JoWa

Wikimedia (och andra) förbättrar säkerheten

Recommended Posts

I veckan har både Microsoft och Google meddelat sina planer för utfasning av certifikat med signaturalgoritmen SHA-1, och för en månad sedan gjorde Mozilla detsamma.

Av de 139 274 mest besökta sidorna, använder 97,3 % SHA-256 och 2,6 % SHA-1 i början av november (SSL Pulse).

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Statistik för de tiomiljoner mest besökta webbplatserna (enligt Alexa).

Andelen webbplatser utan ett certifikat (som krävs för en säker anslutning) har nu sjunkit under 30 %, och är den 1 december 29,3 %.

Andelen certifikat med ogiltig domän har börjat att sjunka fortare, och är nu 42,4 % (44,2 % 1 november i år).

De certifikatutfärdare som ökar i användning är Comodo, som ökar från 7,0 % för ett år sedan till 11,3 % i dag, och IdenTrust, som ökar från mindre än 0,1 % för ett år sedan till 4,6 % i dag. Förklaringen till IdenTrusts ökning är att deras rotcertifikat (DST Root CA X3) används för att signera Let’s Encrypts certifikat, som lanserades som öppen beta i december 2015 och lämnade betastadiet 12 april i år.

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Den 13 november 2014 skrev New York Times under rubriken Embracing HTTPS om fördelarna med säker anslutning, och uppmanade alla nyhetssidor att använda säker anslutning före utgången av 2015.

Nu har de själva äntligen tagit steget: HTTPS on NYTimes.com | https://www.nytimes.com/

DN.se har en tid erbjudit säker anslutning, och nu levereras också de flesta bilder där säkert. En del arbete återstår dock. Bland annat ”favikonen” levereras osäkert, och öppnar man den i en egen flik, omdirigeras man till osäker anslutning. De rör sig åtminstone långsamt åt rätt håll.

SvD.se fungerar över säker anslutning, med vissa problem. Vissa bilder levereras osäkert, och vissa resurser blockeras därför att de bryter mot Content Security Policy.

GP.se distribueras säkert av Cloudflare, och fungerar så väl som man kan vänta.

SR fungerar också utan problem. Tidigare blockerades ljudfilerna och en del funktioner, men dessa problem har de löst.

SVT ligger efter. Endast osäker anslutning till www.svt.se och www.svtplay.se. Säker anslutning till Pressrummet och Öppet arkiv.

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
On 2017-01-13 at 09:19, JoWa sade:

SVT ligger efter. Endast osäker anslutning till www.svt.se och www.svtplay.se. Säker anslutning till Pressrummet och Öppet arkiv.

SVT har blivit bättre. Sedan en tid är anslutningen till www.svt.se och www.svtplay.se säker. Utöver omdirigering från http till https används HSTS, om än endast under 1 800 sekunder (30 minuter). HTTP/2 används. Också DN.se använder HTTP/2.

Eniro har också blivit säkert: https://www.eniro.se/ För https://kartor.eniro.se/ används HTTP/2.

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
On 2015-06-18 at 08:27, JoWa sade:

Angående Bing, som nämns i förra inlägget, har omdirigering till https inte aktiverats än, men den kanoniska adressen (som man kan se i sidans källkod) är https://www.bing.com:443/, där 443 är portens nummer. (Port 443 används för HTTP över TLS; port 80 används för HTTP utan kryptering.) Det innebär bl.a. att sökresultatet för bing ger en länk till https://www.bing.com/ Här en Google-sökning som exempel: https://www.google.se/search?q=bing

Två år senare, och äntligen har det hänt något. Fortfarande ingen omdirigering, så man kan alltjämt gå till http://www.bing.com/. Däremot har HSTS nyss tagits i bruk. Det betyder att efter en säker anslutning till https://www.bing.com/ kan man inte ansluta osäkert till www.bing.com de närmsta 126 dagarna.

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Ny statistik (1 augusti) för den som vill följa hur kryptering sprider sig över webben: https://w3techs.com/technologies/details/ce-httpsdefault/all/all

Den visar hur många av de tio miljoner mest besökta webbplatserna som använder HTTPS automatiskt.

Den 1 augusti, då mätningen började, var det 19,8 %. Den 8 augusti 20,0 %, och nu 20,1 %.

Här kan man se statistik för de tusen, tiotusen, hundratusen, en miljon mest besökt webbplatserna:  https://w3techs.com/technologies/breakdown/ce-httpsdefault/ranking

Samtidigt använder 4,0 % av de tio miljoner mest besökta, och 18,1 % av de tusen mest besökta, webbplatserna HSTS:  https://w3techs.com/technologies/details/ce-hsts/all/all

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
On 2017-06-14 at 09:29, JoWa sade:

Två år senare, och äntligen har det hänt något. Fortfarande ingen omdirigering, så man kan alltjämt gå till http://www.bing.com/. Däremot har HSTS nyss tagits i bruk. Det betyder att efter en säker anslutning till https://www.bing.com/ kan man inte ansluta osäkert till www.bing.com de närmsta 126 dagarna.

