Google、HTTPSをウェブのデフォルトにするためにChromeのセキュリティをさらに強化
[レベル: 上級] Google は HTTPS を Chrome で、デフォルトの通信に移行する計画です。 これは、いくつかの取り組みを通じて行われます。 HTTPS への自動アップグレード Chrome は、リンクが http:// を指定していても、自動的に https:// に変換して接続を試みます。 HSTS と同等の処理を Chrome が実行します。 ただし HSTS とは異なり、HTTPS へのアップグレードが失敗した場合はフォールバックとして HTTP で接続します。 これにより、HTTPS を利用できない場合にのみ HTTP を使用することが保証されます。 現在、Chrome 115 でこの変更を試験運用しており、ウェブ全体での動作を標準化し、すぐにすべてのユーザーに対してこの機能を最終的にはロールアウトする計画です。 安全でないダウンロードに関する警告 安全でない H
An Update on the Lock Icon
$200K 1 10th birthday 4 abusive ads 1 abusive notifications 2 accessibility 3 ad blockers 1 ad blocking 2 advanced capabilities 1 android 2 anti abuse 1 anti-deception 1 background periodic sync 1 badging 1 benchmarks 1 beta 83 better ads standards 1 billing 1 birthday 4 blink 2 browser 2 browser interoperability 1 bundles 1 capabilities 6 capable web 1 cds 1 cds18 2 cds2018 1 chrome 35 chrome 81
Let's Encryptのルート証明書切替周り(完結編) | おそらくはそれさえも平凡な日々
tl;dr 驚くべきハックにより旧Androidも引き続き証明書エラーなくサイトを閲覧できそうです いよいよ5/4に標準の証明書チェーンが切り替わります 前回までのおさらい Android7.1以前でLet's Encrypt証明書のサイトが見られなくなる Let's Encryptの証明書切替周りその後 Let's Encryptはルート証明書を自身(ISRG)の認証局のルート証明書(ISRG Root X1)に切り替えようとしています。現在は、IdenTrustのルート証明書(DST Root CA X3)が使われています。 正確に言うと、ISRGは新しい認証局なのでそのルート証明書の普及率も当然低く、中間証明書はIdenTrustのルート証明書でクロスサインされており、それが標準で使われています。標準がDSTになっているだけで、ISRGのルート証明書のチェーンの証明書も指定すれば今で
Use HTTPS for local development | Articles | web.dev
Use HTTPS for local development Stay organized with collections Save and categorize content based on your preferences. Most of the time, http://localhost behaves like HTTPS for development purposes. However, there are some special cases, such as custom hostnames or using secure cookies across browsers, where you need to explicitly set up your development site to behave like HTTPS to accurately rep
無料の証明書発行を「Let’s Encryptだけに頼るのは問題」との指摘、どんな代替サービスがあるのか?
SSL証明書を無料で発行してくれる認証機関「Let’s Encrypt」は、2014年の設立から安全なインターネットの利用に大きく貢献しています。しかし、ハッカーであり研究者でもあるScott Helme氏は、無料の証明書発行をLet’s Encryptのみに頼っている現状を問題として取り上げ、Let’s Encryptの代替となるサービスを紹介しています。 Introducing another free CA as an alternative to Let's Encrypt https://scotthelme.co.uk/introducing-another-free-ca-as-an-alternative-to-lets-encrypt/ Free SSL Certificates and SSL Tools - ZeroSSL https://zerossl.com/ L
混合コンテンツとおさらば、HTTPで配信する画像をChromeがHTTPSに自動アップグレード
[レベル: 上級] Google Chrome で混合コンテンツを心配する必要はもうありません。 HTTPS ページなのに HTTP で配信されたコンテンツを、自動的に HTTPS で読み込んでくれます。 混合コンテンツの画像を自動アップグレード HTTPS のページにもかかわらず HTTP で画像を配信している場合、従来は混合コンテンツとして警告対象になりオムニボックス(URL バー)には鍵マークは出ませんでした。 混合コンテンツに対処するために、Chrome における混合コンテンツの扱いを段階的に変更することを Google は 1 年前にアナウンスしています(Web担当者Forum でのコラムの方がわかりやすいかも)。 最新バージョンの Chrome (安定版 Chrome 86 で確認)は、画像が混合コンテンツになっている場合に自動的に HTTPS にアップグレードして読み込みを試
