lego logo
【莫乃光議員】跟進政府部門網站使用有問題的電子證書
2017-02-20

政府資訊科技總監
楊德斌先生

楊總監:

跟進政府部門網站使用有問題的電子證書

有網絡安全及資訊保安關注團體透過 Google 的 Certificate Transparency 計劃網站查詢香港政府之 ‘gov.hk’ 域名名下的電子證書透明度報告,發現當中有36 筆 WoSign CA Limited 及 StartCom Ltd. 簽發的電子證書,其中 17 張證書仍然有效,涵蓋渠務署、海事處及資訊科技總監辦公室所管轄的公眾網站及內部服務。於香港註冊的中國認證機構沃通 (WoSign)於去年10月被揭發竄改電子證書發行日期以規避業界最新保安標準,各瀏覽器及作業系統廠商已經完全停止信任該機構的所有證書。就政府網站的資訊保安要求,政府當局可否告知:

一) 資訊科技總監辦公室是否知悉沃通 (WoSign)竄改電子證書發行日期並遭各瀏覽器及作業系統廠商停止信任所有證書一事?

二) 資科辦是否知悉所有政府網站及內部服務採用的電子證書?請按簽發公司以表列出;

三) 資科辦是否有為政府部門網站及內部服務訂立資訊保安指引,當中有否包括電子證書的資訊保安要求及標準?如有,這些指引是否會定期或不定期更新?請以表列出過往一年的更新日期及內容撮要;

四) 資訊科技總監是否有向政府部門通報其網站潛在資訊保安問題的機制?除政府部門網站資訊保安指引以外(如有),資科辦是否有其他機制以確保政府網站使用符合資訊保安要求及標準的電子證書?

政府部門網站使用有問題的認證機構證書可能引起潛在保安問題,基於公眾關注,希望閣下能以書面回覆上述查詢。


工作順利

莫乃光
立法會議員(資訊科技界)

170208 – Charles Mok letter to OGCIO


香港中區立法會道1號
立法會綜合大樓917室
莫乃光議員
莫議員:

回覆: 跟進政府部門網站使用有問題的電子證書

閣下於2017年2月8日的來函收悉。

資訊科技總監辦公室(資科辦)在2016年10月得悉有關主要瀏覽器決定停止信任 WoSign 及 StartCom 兩間認證機關的消息後,已隨即通報及提醒各局和部門以檢視其電子證書有否採用相關的認證機關,以確保政府電腦系統及服務正常運作。就相關網絡安全及資訊保安關注團體發現 ‘gov.hk’ 域名當中有一些 WoSign CA Limited 及 StartCom Ltd. 簽發的電子證書仍然有效,資科辦已立即與相關的部門跟進。在2017年1月底前,已將13張相關的電子證書,當中包括1張用於公眾網站和12張用於內部服務、系統開發和測試,全面撤換並於兩間認證機關撤銷這些電子證書。

就著閣下提出的四條問題,現回覆如下。

問題(一):資訊科技總監辦公室是否知悉沃通 (WoSign)竄改電子證書發行日期並遭各瀏覽器及作業系統廠商停止信任所有證書一事?

資科辦於去年十月得悉有關主要瀏覽器決定停止信任 WoSign 及 StartCom 兩間認證機關的消息,並隨即通報及要求各局和部門檢視其電子證書有否採用相關的認證機關,以確保政府電腦系統及服務正常運作。

問題(二):資科辦是否知悉所有政府網站及內部服務採用的電子證書?請按簽發公司以表列出。

政府網站現時採用的電子證書數量約有400張,大部份採用香港認可核政機關香港郵政簽發的電子證書,亦有個別部門會採用其他市場常用的認證機關簽發的電子證書。詳列如下:

認證機關
政府網站採用的電子證書數量
1
Hongkong Post
322
2
Comodo
46
3
RapidSSL
20
4
GlobalSign
16
5
Go Daddy
7
6
Symantec
7
7
GeoTrust
5
8
thawte
3
9
VeriSign
3
10
AlphaSSL
2
11
DigiCert
2
12
Let’s Encrypt
2
13
Apple Worldwide
1
總數
436

除公共服務外,政府用作內部服務使用電子證書的數量有超過3000張,此等電子證書由資科辦營運的內聯網伺服器證書認證機關提供。

問題(三)資科辦是否有為政府部門網站及內部服務訂立資訊保安指引,當中有否包括電子證書的資訊保安要求及標準?如有,這些指引是否會定期或不定期更新?請以表列出過往一年的更新日期及內容撮要。

政府非常重視資訊保安及網絡安全,並已就資訊保安事宜制訂一套全面的《政府資訊科技保安政策及指引》,要求各局和部門嚴格遵行,當中包括使用穩妥可靠的認證機關簽發的證書,及電子證書的資訊保安標準,電子證書的狀態通訊規約,簽發要求,證書概況,撤銷清單概況等要求,以確保服務大眾的網站的真確性。資科辦會定期檢討及更新《政府資訊科技保安政策及指引》,以應對不斷變化的資訊保安威脅及網絡攻擊。最近一次更新為2016年12月。

問題(四):資訊科技總監是否有向政府部門通報其網站潛在資訊保安問題的機制?除政府部門網站資訊保安指引以外(如有),資科辦是否有其他機制以確保政府網站使用符合資訊保安要求及標準的電子證書?

政府一直密切注視網絡攻擊的趨勢及有關的保安威脅。通過收集和分析網絡保安資訊和情報,資科辦會適時向各局和部門發放保安警報及資訊,提醒各局和部門嚴格執行資訊保安管理及落實應變措施,以加强支援政府的資訊及網絡保安工作。

基於穩妥可靠的認證機關及電子證書對資訊安全的考慮和有助提升網站及其服務的可信性,資科辦會加强要求各部門在與互聯網連接的伺服器上全面採用由香港的認可核證機關簽發的認可伺服器證書。

多蒙莫議員關心這個問題,謹此致謝。

 

政府資訊科技總監楊德斌
2017年2月20日

Reply from OGCIO (20170220)
Office Of Hon. Charles Mok, Legislative Councillor (IT)