Nu har den ”säkra” anslutningen blivit vad som nu anses vara säker. Nu stöds bl.a.

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

De ger autentiserad kryptering och framåtsekretess.

Tidigare användes AES_CBC. HTTP/2 används nu, och hade inte kunnat användas med den gamla konfigurationen.

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
On 2017-08-10 at 06:33, JoWa sade:

Ny statistik (1 augusti) för den som vill följa hur kryptering sprider sig över webben:   https://w3techs.com/technologies/details/ce-httpsdefault/all/all

Den visar hur många av de tio miljoner mest besökta webbplatserna som använder HTTPS automatiskt.

Den 1 augusti, då mätningen började, var det 19,8 %. Den 8 augusti 20,0 %, och nu 20,1 %.

Här kan man se statistik för de tusen, tiotusen, hundratusen, en miljon mest besökt webbplatserna:  https://w3techs.com/technologies/breakdown/ce-httpsdefault/ranking

Samtidigt använder 4,0 % av de tio miljoner mest besökta, och 18,1 % av de tusen mest besökta, webbplatserna HSTS:  https://w3techs.com/technologies/details/ce-hsts/all/all

Nu använder 25 % av de tio miljoner mest besökta webbplatserna HTTPS automatiskt, och i oktober passerade HSTS 5,0 %, nu 5,2 %.

ce-httpsdefault

ce-hsts

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Encrypted.google.com försvinner

https://encrypted.google.com/ har sedan 2010 funnits som alternativ till https://www.google.com/ , https://www.google.se/ o.s.v. Den 30 april i år försvinner den adressen.

Skillnaden mellan https://encrypted.google.com/ och https://www.google.com/ är att den förra finns i Googles HSTS-lista. De flesta webbläsare stöder HSTS och Googles förladdade domäner, som gör det omöjligt att ansluta osäkert till domänerna i listan, redan vid första besöket. (HSTS i sig gör det omöjligt att ansluta osäkert till en domän efter en första säker anslutning till domänen.)

I juli 2016 meddelade Google att HSTS skulle komma till www.google.com, men tydligen har det ej skett än.

Bringing HSTS to www.google.com

Nyligen har bing.com lagts till i HSTS-listan med force-https, så nu är också första anslutningen till Bing säker, om man använder en modern webbläsare.

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
On 2017-11-15 at 20:06, JoWa sade:

Nu använder 25 % av de tio miljoner mest besökta webbplatserna HTTPS automatiskt, och i oktober passerade HSTS 5,0 %, nu 5,2 %.

ce-httpsdefault

ce-hsts

Nu är det 30 % av de tiomiljoner mest besökta webbplatserna som använder HTTPS automatiskt, en ökning med tio procentenheter på sju och en halv månad, och drygt 6 % använder nu HSTS.

Ännu saknar drygt 50 % av de tiomiljoner mest besökta webbplatserna ett giltigt certifikat, men det sjunker stadigt.

q

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
On 2017-08-10 at 06:33, JoWa sade:

Ny statistik (1 augusti) för den som vill följa hur kryptering sprider sig över webben: https://w3techs.com/technologies/details/ce-httpsdefault/all/all

Den visar hur många av de tio miljoner mest besökta webbplatserna som använder HTTPS automatiskt.

Den 1 augusti, då mätningen började, var det 19,8 %. Den 8 augusti 20,0 %, och nu 20,1 %.

På ett år ökade andelen webbplatser som automatiskt använder HTTPS från 19,8 % till 37,5 %.

335178926_httpsdefault2017080120180801.png.51503567d6772a1ac2d7a0d283159221.png

Samtidigt har andelen webbplatser som har ett giltigt certifikat ökat kraftigt. ”Invalid Domain”, ogiltig domän – certifikat utfärdade för en annan domän – har minskat med drygt tio procentenheter, från 34,5 % till 24,4 %. Andelen webbplatser utan certifikat (”None”) har också minskat stadigt, från 24,6 % till 17,4 %.

167079142_certifikat2017080120180801.png.70502b20b7afa00fb1b1aa329e73e073.png

Som man kan se, är det IdenTrust som står för en stor del av den ökade och ökande certifikatanvändningen, men egentligen är det inte IdenTrust själva, utan Let’s Encrypt, som använder IdenTrusts rotcertifikat. IdenTrust utfärdar mycket få servercertifikat.

Siffrorna avser andel av de tiomiljoner mest besökta webbplatserna (enligt Alexa).

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Sedan i går använder Wikimedia endast nyckelutbytesmekanismer som stöder framåtsekretess.

