Most of the time, http://localhost behaves like HTTPS for development purposes. However, there are some special cases, such as custom hostnames or using secure cookies across browsers, where you need to explicitly set up your development site to behave like HTTPS to accurately represent how your site works in production. (If your production website doesn't use HTTPS, make it a priority to switch t
How HTTPS works ...in a comic! 🌈 🎉 🍕 Have you ever wondered why a lock icon appears on your browser URL bar? And why is it important? We did too, and this comic is for you! Follow the adventures of Certificat, Browserbird, and Compugter as they explain why HTTPS is crucial for the future of the web and how it all works together. Don't let the bad crabs get you (you'll know what we mean in the c
Monsters in the Middleboxes: Introducing Two New Tools for Detecting HTTPS Interception Loading... The practice of HTTPS interception continues to be commonplace on the Internet. HTTPS interception has encountered scrutiny, most notably in the 2017 study “The Security Impact of HTTPS Interception” and the United States Computer Emergency Readiness Team (US-CERT) warning that the technique weakens
TLS • TLS (reliable) endpoint endpoint CC BY 3.0 https://www.youtube.com/user/TheWikiLeaksChannel ClientHello+ ApplicationData end_of_early_data Finished ServerHello EncryptedExtension ServerConfiguration Certificate CertificateVerify Finished ApplicationData
なぜ今までのDNSでは問題があるのか インターネット上の通信の多くは、ブラウザを利用したウェブによるものです。 セキュリティ向上のため、GoogleやFireFoxといった大手ブラウザベンダーが平文通信であるHTTPから暗号通信であるHTTPSへの移行を推奨し、盗聴・改竄・なりすましといった問題を解決することが出来ます。 しかしながら、そのHTTPS通信をする前のDNSによるドメイン解決は暗号化されておらず盗聴でアクセスするホスト名を把握される、なりすましで偽の応答を返されるといった可能性があります。 それを防ぐための方法の1つが、DNS over HTTPSです。 DNS over HTTPSとは 今までDNSサーバ(フルリゾルバ)の(主に)UDPポート53番に対して行われていたDNSによる名前解決を、TCPポート443番に対するHTTPS(HTTP/2 over TLS)通信上で行うプ
以前から気になっていた「次世代 Web カンファレンス 2019」を、ようやく聴きに行くことができました。 たくさんのトークがありましたが、ここではHTTPS (hashtag: #nwc_https)をメモしておきます。なお、このセッションが間違いなく一番アツく、一番面白かったです! 当日の動画 https://www.youtube.com/watch?v=_8dCa8wj8QY togetter https://togetter.com/li/1268794 以下、当日参加した、もしくは動画を見たという前提でのメモなので、見てない人はぜひ見ましょう。 PKI 「低レイヤから行きましょう」ということで、はじめはPKI絡み。Symantecのdistrustと、日本のGPKIの話でした。 トーク中に何度か出てきましたが、認証局(厳密にはCAとRAを分けて書くべきですが、どうせみんな一緒な
社会人生活の半分をフリーランス、半分をIIJで過ごすエンジニア。元々はアプリケーション屋だったはずが、クラウドと出会ったばかりに半身をインフラ屋に売り渡す羽目に。現在はコンテナ技術に傾倒中だが語りだすと長いので割愛。タグをつけるならコンテナ、クラウド、ロードバイク、うどん。 2018年7月はWeb業界にとって記憶に残る日になるでしょう。httpsが標準となった日として。 これまでWebサイトへのアクセスにはhttpを利用するのが通常で、安全性が求められる場合にはhttpsを利用すると考えられてきましたが、これからはhttpsを使うのが当たり前になっていくでしょう。この流れを強力にけん引しているのは、保守的な我が国においてもトップシェアブラウザとなったChromeを擁するGoogleであることはご存知の通りです。これまではhttpでのアクセスには特に表記はなく、httpsでアクセスすると「保
Please note that the Let's Encrypt Growth and Let's Encrypt Certificates Issued Per Day charts are undergoing updates and may not reflect the most recent data.
