ChromeのHTTP警告を報じるニュースサイト、HTTPSに非対応でツッコまれる 32
ストーリー by hylom
どちらかというとGoogle対策で入れざるを得なかった 部門より
どちらかというとGoogle対策で入れざるを得なかった 部門より
7月24日にリリースされたGoogle Chrome 68では、HTTPSを使用していないサイトへアクセスした際にアドレスバー横に「保護されていません」と表示するようになった(窓の杜)。一方で、国内の多くのサイトがまだHTTPSに対応しておらず、この「保護されていません」表記は頻繁に見ることになりそうだ(INTERNET Watch、日経xTECH)。
INTERNET Watchによると、「本来は率先してHTTPS化に取り組むべき官公庁のサイトや大手企業のサイトがいまだ対応できていない例は少なくなく、経済産業省や総務省、内閣府などのほか、大手銀行、大学などのサイトがSNSで次々と槍玉に上がっている。」という。また、これを報じる共同通信の記事が一時HTTPで提供されていたため、そちらにもツッコミが入っていたようだ。
httpsオンリーにするのもどうかと (スコア:1)
よく使われているルート証明書に問題が起きて
無効化されたときに、閲覧内容の盗聴防止目的程度のものも証明書警告が出てアクセス不能に陥り(最近は素人じゃ証明書警告を無視して開くことも難しい)
インターネットが大規模な機能不全に陥りかねないから
両方用意されてた方がいいと思う
パスワードやクレジットカードを入力するようなとこはそういうときにアクセス不能になるのもやむを得ないけど
Re:httpsオンリーにするのもどうかと (スコア:1)
古いパソコンではアクセスできないサイトが急に増えたから
貧乏人閉め出しと理解している。
the.ACount
Re: (スコア:0)
古いコンピュータのOSやブラウザやプロトコルスタックでは新しい安全な暗号やハッシュ関数がサポートされていないからであって、
あなたが貧乏で現代的なコンピュータを購入できない件とは全くの独立の事象です
Re: (スコア:0)
普通はhttpでもアクセスできるようにしてるだろうけど、https対応したからってhttpsにリダイレクトで飛ばすところも増えてそうだな。
HSTSだとhttps固定にするけど、httpsの証明書ダメになった時にhttpへのアクセスもさせないよね、たぶん・・
Re: (スコア:0)
しかし、例えばhttpの大手ニュースサイトに
「ルート証明書に問題発生、各所で証明書のエラーが出ますが無視して続行してください」
と出ていたとして、そのニュースが正しいサーバーから返されたものだと何をもって担保すればいいのかという疑問が。
ドメイン見たところで、通信経路で改竄されている可能性だってあるわけで、そのニュースを信じるためには結局httpsが必要でしょう。
Re:httpsオンリーにするのもどうかと (スコア:1)
そもそも「無視して続行してください」なんて言ってしまう時点で、そんなサイトは信用に値しないだろw
Re: (スコア:0)
昔、銀行だか省庁のサイトで警告がでるけど無視して続行してください的な事をサイトのヘルプに書いてた所があったような
Re: (スコア:0)
そのサイトが信用に値するとでも?
Re: (スコア:0)
最高裁判所すら言ってた [takagi-hiromitsu.jp]ので…
「脆弱性のあるJREを更新するな」とかも電子入札とかでは今でも言ってるところがある [pref.gifu.jp]位。
電子政府関連のは大体全部が一度はやらかしているんじゃないかね……
Re: (スコア:0)
権威があるかどうかと、信用して利用できるサービスかどうかには何の関係もない。
むしろ権威があればあるほど、改竄や成りすましで攻撃を狙う者からすると魅力が高い。
Re: (スコア:0)
「信用がおける運用になっていなければまずい組織」が
「信用がおける運用になっていない」という話ですよ。
Re: (スコア:0)
そんな時なら信頼性の低いソースとして自分なりに吟味すりゃいいでしょ。
「https最高!」って思考停止する必要はない。
Re: (スコア:0)
普通の人は吟味できないので。
Re: (スコア:0)
「お前たちには吟味できないだろうから一律全部見せません。」というのが正しいとは思わないし、押し付けがましいと思う。
「政治的に有害な情報なので見せません。有害かどうかは国が判断します」というのと大差ない。
Re: (スコア:0)
ほらまた思考停止。
Re: (スコア:0)
こういう障害に対する代替策はないの?