Planning for phasing out non-Forward-Secret TLS ciphers

I listan med stödda krypteringssviter (cipher suites) står det nu efter varje svit ”FS” (forward secrecy).

https://www.ssllabs.com/ssltest/analyze.html?d=wikipedia.org&s=208.80.153.224

På sikt ska också alla CBC-sviter bort, och då ryker förstås TLS 1.0 och 1.1.

TLS 1.0 är det äldsta protokoll som ännu stöds, och det som ska bort först.

TLS 1.3 är på väg in.

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Scott Helme: Alexa Top 1 Million Analysis – August 2018

”Here’s the one we’ve all been waiting for, and this one is a pretty big announcement too. Not only because we’ve seen amazing growth in HTTPS again in this crawl, but because we’ve passed through 50% of the Alexa Top 1 Million sites actively redirecting to HTTPS for the first time!”

Närmare bestämt 51,7816 procent av Alexas topp enmiljon-webbplaster använder alltid HTTPS.

W³Techs anger 52,0 procent, och 39,6 procent för Alexas topp tiomiljoner-webbplatser, och en stadig uppgång.

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Skapa ett konto eller logga in för att kommentera

Du måste vara medlem för att kunna kommentera

Skapa ett konto

Registrera ett nytt konto i våran gemenskap. Det är lätt!

Registrera ett nytt konto

Logga in

Redan medlem? Logga in här.

Logga in nu

  • Liknande innehåll

    • Av JoWa
      Secure Sockets Layer (SSL) utvecklades av Netscape, och lanserades (version 2.0) i februari 1995. SSL uppdaterades till version 3.0 1996. SSL är ett kryptografiskt protokoll som används för att skapa säkra (krypterade) förbindelser över Internet.
      Utvecklingen gick vidare, och SSL fick en efterträdare i Transport Layer Security (TLS). Version 1.0 av TLS lanserades i januari 1999, följd av TLS 1.1 (april 2006) och TLS 1.2 (april 2008).
      Alla dessa versioner kan ännu användas, men SSL 2.0 är en mycket osäker version, och väldigt får servrar stöder SSL 2.0. I ingen av dagens webbläsare är SSL 2.0 aktiverat, och endast Internet Explorer (t.o.m. version 10) har möjlighet att aktivera den osäkra protokollversionen.
      TLS 1.0 är den mest använda protokollversionen. Alla (?) servrar stöder den, och alla webbläsare har sedan länge stöd för TLS 1.0 aktiverat som standard.
      Internet Explorer i Windows 7 och 8 stöder även TLS 1.1 och 1.2, men dessa versioner är inte aktiverade som standard. För att aktivera, öppna Internetalternativ, fliken Avancerat, rubriken Säkerhet. Markera ”Använd TLS 1.1” och ”Använd TLS 1.2”. Markera inte ”Använd SSL 2.0”.

      Opera stöder även TLS 1. 1 och 1.2, men det är inte heller där aktiverat som standard. För att aktivera, gå till Inställningar, Avancerat, Säkerhet, Säkerhetsprotokoll.

      Eller skriv opera:config i adressfältet, tryck Retur. Skriv ”tls” i sökrutan och markera ”Enable TLS v1.1” och ”Enable TLS v1.2”.

      Firefox och Chrome använder Network Security Services (NSS), som stöder upp till TLS 1.1. I Chrome är TLS 1.1 aktiverat som standard, medan Firefox ännu (v. 18) endast stöder SSL 3.0 och TLS 1.0.
      I Opera och Chrome kan man lätt se vilket krypteringsprotokoll som används, se bifogade bilder.

      Läsning:
      Wikipedia: Transport Layer Security
      Wikipedia: Network Security Services
      Adam Langley (Google): New TLS versions
    • Av JoWa
      Att en kommande version av Internet Explorer skall stödja HTTP Strict Transport Security (HSTS) har varit känt en tid, bl.a. genom https://status.modern.ie/httpstricttransportsecurityhsts?term=hsts
       
      Nyligen publicerades ett inlägg på IEBlog som bekräftar stöd för HSTS i IE och senare Project Spartan i Windows 10: 
      HTTP Strict Transport Security comes to Internet Explorer Inte fem år för tidigt, men bättre sent än aldrig.
       
      IEBlog bekräftar även att Googles förladdningslista, med för närvarande drygt 1 500 förladdade domäner med läget force-https, används. Denna ”förladdning” (preload) av domäner är mycket värdefull, HSTS lämnar den allra första anslutningen till en HSTS-domän sårbar.¹ Det är nämligen först efter att en säker anslutning till en HSTS-domän har gjorts som webbläsaren vet att den endast skall ansluta säkert till den domänen i fortsättningen, under den tid som är angiven i HSTS-headern, och vanligen 180 dagar eller längre. Twitter har tagit i ordentligt, med hela 7 304 dagar (20 år).²
       
      ¹ https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security#Limitations
      ² https://spdycheck.org/#twitter.com