Nieuwe .gov-domeinen van de Amerikaanse overheid zullen vanaf 1 september dit jaar alleen nog via https toegankelijk zijn, ook wanneer gebruikers http in hun adresbalk tikken. Dat heeft DotGov bekendgemaakt, de autoriteit van het .gov top level domain (TLD). Dit TLD is beschikbaar voor Amerikaanse overheidsinstanties op regionaal, staats en federaal niveau.

Al een aantal jaren maakt de Amerikaanse overheid voor nieuwe .gov-domeinen gebruik van https. Dit wordt echter niet afgedwongen. Wanneer gebruikers http intikken kan het onversleutelde verzoek door aanvallers worden opgevangen. Dit is door middel van HTTP Strict Transport Security (HSTS) te voorkomen. HSTS zorgt ervoor dat websites die via https te bezoeken zijn alleen via https worden bezocht, ook al wordt er door de gebruiker http in de adresbalk ingevoerd.

De browser vangt in dit geval de opdracht van de gebruiker af en verandert die automatisch in https. Zodoende wordt er geen informatie over het onbeveiligde http verstuurd. Om van HSTS gebruik te kunnen maken moet de browser van de gebruiker wel een keer de HSTS-header van het betreffende domein hebben gezien. Iets wat in bepaalde gevallen nooit zal gebeuren.

Veel Amerikaanse overheidssites sturen bezoekers direct door van http://domain.gov naar https://www.domain.gov. Daarnaast zijn er veel overheidsdomeinen die alleen worden gebruikt voor het doorsturen naar de juiste locatie, bijvoorbeeld van http://source.gov naar https://destination.gov. In beide gevallen wordt https://domain.gov nooit bezocht en zal de browser van gebruikers niet de HSTS-header te zien krijgen.

Om ervoor te zorgen dat websites ook bij het allereerste bezoek alleen via https worden bezocht maken browsers gebruik van een HSTS-preloadlist. Deze lijst bevat hostnames waarvoor de browser automatisch een https-verbinding afdwingt. Domeineigenaren kunnen hun domeinen via hstspreload.org voor deze lijst aanmelden. Iets wat DotGov al sinds 2018 doet voor nieuwe federale overheidsdomeinen eindigend op .gov. Vanaf 1 september dit jaar wordt het voor alle nieuwe .gov-domeinen gedaan.

Het is echter ook mogelijk om een heel top level domain te preloaden. Deze maatregel zal echter pas over een paar jaar worden doorgevoerd. Wanneer dit nu zou worden gedaan zouden sommige Amerikaanse overheidssites die nog van http gebruikmaken niet meer voor gebruikers toegankelijk zijn. Daarom is er een stappenplan opgesteld om een mogelijke deadline voor het preloaden van de .gov-TLD vast te stellen en ervoor te zorgen dat .gov-domeineigenaren hiervoor klaar zijn.