2020年9月よりAppleがSSL証明書の有効期間を13か月に短縮!詳細や対策とは? | さくらのSSL
今後Safariで起きること Safariとは、Appleで開発されているWebブラウザであり、パソコンであるMacの他にiPhoneやiPad、Apple TV、Apple Watchなどの端末に標準で搭載されています。 このSafariにおいて、2020年9月1日以降に発行された「有効期間が399日以上」のSSLサーバー証明書(以下、SSL証明書)が信頼されないことになります。 具体的なエラー画面の仕様などは明らかにされていませんが、Appleの発表に「This might cause network and app failures and prevent websites from loading.」と書かれていることから、失効したSSL証明書を利用しているサイトにアクセスした時のように、全画面でエラーが表示されてサイトへはアクセスできなくなってしまうことが考えられます。 購入済み
Google Chrome、4月から混在ダウンロードの禁止を開始 - 準備を
HTTPSで提供されているページで、HTTP経由でのリソースやファイルダウンロードを提供している場合、少なくとも2020年4月から徐々にそのファイルはダウンロードできなくなる。現状、そのような提供形態を取っているのであれば、すべてHTTPS経由で提供するように変更していく必要がある。 Google Chromeチームは2020年2月6日(米国時間)、「Google Online Security Blog: Protecting users from insecure downloads in Google Chrome」において、2020年4月の配信を予定しているChrome 82から混在コンテンツのダウンロードブロックを開始すると伝えた。 HTTPSのページでHTTPによるリソースの提供やファイルのダウンロード提供などがブロックに該当する。ブロックは次の手順で段階的に進められるとされて
TLS1.3時代の新常識
TLS • TLS (reliable) endpoint endpoint CC BY 3.0 https://www.youtube.com/user/TheWikiLeaksChannel ClientHello+ ApplicationData end_of_early_data Finished ServerHello EncryptedExtension ServerConfiguration Certificate CertificateVerify Finished ApplicationData
2018年9月リリースのChrome 69がHTTPSページの保護された通信ラベルを非表示に
[レベル: 上級] 今月リリースされた Chrome 69 では、HTTPS ページのセキュリティ インジケータに「保護された通信」ラベルと https:// のスキームが表示されなくなりました。 HTTPS ページのラベルとスキームが非表示に Chrome 68 までは HTTPS は次のように表示されていました。 「保護された通信」ラベルと https:// が URL に付いています。 Chrome 69 ではこのように変わりました。 次の変更点があります。 「保護された通信」ラベルなし https:// なし 鍵アイコンの色が緑から黒へ ドメイン名の www なし 鍵マークは残っているものの、ラベルもスキームもなくなりました。 さらに色を黒に変えたため、いっそう目立たなくなった印象を受けます。 ウェブが HTTPS 通信で保護されているのは当然のことという理念のもとにラベルとスキー
トップ100万サイト、HTTPSを積極的に採用
ESETは9月3日(米国時間)、「HTTPS on the rise as most popular websites use it」において、トップ100万サイトにおいてHTTPSの採用が再び堅調に伸びていること、その原動力としてGoogle Chromeの取り組みとLet's Encryptによって無償で簡単に証明書が取得できるといった状況があることを説明した。 ESETはセキュリティ研究者であるScott Helme氏の公開した記事「Alexa Top 1 Million Analysis - August 2018」を引き合いに出し、2017年末から2018年初頭ごろに見られたHTTPS採用の勢いの低下は継続せず、むしろその後はHTTPSへの移行が勢いよく進んでいると指摘している。 トップ100万サイトにおけるHTTPSの採用数 - 資料: scotthelme.co.uk HTT
Chromeで信頼されなくなるSymantec発行のSSL証明書かどうか判定・確認する方法
SSL証明書が「信頼されない」とHTTPSサイト表示時にエラーが生じる 最初に「SSL証明書が信頼されない」とはどういうことか説明しよう。 Chromeに限らずWebブラウザは、HTTPSのWebサイトに接続する際、SSL証明書が正当なものかどうか検証する。もし有効期限や共通名(コモンネーム)、発行元(認証局)などに何かしら異常が見つかった場合、アドレスバー左端のアイコンやブラウザペインにその旨のエラーを表示してエンドユーザーに知らせる。 この状態ではHTTPSによる暗号化は信頼できず、通信中に盗聴や改ざん、なりすましの被害を受ける危険がある。 つまり、近い将来、Symantecの認証局から発行されたSSL証明書を組み込んであるWebサイトに対し、Chromeで閲覧したエンドユーザーにはこうしたエラーが表示されるようになる、ということだ。Webサイト運営・管理側としては何としても避けるべき
