截至2018年12月22日，美国政府部分部门因拨款失误"关门"。停产导致了整个政府雇员的休假，并影响了联邦合同。这次关闭的一个意想不到的副作用是一些.gov网站上的TLS证书过期。这种副作用强调了互联网上的一个共同问题：过期证书的使用及其侵蚀信任。为了一个实体要提供一个安全的网站，它需要一个有效的TLS证书附加到网站服务器。这些TLS证书有开始日期和到期日期。通常证书在到期前会被更新。但是，如果没有人执行这个过程，那么网站会提供过期的证书——安全性很差练习。这个这意味着人们在寻找政府信息或资源时，可能会在访问important.gov时遇到令人担忧的错误消息网站：内容网站没有改变；只是加密交换无效（过期的证书无法验证）。这些过期的证书存在信任问题。证书错误通常会阻止人们访问网站，并暗示该网站不值得信任。浏览器故意通过隐藏"高级设置/操作"按钮下的"继续"选项，使其难以继续访问不安全的网站。在上面的例子中，在自然灾害之后寻求援助的人可能无法访问政府网站信息。匡威对于上述情况，一些互联网用户可能会对证书错误消息不敏感。在其他可信网站上看到过期的证书将教会用户消除证书错误并绕过它们，即使证书（和网站）确实不安全。此外，密钥应定期轮换，以尽量减少因密钥泄露而易受攻击的通信量。使用过期证书就是将公私密钥对的使用延长到预期的生命周期之外，并为潜在的用户打开更多的流量窥探。追踪使用Certificate Transparency MonitorsTechCrunch的过期.gov证书最近发布了一个.gov域即将过期的证书列表。为了创建这个列表，他们迭代了由联邦政府数字服务部门18F提供的所有联邦政府域的数据集。对于列表中的每个.gov域，他们都会提取其证书并检查其有效期。然后他们过滤掉了州和地方政府域。依赖但是，对于这个列表来说，引入了一个单点故障。如果18F的列表不是最新的呢？如果18F关停了怎么办？如果18F的名单不是决定性的呢？（他们的列表实际上不包括.gov子域）。政府网站不可能是所有网站的唯一提供者。第三方收集.gov证书将增强过期证书的完整性和可用性信息。Cloudflare梅克尔镇的Certificate Transparency（CT）监视器就是这样的第三方。在TechCrunch进行研究的同时，Cloudflare使用Merkle Town查找即将到期的.gov证书。CT监视器是证书透明生态系统的一部分。证书透明日志用于存储Internet上所有已颁发的证书，并使证书颁发机构对其颁发的证书负责。这意味着CT日志保存了所有已颁发的.gov证书，因此您可以查阅这些证书以获得详尽的列表。另一方面，证书透明监视器有助于保持CT日志的可靠性，并使其原始批量数据对公众有用。除了梅克尔镇，阴极射线管和Cert Spotter是其他例子监视器nity grity监视器从爬网CT日志中提取的所有证书都存储在HBase表中。HBase是一个类似于Google Bigtable的数据库，旨在存储大量数据并运行MapReduce作业。使用MapReduce模型，我们编写了少量代码来查看数据库的每一行，解析存储的证书并检查（1）它是否对以".gov"结尾的域有效，（2）将在接下来的两个月内过期。如果（1）和（2）为true，则主机名、颁发证书颁发机构的名称和过期日期为输出。一次代码被部署后，花了90分钟扫描了存储在所有CT日志中的10亿个唯一证书。这意味着它每秒处理大约200000个证书！MapReduce的工作给了我们一个初步而全面的列表。但是仅仅因为证书是由CA颁发的并不意味着它已经被服务了。我们对第一个列表进行了第二次检查，这次实际上是联系每个域并尝试完成TLS握手并观察旧证书是否仍在服务。如果是这样，主机名将保留在最终列表中。如果握手成功，但有一个新证书正在服务，我们将丢弃主机名。如果握手失败，则排除主机名并记录错误消息。在我们的最后一个数据集中，我们过滤出了与州和地方政府相对应的.gov域，以及那些似乎已经由早期拨款资助的联邦政府域。我们的结果可以找到在这里。出乎意料Mis configurations如预期，大量主机名在第二次检查时被排除在外，因为它们已经更新了证书。另一小部分主机名也被排除在外，因为这些网站无法访问或不再运行。但是，我们发现TLS配置错误的主机名比预期的多，尽管它们是面向公众的网站消费。安例如https://cableplant.boulder.noaa.gov当前无法加载此错误：错误在连接到期间发生美国国家海洋和大气管理局.gov.SSL收到的记录超过了最大允许长度。错误代码：SSL_Error_RX_RECORD_TOO_LONGA我们发现的更微妙的问题是https://www.indianaffairs.gov/以及https://www.志愿者.gov/。我们的脚本无法验证这些网站的证书链，即使这些网站似乎在浏览器中加载良好。原因是这些网站忽略了它们的证书链的一部分，这些部分是验证证书是否来自公共信任的证书所必需的权威。到提高页面加载时间，浏览器通常会在磁盘上缓存部分证书链。因此，即使一个网站没有发送所有必需的证书，浏览器也可能在其缓存中找到所需的内容，该缓存已由以前的浏览活动填充。不过，这还只是缓存。这是不可信赖的。在我的例子中，在清除我的浏览器历史记录后，上面的两个网站都变得无法访问，与剧本怎么写域可以停止提供过期证书吗？.gov过期证书的出现意味着要么（1）.gov证书被手动更新，要么（2）.gov证书需要花钱更新，而关闭则阻止了在这一重要的网络安全方面的开支自动测量证书颁发已经成为许多领域的标准，当您使用Universal SSL或获得Cloudflare颁发的证书时，Cloudflare等服务提供自动证书续订。CA（如Let's Encrypt）还提供自动证书续订，只要您在Web服务器上运行certbot守护程序，它就可以工作。此外，自动证书更新是免费的这两个方法。自动化证书更新使过期的证书和配置错误的TLS成为过去的问题。我们希望这个有趣的小插曲和一些.gov证书可以鼓励域所有者自动化他们的证书处理。如果您尚未自动更新域的证书，请立即尝试Universal SSL或Cloudflare证书！非常感谢Alissa Starzak为本博客文章过滤.gov域名的帮助。