Wikimedia (och andra) förbättrar säkerheten


Recommended Posts

I veckan har både Microsoft och Google meddelat sina planer för utfasning av certifikat med signaturalgoritmen SHA-1, och för en månad sedan gjorde Mozilla detsamma.

Av de 139 274 mest besökta sidorna, använder 97,3 % SHA-256 och 2,6 % SHA-1 i början av november (SSL Pulse).

Link to comment
Share on other sites

  • 2 weeks later...

Statistik för de tiomiljoner mest besökta webbplatserna (enligt Alexa).

Andelen webbplatser utan ett certifikat (som krävs för en säker anslutning) har nu sjunkit under 30 %, och är den 1 december 29,3 %.

Andelen certifikat med ogiltig domän har börjat att sjunka fortare, och är nu 42,4 % (44,2 % 1 november i år).

De certifikatutfärdare som ökar i användning är Comodo, som ökar från 7,0 % för ett år sedan till 11,3 % i dag, och IdenTrust, som ökar från mindre än 0,1 % för ett år sedan till 4,6 % i dag. Förklaringen till IdenTrusts ökning är att deras rotcertifikat (DST Root CA X3) används för att signera Let’s Encrypts certifikat, som lanserades som öppen beta i december 2015 och lämnade betastadiet 12 april i år.

Link to comment
Share on other sites

  • 1 month later...

Den 13 november 2014 skrev New York Times under rubriken Embracing HTTPS om fördelarna med säker anslutning, och uppmanade alla nyhetssidor att använda säker anslutning före utgången av 2015.

Nu har de själva äntligen tagit steget: HTTPS on NYTimes.com | https://www.nytimes.com/

DN.se har en tid erbjudit säker anslutning, och nu levereras också de flesta bilder där säkert. En del arbete återstår dock. Bland annat ”favikonen” levereras osäkert, och öppnar man den i en egen flik, omdirigeras man till osäker anslutning. De rör sig åtminstone långsamt åt rätt håll.

SvD.se fungerar över säker anslutning, med vissa problem. Vissa bilder levereras osäkert, och vissa resurser blockeras därför att de bryter mot Content Security Policy.

GP.se distribueras säkert av Cloudflare, och fungerar så väl som man kan vänta.

SR fungerar också utan problem. Tidigare blockerades ljudfilerna och en del funktioner, men dessa problem har de löst.

SVT ligger efter. Endast osäker anslutning till www.svt.se och www.svtplay.se. Säker anslutning till Pressrummet och Öppet arkiv.

Link to comment
Share on other sites

  • 3 weeks later...
  • 4 months later...
On 2017-01-13 at 09:19, JoWa sade:

SVT ligger efter. Endast osäker anslutning till www.svt.se och www.svtplay.se. Säker anslutning till Pressrummet och Öppet arkiv.

SVT har blivit bättre. Sedan en tid är anslutningen till www.svt.se och www.svtplay.se säker. Utöver omdirigering från http till https används HSTS, om än endast under 1 800 sekunder (30 minuter). HTTP/2 används. Också DN.se använder HTTP/2.

Eniro har också blivit säkert: https://www.eniro.se/ För https://kartor.eniro.se/ används HTTP/2.

Link to comment
Share on other sites

On 2015-06-18 at 08:27, JoWa sade:

Angående Bing, som nämns i förra inlägget, har omdirigering till https inte aktiverats än, men den kanoniska adressen (som man kan se i sidans källkod) är https://www.bing.com:443/, där 443 är portens nummer. (Port 443 används för HTTP över TLS; port 80 används för HTTP utan kryptering.) Det innebär bl.a. att sökresultatet för bing ger en länk till https://www.bing.com/ Här en Google-sökning som exempel: https://www.google.se/search?q=bing

Två år senare, och äntligen har det hänt något. Fortfarande ingen omdirigering, så man kan alltjämt gå till http://www.bing.com/. Däremot har HSTS nyss tagits i bruk. Det betyder att efter en säker anslutning till https://www.bing.com/ kan man inte ansluta osäkert till www.bing.com de närmsta 126 dagarna.