例えば、ルート証明書を複数持てたり、1つのWebサイトに対して複数の証明書を付けたりしておくようにすれば、冗長性を持たせられると思うけど。
Re:httpsオンリーにするのもどうかと (スコア:1)
クロスルート証明書っていうのがないわけじゃない。
Windows update万能説 (スコア:0)
Windows Updateでルート証明書を入れ替えれば無問題では。(時々やっているし)
ちゃんとしたルート認証局の秘密鍵は、普通はきちんとした耐タンパハードウェアで運用する等の保護策が必須条件のはずなので、ご指摘の問題がそもそも起きないはずではあるのすが。
Re: (スコア:0)
問題が起きることがありえないのなら、なぜシマンテックのルート証明書は有効期限前に失効になったのか。
ちゃんとしてないルート証明書があっても、それが見逃されて、広く使われていて、シマンテックのルート証明書以上の問題が起きて
失効させることで起きるリスクと失効させないことで起こる事象を天秤にかけて、直ちに失効される可能性だって十分あるかと
ルート証明書の管理運営も、審査とプリインストールも、証明書の失効の判断も人間が運用しているのだから
間違いも起きるし、ミスコミュニケーションの結果、強硬策(ただちに失効)が取られることもありえる。
Re: (スコア:0)
パスワードやクレジットカードを入力しないようなとこは、そういう大規模な問題が発生している最中にアクセスできなくても困らないと思います。というわけで、いずれにせよHTTPSオンリーでいいのではないでしょうか。実際、自分個人が運営しているところはHTTPSオンリーにしました。
阿部 寛のホームページ (スコア:1)
HTTPのままでいてくれ
Re: (スコア:0)
今のところLaCoocanがHTTPSに対応していない
スラドが対応したのも (スコア:0)
結構最近だったような気が...
Re:スラドが対応したのも (スコア:2)
公式アナウンスでは2016年10月17日ですね。
https://srad.jp/~hylom/journal/606882/ [srad.jp]
GoogleがChromeでHTTPをNon-Secure扱いにすると表明したのは2014年12月、
https://security.srad.jp/story/14/12/18/052212/ [security.srad.jp]
具体的に実装し始めたのは2016年8月。
https://security.googleblog.com/2016/09/moving-towards-more-secure-web... [googleblog.com]
ということで部門名の「どちらかというとGoogle対策で入れざるを得なかった」はhylom氏の実感がこもっていますね。
Re:スラドが対応したのも (スコア:2)
CSSなどを提供するimages.srad.jpが現時点ではTLS1.0のみ対応になっているため、ブラウザのTLS1.0を無効にすると残念な表示になります。
そして (スコア:0)
次はsymantecの発行した証明書が無効になって、再発行手続きしてないサイトが露見するわけですね。
Re:そして (スコア:1)
すでに第一段階はありましたよ。
今年3月リリースのChrome 66から、2016年6月以前に発効されたSymantec系証明書が無効化されたのですが、3年間有効な証明書を買っていたサイトがちらほらエラーになってました。
# やらかした(慌てて再発行)当事者なのでAC
Re:そして (スコア:1)
昔は証明書5年とか売ってましたけど、今の感覚だと有効期限3年って長いですよね。
こういう何かあった時にスパッと切り捨てなきゃいけないのに、何年も余る買い物なんて勿体ない。
私ゃ今ではすっかり単年更新です。
Re: (スコア:0)
あと定期的に更新してないと更新作業が必要なことを忘れて失効させてしまったりなんてことも
# ドメインあるある
Re: (スコア:0)
2018年3月以降、新規に発行されるTLS証明書の有効期間の最長は27ヶ月までになってる。
実質2年間。3ヶ月追加されているのは、業者間移行をする場合のボーナス分だな
そもそも普通の人はアドレスバーなんて見ないんですけど (スコア:0)
根本的に考えてること違くないか?
見ないのが普通という言説もおかしいような。 (スコア:0)
本来、ちゃんとアドレスバーを(スマホでも、せめてドメインくらい)見る習慣つけなきゃいけないと思う。