Chrome & Firefox now force .dev domains to HTTPS via preloaded HSTS
Chrome & Firefox now force .dev domains to HTTPS via preloaded HSTS September 17, 2017 tl;dr: Chrome 63 (out since December 2017), will force all domains ending on .dev (and .foo) to be redirected to HTTPS via a preloaded HTTP Strict Transport Security (HSTS) header. Update 07/02/2018: Firefox now also forces .DEV domains to HTTPS. Wait, there’s a legit .dev gTLD?# Yes, unfortunately . It’s been b
pixivを常時HTTPS化するまでの道のり(後編) - pixiv inside
ピクシブ株式会社で開発基盤チームとして働いている @catatsuy です。 前編ではpixivを常時HTTPS化する前にやった前準備として、広告、画像といったリソースをHTTPSに切り替える際の手順を紹介しました。 pixivを常時HTTPS化するまでの道のり(前編) - pixiv inside 後編では実際にpixivのアプリケーション自体を常時HTTPS化していく手順を紹介します。 従来のHTTPS配信 pixivはPHPアプリケーションを実行するアプリケーションサーバー(Apache/mod_php)の前段にnginxを配置する構成になっています。以前からセキュリティ的に重要なページはHTTPSで提供しており、nginxでHTTPS終端処理を行っていました。HTTPSで応答する場合はアプリケーションサーバーにX-HTTPSヘッダーを付けてプロクシーしています。 具体的には以下のよ
pixivを常時HTTPS化するまでの道のり(前編) - pixiv inside
ピクシブ株式会社で開発基盤チームとして働いている @catatsuy です。主にpixivの技術的な改善をしていますが、広告チームも兼任しているので広告周りの開発もしています。 今回pixivの常時HTTPS化を担当したのでやったことを紹介します。 pixivをHTTPS化した理由 現在のインターネット全体の流れとして常時HTTPS化が進んでいます。エドワード・スノーデン - Wikipediaが暴露したNSAの事件発覚や 公衆無線LANの利用拡大により、通信経路上でユーザーの個人情報を保護することがインターネット全体として非常に重要になってきました。Googleが行っている調査によると、HTTPSページの閲覧時間はウェブ全体の利用時間の3分の2にも及びます。 それだけではありません。ブラウザに新しく追加されるAPIや機能(HTTP2/WebRTC/ServiceWorkerなど)はHTT
kazeburo/choconと、それを支えるnet/httpの実装について
【資料公開します】AWS Dev Day Tokyo 2017 にて登壇しました/choconの簡単なご紹介 - Mercari Engineering Blog こんにちは。SREの @ kazeburo です。2017年5月31日から6月2日にAWS Summit Tokyo 2017と同時に開催された「AWS Dev Day Tokyo 2017」に登壇しました。 登壇する機会をいただき、ま… 先日、というか昨日、この資料が流れてきまして、Private Networkの外部との通信を効率良く行うためのミドルウェア、choconというproxyサーバーが紹介されていました。SSL, HTTP/2を加味した上での超シンプルで高速なforward proxyサーバー実装という印象です。 使い方やAPIの叩き方は上記のリンクを参考にしていただくとして、やたらマイクロな実装でなぜこうも高速に
HTTPS化に関するポエム - catatsuyとは
たまには仕事をしているぞアピールをします。技術的に何をやったのか話すと長くなるので今度の機会にします。それとこの記事はただのポエムで、深い意味はありません。 pixivというサービスのHTTPS化をしました。現在ではスマートフォン版・PC版共にHTTPSになっています。 やったぞ!!!!!誉めて!!!!!!https://t.co/GNsISNXC9D— エイってやってバーン (@catatsuy) 2017年4月18日 歴史あるサービスのHTTPS化のコツは『エイってやってバーン』って感じです— エイってやってバーン (@catatsuy) 2017年4月18日 今年に入ってからずっとやっていたので、実に4ヶ月近くかかりました。人数としては自分が中心になって、去年の新卒エンジニアと2人で行いました。もちろん手伝ってもらった人は他にもたくさんいます。関わってくれた人は全員HTTPS化の必要
Web日記のDocker化とhttps化 - けんちゃんくんさんのWeb日記
このWeb日記は kenchan/tdnm: tdnm is simple weblog tool という自作のRailsアプリで、さすがにそろそろhttps化しないと恥ずかしいのでついでにDocker化もしてみた。 Docker化する RailsアプリのDocker化については、jokerさんのQiita が参考になると思う。 最初は開発環境もDockerにしようかと思っていたのだけど、Gemfile にpath指定したいときに困る&Dockerの旨味がなくなると感じたので、開発はローカルでやることにした。(2017年をキャッチアップする 三種の神器 / ghq_gem-src_and_bundler // Speaker Deck) 本番環境のイメージについては、静的ファイルの扱いを一旦おいておいて、bundle installとrails assets:precompileをしたイメ
The Guardian Engineering Blog - The Guardian has moved to HTTPS🔒