Link to comment
Share on other sites

  • 1 month later...

Ny statistik (1 augusti) för den som vill följa hur kryptering sprider sig över webben: https://w3techs.com/technologies/details/ce-httpsdefault/all/all

Den visar hur många av de tio miljoner mest besökta webbplatserna som använder HTTPS automatiskt.

Den 1 augusti, då mätningen började, var det 19,8 %. Den 8 augusti 20,0 %, och nu 20,1 %.

Här kan man se statistik för de tusen, tiotusen, hundratusen, en miljon mest besökt webbplatserna:  https://w3techs.com/technologies/breakdown/ce-httpsdefault/ranking

Samtidigt använder 4,0 % av de tio miljoner mest besökta, och 18,1 % av de tusen mest besökta, webbplatserna HSTS:  https://w3techs.com/technologies/details/ce-hsts/all/all

Link to comment
Share on other sites

  • 3 weeks later...
On 2017-06-14 at 09:29, JoWa sade:

Två år senare, och äntligen har det hänt något. Fortfarande ingen omdirigering, så man kan alltjämt gå till http://www.bing.com/. Däremot har HSTS nyss tagits i bruk. Det betyder att efter en säker anslutning till https://www.bing.com/ kan man inte ansluta osäkert till www.bing.com de närmsta 126 dagarna.

Nu har den ”säkra” anslutningen blivit vad som nu anses vara säker. Nu stöds bl.a.

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

De ger autentiserad kryptering och framåtsekretess.

Tidigare användes AES_CBC. HTTP/2 används nu, och hade inte kunnat användas med den gamla konfigurationen.

Link to comment
Share on other sites

  • 2 months later...
On 2017-08-10 at 06:33, JoWa sade:

Ny statistik (1 augusti) för den som vill följa hur kryptering sprider sig över webben:   https://w3techs.com/technologies/details/ce-httpsdefault/all/all

Den visar hur många av de tio miljoner mest besökta webbplatserna som använder HTTPS automatiskt.

Den 1 augusti, då mätningen började, var det 19,8 %. Den 8 augusti 20,0 %, och nu 20,1 %.

Här kan man se statistik för de tusen, tiotusen, hundratusen, en miljon mest besökt webbplatserna:  https://w3techs.com/technologies/breakdown/ce-httpsdefault/ranking

Samtidigt använder 4,0 % av de tio miljoner mest besökta, och 18,1 % av de tusen mest besökta, webbplatserna HSTS:  https://w3techs.com/technologies/details/ce-hsts/all/all

Nu använder 25 % av de tio miljoner mest besökta webbplatserna HTTPS automatiskt, och i oktober passerade HSTS 5,0 %, nu 5,2 %.

ce-httpsdefault

ce-hsts

Link to comment
Share on other sites

  • 1 month later...
  • 1 month later...
  • 1 month later...

Encrypted.google.com försvinner

https://encrypted.google.com/ har sedan 2010 funnits som alternativ till https://www.google.com/ , https://www.google.se/ o.s.v. Den 30 april i år försvinner den adressen.

Skillnaden mellan https://encrypted.google.com/ och https://www.google.com/ är att den förra finns i Googles HSTS-lista. De flesta webbläsare stöder HSTS och Googles förladdade domäner, som gör det omöjligt att ansluta osäkert till domänerna i listan, redan vid första besöket. (HSTS i sig gör det omöjligt att ansluta osäkert till en domän efter en första säker anslutning till domänen.)

I juli 2016 meddelade Google att HSTS skulle komma till www.google.com, men tydligen har det ej skett än.

Bringing HSTS to www.google.com

Nyligen har bing.com lagts till i HSTS-listan med force-https, så nu är också första anslutningen till Bing säker, om man använder en modern webbläsare.

Link to comment
Share on other sites

On 2017-11-15 at 20:06, JoWa sade:

Nu använder 25 % av de tio miljoner mest besökta webbplatserna HTTPS automatiskt, och i oktober passerade HSTS 5,0 %, nu 5,2 %.

ce-httpsdefault

ce-hsts

Nu är det 30 % av de tiomiljoner mest besökta webbplatserna som använder HTTPS automatiskt, en ökning med tio procentenheter på sju och en halv månad, och drygt 6 % använder nu HSTS.