Let’s EncryptとACME | IIJ Engineers Blog
社会人生活の半分をフリーランス、半分をIIJで過ごすエンジニア。元々はアプリケーション屋だったはずが、クラウドと出会ったばかりに半身をインフラ屋に売り渡す羽目に。現在はコンテナ技術に傾倒中だが語りだすと長いので割愛。タグをつけるならコンテナ、クラウド、ロードバイク、うどん。 2018年7月はWeb業界にとって記憶に残る日になるでしょう。httpsが標準となった日として。 これまでWebサイトへのアクセスにはhttpを利用するのが通常で、安全性が求められる場合にはhttpsを利用すると考えられてきましたが、これからはhttpsを使うのが当たり前になっていくでしょう。この流れを強力にけん引しているのは、保守的な我が国においてもトップシェアブラウザとなったChromeを擁するGoogleであることはご存知の通りです。これまではhttpでのアクセスには特に表記はなく、httpsでアクセスすると「保
HTTPS Checkerはhttps変更作業にとても役立ちます。 - 超メモ帳(Web式)@復活
今日はhttps対応をしていて見つけたテクニックやツールなんかを紹介してまいろう。 まずはContent-Security-Policy: upgrade-insecure-requestsでhttpをhttpsとして強制的に読み込む方法。これはコバろぐさんで紹介されているのを知って、ひとまず追加しておくことにした。 www.cobalog.com <meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests"> 一応、おまじないとしてheadに追加しておくのもありなんだが、技術的な情報もまとめておこう。Content-Security-Policyとはこんな機能。 www.suzukikenichi.com ここで役に立つのが、Content-Security-Policy の upgradin
Why HTTPS matters | Articles | web.dev
Why HTTPS matters Stay organized with collections Save and categorize content based on your preferences. Always protect all your websites with HTTPS, even if they don't handle sensitive communications. In addition to providing critical security and data integrity for both your websites and your users' personal information, HTTPS is required for many new browser features, especially those required
安全性を示すHTTPSのラベルとアイコンがGoogle Chrome 69から削除、一方で非HTTPSページでは赤色反転で危険性を強調
[レベル: 中級] セキュリティに関する Chrome ブラウザの UI 変更を Google はアナウンスしました。 HTTPS および HTTP ページのインジケータが将来のバージョンの Chrome で変わります。 鍵アイコンと「保護された通信」ラベルの削除 HTTPS で配信されるページに対して表示されるラベルとアイコンが削除されます。 現在は、HTTPS ページにアクセスしていると鍵アイコン🔒と「保護された通信」ラベルがアドレスバーの先頭に表示されます。 2018年9月にリリースされる Chrome 69 ではラベル表示がなくなり、鍵アイコンだけになります。 「https://」のスキームもなくなります。 最終的には鍵アイコンも表示しなくなる予定とのことです。 HTTPS 通信であることがわからなくなりますが、セキュリティが守られていることがウェブでは当たり前だとユーザーは想定
Google Chrome 68 は SSL で保護されていない全てのページに対して 「安全でない」 と警告する
2018年 7月下旬に正式リリース予定の Chrome 68 より、SSL で保護されていない (HTTP 接続で提供される) 全ての Web ページに対して、アドレスバーに 「安全でない」 という警告が表示されるようになるという話。 情報アップデートされています。詳しくは 「Chrome における HTTPS 通信時の 「保護された通信」 表記廃止、非 SSL 接続時の警告表示の変更と適用開始時期が発表される」 をご覧ください。 Google Chrome は去年、2017年 10月 17日に正式版がリリースされた Chrome 62 以降、SSL(TLS) で保護されていないページでパスワードを入力しようとした際に 「安全ではないですよ」 と警告する機能を実装しています。また、同様の機能は Firefox でも採用されています (Firefox 52 以降)。 Google は以前から
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
常時HTTPS化で失敗したくない! 知って得するグーグルSEO情報×3【SEO記事12本まとめ】 | 海外&国内SEO情報ウォッチ
「Firefox 63」でSymantec発行のTLS証明書が無効に ~トップ100万サイトの3.5%に影響/正式版は10月23日リリースの予定
Distrust of the Symantec PKI: Immediate action needed by site operators