Discover why and how the Guardian has moved to HTTPS, the secure version of the web protocol that helps to protect user privacy Mariot Chauvin, Huma Islam Published on Tuesday, 29 November 2016 Drawn lock in front of java code screenshot Photograph: Yuri Samoilov Our content has now been served over HTTPS for two months and we thought it was time to share some of the reasons, processes and challen
GlobalSign screw-up cancels top websites' HTTPS certificates
Revoked certs may linger for days, locking people out of sites Final update GlobalSign's efforts as a root certificate authority have gone TITSUP this afternoon – that's a total inability to support usual protocols. The result is that many websites big and small have had their HTTPS certificates incorrectly scrapped, meaning that for some people their browsers no longer trust websites and refuse o
Web over HTTPS
Web over HTTPS DevFest Tokyo 2016 #devfest16 2016/10/0
中国最大の認証局「WoSign」が証明書発行日改竄などを行っていたとしてFirefoxがブロックの方針
by Eljay 中国最大級の認証局「沃通(WoSign)」がニセ証明書を発行していた問題で、ウェブブラウザの1つ・FirefoxがWoSignの証明書をブロックする方針を固めました。 WoSign and StartCom - Google Docs https://docs.google.com/document/d/1C6BlmbeQfn4a9zydVi2UvjBGv6szuSB4sMYUcVrR8vQ/ Firefox ready to block certificate authority that threatened Web security | Ars Technica http://arstechnica.com/security/2016/09/firefox-ready-to-block-certificate-authority-that-threatened-we
avastの中間者攻撃! - Qiita
まずはスクリーンショットから 気づいた経緯 SSL関連での設定を行ったこともあって、ほかのサイトでも「SSL設定はどうなっているかな」と調べていたところ、証明書がこんなのになっていることに気づいてしまいました。 技術的な詳細 ブラウザで「安全」だとされる証明書は、証明書の署名をたどっていって、ブラウザあるいはOSに入っている「ルート証明書」に行き着くもの、ということになります。そして、このルート証明書の正しさを担保するものは、じつは何もありません。 ということで、誰かがルート証明書に不用意なものを追加してしまえば、SSLの安全性全体が崩壊しかねない、ということになります(少し前に、Superfishなんていうものが話題となりました)。 このケースでも、avast!が追加した「avast! Web/Mail Shield Root」がルート証明書として組み込まれて、そしてavast!が生成し
Let's Encryptを疑え!信用はお金で買え!
Apr 25, 2016 背景 Let’s Encryptを使ってLINE Botからのcallbackを受けるサーバを作ったがダメで,さらにAWS API GatewayもLet’s Encrypt SSLを信用してなくて,大変だったというお話. Let’s Encryptは,無料で使えるSSLの証明書取得サービスである. 自動取得/更新がサーバに実装されており,それのためのサーバ側の更新スクリプトも配布されている. DNSをハックされる危険性や平文をネットワークに流す危険性が危惧される昨今,無料でSSLの証明書を利用できる趣味でサービスを開発したりするエンジニアの強い味方となっている. しかしながら,SSLとは,基本的に信用を管理会社に委託する仕組みである. SSL通信の通信相手が正しいことの根拠は,SSLの発行元が「このサイトを管理している人は確かに○○さんです.私が保証します.」と
Let’s EncryptとNginx : セキュアなWebデプロイメントの現状 | POSTD
最近まで、SSL暗号化通信は「あると好ましい機能」という程度にしか考えられていませんでした。そのため、安全なのはアプリのログインページだけというサービスが数多く存在していました。 しかし、状況は良い方向へと変化しています。現在では暗号化は必須と考えられ、ほとんどの開発者が導入を義務付けています。また、巨大検索エンジンGoogleでは、SSLの導入が検索結果の順位を決定する要因にさえなっています。 しかし、SSLが広範に普及しているにも関わらず、セキュアなWebサービスを構築することは、未だに面倒で、時間がかかり、エラーの原因になりやすいと考えられています。 最近この分野では、 Let’s Encrypt が、SSL証明書をより広く普及させ、Webサイトのセキュリティ維持に係るワークフローを大幅に簡略化しようと取り組んでいます。 強力なWebサーバNginxや、他のハードニング方法と組み合わ
Get HTTPS for free!
