21 個沒有正確設置 TLS 證書的香港公共機構網站

序
筆者經常會瀏覽巴士公司、鐵路公司的網站,卻發現它們的網站均不支援 TLS 加密。在這個網站加密證書完全免費的年代,令筆者感到非常意外。
筆者決定粗略觀察一下大部分公共機構的網站,看看這個情況是否爲香港公營機構的常態。
測試方法
以 Google Chrome 前往該公共機構的網站。
- 觀察以 HTTP 協定瀏覽網站時,會否自動跳轉並改以 HTTPS 協定連接。
- 如果沒有跳轉改以 HTTPS 連接,嘗試手動輸入並以 HTTPS 協定連接該網站。
- 以 HTTPS 協定瀏覽該網站,觀察有沒有「Insecure content」的警告。
結果
以下公共機構的網站出現 SSL/TLS 設定上的錯誤,種類包括:沒有安裝 TLS 證書、重新導向以 HTTP 協定連接、沒有重新導向至 HTTPS 協定頁面、混合內容(Mixed Content)。
沒有安裝 TLS 證書
- 新大嶼山巴士
http://www.newlantaobus.com/ - 香港出口信用保險局
http://www.hkecic.com/ - 法改會
http://www.lasc.hk/ - 按揭證券有限公司
http://www.hkmc.com.hk/ - 職業安全健康局
http://www.oshc.org.hk/
重新導向以 HTTP 協定連接
使用了舊版及不安全的 TLS 協定
- 吸煙與健康委員會
https://www.smokefree.hk/

沒有重新導向至 HTTPS 協定頁面
- 建造業議會
http://www.cic.hk/ - 地產代理監管局
http://www.eaa.org.hk/ - 考評局 HKEAA
http://www.hkeaa.edu.hk/ - 九廣鐵路 KCRC
http://www.kcrc.com/
混合內容(Mixed Content)
- 城巴/新巴 Bravo Bus
https://www.bravobus.com.hk/ - 行政會議
https://www.ceo.gov.hk/ - 法改會
https://www.hkreform.gov.hk/ - 懲教署
https://www.csd.gov.hk/ - 庫務科
https://www.fstb.gov.hk/ - 稅務局
https://www.ird.gov.hk/ - 審計署
https://www.aud.gov.hk/ - 監警會
https://www.ipcc.gov.hk/ - 藝術發展局
http://www.hkadc.org.hk/
參考來源
Let’s Encrypt. (2020, December 14). Retrieved January 19, 2021, from https://zh.wikipedia.org/zh-hk/Let%27s_Encrypt
MDN contributors. (2019, March 24). 混合內容. Retrieved January 19, 2021, from https://developer.mozilla.org/zh-TW/docs/Web/Security/Mixed_content
Simon East. (2015, August 14). What is the “Upgrade-Insecure-Requests” HTTP header? Retrieved January 19, 2021, from https://stackoverflow.com/a/32003517