Ännu saknar drygt 50 % av de tiomiljoner mest besökta webbplatserna ett giltigt certifikat, men det sjunker stadigt.

q

Link to comment
Share on other sites

  • 4 months later...
On 2017-08-10 at 06:33, JoWa sade:

Ny statistik (1 augusti) för den som vill följa hur kryptering sprider sig över webben: https://w3techs.com/technologies/details/ce-httpsdefault/all/all

Den visar hur många av de tio miljoner mest besökta webbplatserna som använder HTTPS automatiskt.

Den 1 augusti, då mätningen började, var det 19,8 %. Den 8 augusti 20,0 %, och nu 20,1 %.

På ett år ökade andelen webbplatser som automatiskt använder HTTPS från 19,8 % till 37,5 %.

335178926_httpsdefault2017080120180801.png.51503567d6772a1ac2d7a0d283159221.png

Samtidigt har andelen webbplatser som har ett giltigt certifikat ökat kraftigt. ”Invalid Domain”, ogiltig domän – certifikat utfärdade för en annan domän – har minskat med drygt tio procentenheter, från 34,5 % till 24,4 %. Andelen webbplatser utan certifikat (”None”) har också minskat stadigt, från 24,6 % till 17,4 %.

167079142_certifikat2017080120180801.png.70502b20b7afa00fb1b1aa329e73e073.png

Som man kan se, är det IdenTrust som står för en stor del av den ökade och ökande certifikatanvändningen, men egentligen är det inte IdenTrust själva, utan Let’s Encrypt, som använder IdenTrusts rotcertifikat. IdenTrust utfärdar mycket få servercertifikat.

Siffrorna avser andel av de tiomiljoner mest besökta webbplatserna (enligt Alexa).

Link to comment
Share on other sites

  • 3 weeks later...

Sedan i går använder Wikimedia endast nyckelutbytesmekanismer som stöder framåtsekretess.

Planning for phasing out non-Forward-Secret TLS ciphers

I listan med stödda krypteringssviter (cipher suites) står det nu efter varje svit ”FS” (forward secrecy).

https://www.ssllabs.com/ssltest/analyze.html?d=wikipedia.org&s=208.80.153.224

På sikt ska också alla CBC-sviter bort, och då ryker förstås TLS 1.0 och 1.1.

TLS 1.0 är det äldsta protokoll som ännu stöds, och det som ska bort först.

TLS 1.3 är på väg in.

Link to comment
Share on other sites

  • 3 weeks later...

Scott Helme: Alexa Top 1 Million Analysis – August 2018

”Here’s the one we’ve all been waiting for, and this one is a pretty big announcement too. Not only because we’ve seen amazing growth in HTTPS again in this crawl, but because we’ve passed through 50% of the Alexa Top 1 Million sites actively redirecting to HTTPS for the first time!”

Närmare bestämt 51,7816 procent av Alexas topp enmiljon-webbplaster använder alltid HTTPS.

W³Techs anger 52,0 procent, och 39,6 procent för Alexas topp tiomiljoner-webbplatser, och en stadig uppgång.

Link to comment
Share on other sites

  • 6 months later...
On 2017-08-10 at 06:33, JoWa sade:

Ny statistik (1 augusti) för den som vill följa hur kryptering sprider sig över webben: https://w3techs.com/technologies/details/ce-httpsdefault/all/all

Den visar hur många av de tio miljoner mest besökta webbplatserna som använder HTTPS automatiskt.

Den 1 augusti, då mätningen började, var det 19,8 %. Den 8 augusti 20,0 %, och nu 20,1 %.

Nu femtio procent. Den 1 april 2018 var det 30,8 procent.

ce-httpsdefault

HSTS är nu uppe i 9,9 procent.

https://w3techs.com/technologies/overview/site_element/all

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
 Share