Get HTTPS for free! Update: Added wildcard certificate support! You can now get free https certificates (incuding wildcard certificates) from the non-profit certificate authority Let's Encrypt! This is a website that will take you through the manual steps to get your free https certificate so you can make your own website use https! This website is open source and NEVER asks for your private keys.
Name Constraints を使った独自CAの運用手順
ウェブブラウザが新機能をHTTPSでしか有効にしないことが多くなってきたので、開発環境でもHTTPSを使いたい。でも、開発環境用にサーバ証明書を買うのは手間。Let's Encryptも運用がめんどくさいとか、社内からしかアクセスできないサーバへの証明書発行が難しいとかいろいろあるし…ってそこでName Constraintsを使った独自CAですよ奥さん。 Name Constraints が何であるかについては、以前オレオレ認証局の適切な運用とName Constraintsに書いたとおり。 本稿では、Name Constraintsを使うCAの運用手順を説明する。 1. CA鍵と証明書の作成 1.1. CAの秘密鍵を作成 % openssl genrsa -out ca.key 2048 1.2. openssl.cnfにCA証明書に設定する属性を指定するセクションを追記 [priva
Let's Encrypt でサイトを HTTPS 化
ついに Let’s Encrypt の Public Beta が始まりましたね。私は Closed Beta の時から参加していて、このサイトも HTTP からのリダイレクトはしないけど HTTPS でも見れるという状態にはしてあったのですが、Public Beta になったということで、リダイレクトするようにして HSTS も設定してみました。 ということで、Let’s Encrypt を導入してサイトを HTTPS 化する中でわかったことを書いておきます。 証明書の発行・更新 手順に沿ってやれば証明書を発行してもらうこと自体は簡単です。しかし、Let’s Encrypt の証明書は有効期限が3ヶ月しかありません。これは beta だからというわけではなく、自動更新することを前提としているためだそうです。手動で頑張れなくも無い間隔ではありますが、面倒ですし、忘れる可能性もあるので自動化
Webサービスを常時SSL化しようとして諦めた話
弊社の新規事業でWebサービスを作っていて、セキュリティトレンドの常時SSLってやつをやってみようと思った。 世のWebサービスを見てみるとやっている所が何故かほとんどなく、mixiやニコニコなどの大手もやってないようだ。ニコニコのURLを試しにhttpsにしてみたら繋がらず、mixiはhttpにリダイレクトされる。 うちは新規だから最初からhttps化することで特にデメリットはないと判断、安いSSL証明書を買ってhttpをhttpsにリダイレクトするようにした。技術的な難所はまったくないので問題なく実装完了し、これで安心度がちょっと上がったと思っていたのだが…。 つづく。 続き。 弊サービスではユーザーがYouTubeなどの動画を貼り付ける機能が重要なのだが、テストしてみるとニコニコ動画の埋め込みが動作しなくなっていた。調べてみるとニコ動の埋め込みコードがhttpなせいで、さらに最近のブ
qpstudy 2015.11.14 一歩先を行くインフラエンジニアに知ってほしいSSL/TLS
インフラエンジニアの方向けに、SSL/TLSとは何か、また証明書入手のポイント、HTTPS設定のポイントについて、最新の動向を踏まえて紹介します。また、最後の方で勉強会主催者のリクエストでおまけがあります(^^;
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GitHub - h2o/quicly: A modular QUIC stack designed primarily for H2O
cookpad.com 全 HTTPS 化の軌跡