【2021/08/31 追記】 2021年8月31日にすべてのはてなブログのHTTPS化が完了いたしました。 はてなブログでは2018年2月22日から、ブログをHTTPSで配信できる仕組みを、はてなが提供する5つのドメインで順次提供します。公開時点では、一部のブログでのみご利用いただけます。対象となるブログの範囲は順次拡大していく予定です。 ブログをHTTPS配信に設定する際は、以下の仕様と注意事項をご理解いただいた上でご利用ください。なお、今後新たに開設されるブログについては、全てHTTPSで配信されます。 ※ 独自ドメインではてなブログを運用されている方へのHTTPS配信設定は、今後対応予定です。今しばらくお待ちください。 HTTPS配信を利用できるブログ HTTPS配信設定を利用できるか確認するには 新しくブログを開設する場合 HTTPS配信への設定方法と仕様 設定方法 はてなスター
【変更履歴 2018年2月15日】当初の記事タイトルは「いまなぜHTTPS化なのか? 技術者が知っておきたいSEOよりずっと大切なこと ― TLSの歴史と技術背景」でしたが、現行のものに変更しました。現在GoogleではWebサイトのHTTPS対応と検索結果の関係を強調しておらず、本記事の趣旨の一つにも本来は独立した問題であるSEOとHTTPS化を関連付けるという根強い誤解を解くことがありますが、当初のタイトルではかえってSEOとHTTPSを関連付けて読まれるおそれがあり、また同様の指摘もいただいたことから変更いたしました。 HTTPとHTTPSは、共にTCP通信上で動作します。したがって、いずれもTCPハンドシェイクで通信を開始します。 HTTP通信の場合には、このTCPハンドシェイク直後に、HTTPリクエストとレスポンスのやり取りが始まります。このHTTPのやり取りは平文通信であり、途
「なぜ、Let's Encrypt は有効期間90日間のSSL/TLSサーバ証明書しか提供していないの?」と、よく質問されます。 大抵、質問者はSSL/TLSサーバ証明書の有効期間が90日間というのは短すぎると懸念しており、他の認証局(CA)のように有効期間が1年間以上のSSL/TLSサーバ証明書を提供することを望んでいます。 しかし、90日間のSSL/TLSサーバ証明書を用いることは、Webの世界では珍しいものではありません。 Firefox Telemetry によると、TLS トランザクションのうち 29% で、90日間のサーバ証明書が使用されています。これは、他の有効期間のサーバ証明書よりも高い割合です。 私たちの視点からすると、このような有効期間の短いSSL/TLSサーバ証明書には、次の2つのメリットがあります。 漏洩した秘密鍵や誤発行された証明書が短い期間で無効になります。それ
By Daksh Shah Almost any website you visit today is protected by HTTPS. If yours isn’t yet, it should be. Securing your server with HTTPS also means that you can’t send requests to this server from one that isn’t protected by HTTPS. This poses a problem for developers who use a local development environment because all of them run on http://localhost out-of-the-box. At the startup I’m a part of, w
Upgrading a security protocol in an ecosystem as complex as the Internet is difficult. You need to update clients and servers and make sure everything in between continues to work correctly. The Internet is in the middle of such an upgrade right now. Transport Layer Security (TLS), the protocol that keeps web browsing confidential (and many people persist in calling SSL), is getting its first majo
I am the site owner of example.com or have their permission to preload HSTS. (If this is not the case, example.com may be sending the HSTS preload directive by accident. Please contact hstspreload@chromium.org to let us know.) I understand that preloading example.com through this form will prevent all subdomains and nested subdomains from being accessed without a valid HTTPS certificate: *.example
※免責:私は開発者であり、法律の専門家ではありません。これは私個人が調査し、解釈している内容のため正確性を保証するものではありません。これらの情報をあなたが利用することによって生ずるいかなる損害に対しても一切責任を負いません。 はじめに iOSアプリをitunes connectで提出またはTestFlightを利用する際に「輸出コンプライアンス情報」について答えなければなりません。この内容が調べても調べてもなかなか難しく情報があまりなかったのでこちらにまとめます。 想定 今回は、アプリ内にバンドルされたソフトウェアに暗号化されたものはなく、HTTPS通信のみ利用しているアプリを、日本でのみ配信すること想定しています。 輸出コンプライアンスに関して 日本のアプリにも必要? Appleのアプリはアメリカのサーバーから配信されるため、アメリカから輸出されるものとみなされます。そのため日本でのみ
Today, we deployed HTTPS by default on Stack Overflow. All traffic is now redirected to https:// and Google links will change over the next few weeks. The activation of this is quite literally flipping a switch (feature flag), but getting to that point has taken years of work. As of now, HTTPS is the default on all Q&A websites. We’ve been rolling it out across the Stack Exchange network for the p
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
