站 1
吸煙與健康委員會的網站伺服器在修正前僅支援過時的 SSL 3 及 TLS 1.0。

沒有重新導向至 HTTPS 協定頁面

  1. 建造業議會
    http://www.cic.hk/
  2. 地產代理監管局
    http://www.eaa.org.hk/
  3. 考評局 HKEAA(2021/06/30 更新:網站已解決問題)
    http://www.hkeaa.edu.hk/
  4. 九廣鐵路 KCRC(2021/06/30 更新:網站已解決問題)
    http://www.kcrc.com/

混合內容(Mixed Content)

  1. 城巴/新巴 Bravo Bus
    https://www.bravobus.com.hk/
  2. 行政長官(2021/03/05 更新:網站已修正問題)
    https://www.ceo.gov.hk/
  3. 法改會
    https://www.hkreform.gov.hk/
  4. 懲教署
    https://www.csd.gov.hk/
  5. 庫務科(2021/06/30 更新:網站已解決問題)
    https://www.fstb.gov.hk/
  6. 稅務局
    https://www.ird.gov.hk/
  7. 審計署
    https://www.aud.gov.hk/
  8. 監警會(2021/06/30 更新:網站已解決問題)
    https://www.ipcc.gov.hk/
  9. 藝術發展局(2021/03/05 更新:網站已修正問題)
    http://www.hkadc.org.hk/

參考來源

Let’s Encrypt. (2020, December 14). Retrieved January 19, 2021, from https://zh.wikipedia.org/zh-hk/Let%27s_Encrypt

MDN contributors. (2019, March 24). 混合內容. Retrieved January 19, 2021, from https://developer.mozilla.org/zh-TW/docs/Web/Security/Mixed_content

Simon East. (2015, August 14). What is the “Upgrade-Insecure-Requests” HTTP header? Retrieved January 19, 2021, from https://stackoverflow.com/a/32003517


Also published on Medium.

喜歡尋找網絡上的趣聞,搜刮最新的網絡資訊。

發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料

%d 位部落客按了讚: