Mooie droom die fout uitdraait. 90% van de sites die al HTTPS gebruiken, staat fout ingesteld. Daaronder een aantal grote ecommerce sites. De modale gebruiker voelt zich veilig, door het groene slotje in de URL balk, maar is het niet.

Waarom zou een kleine amateur site enig voordeel hebben bij https? Er is niks te beveiligen, buiten de webserver zelf en die wordt niet veiliger met https, eerder integendeel. Ik hoop ook dat die webserver door de provider beheerd wordt en niet door de klant.

Vanaf het moment dat er door bezoekers moet aangelogd worden, bv. voor comments, is https natuurlijk vereist. Maar 't is nu zo'n beetje een mode verschijnsel aan 't worden, omdat Google de voorkeur geeft aan https sites boven http en iedereen maar luistert naar die SEO onzin.

[tin foil hat on] of is het misschien dat de CIA ondertussen bij alle verstrekkers van certificaten ingebroken heeft en backdoors geplaatst dat dit doet promoten?

Inderdaad zijn er verrassend veel https-sites die een dikke onvoldoende halen.

Natuurlijk meteen een aantal voor mij belangrijke sites mee getest.  

Google begint eigen root-certificaatautoriteit

Google heeft aangekondigd dat het een eigen root-certificaatautoriteit begint, waarmee het certificaten kan uitgeven. Om dit te faciliteren heeft de zoekgigant twee bestaande root-autoriteiten ingelijfd, namelijk GlobalSign R2 en R4.

Het bedrijf wil via Google Trust Services de nieuwe certificaatautoriteiten aansturen namens Google en moederbedrijf Alphabet. Met de beslissing zegt Google mee te gaan in de ontwikkeling van https als 'fundamentele techniek' op internet.

Ars announces HTTPS by default (finally)
Doing our part to push the encrypted-by-default vision of the Web.

We are excited to announce that Ars Technica has made the jump to greater security: we now have HTTPS browsing by default. The switch to encryption will help secure your connection to Ars from eavesdropping by unauthorized parties (emphasis on the "help," since browsing with HTTPS is only one part of a sane defense-in-depth strategy, and lots of browsing metadata is exposed regardless of whether or not you use HTTPS). For most readers, the change will be a transparent one. Browser address bars will show a green SSL/TLS notification, but everything else should remain the same. We hope we've anticipated potential problems, but if you run into any issues, please let us know via this Google form.

Vanaf vandaag werken OMT en de OMT-app ook via https. We implementeren dit stapsgewijs en met één aanpassing kun je ons helpen. Een toelichting:

Fase 1: (nu live)
Het is mogelijk om via https in te loggen en de hele site te gebruiken. Je wordt niet meer terug gebounced naar http. Vooralsnog blijft http de standaard.
Tijdens het gebruiken van https loggen we alle verzoeken die nog via http worden gedaan en passen hoekjes van de site die op een vreemde manier geïmplementeerd zijn aan. Daarom vragen we je OMT via https te gebruiken zoals je altijd deed (tik in je adresbalk https://www.onemorething.nl in ipv http). Zo kunnen we alle delen van de site die nog werk behoeven identificeren. Gebruikers van de app hoeven niets te doen, we hebben dit op de achtergrond aangepast.

Fase 2: (work in progress)
Alle afbeeldingenVanaf vandaag werken OMT en de OMT-app ook via https. We implementeren dit stapsgewijs en met één aanpassing kun je ons helpen. Een toelichting: en embeds worden via https geladen (geen mixed content meer). Dit vereist aardig wat werk omdat er 12+ jaar user generated content op OMT te vinden is.

Fase 3: (volgt later)
Het wordt niet meer mogelijk om OMT via http te benaderen en https wordt de standaard. Dit volgt waarschijnlijk binnen een maand of twee.

We're Halfway to Encrypting the Entire Web

The movement to encrypt the web has reached a milestone. As of earlier this month, approximately half of Internet traffic is now protected by HTTPS. In other words, we are halfway to a web safer from the eavesdropping, content hijacking, cookie stealing, and censorship that HTTPS can protect against.

Mozilla recently reported that the average volume of encrypted web traffic on Firefox now surpasses the average unencrypted volume.

Ondanks verbetering nog steeds veel overheidswebsites zonder https

De Open State Foundation heeft opnieuw onderzoek uitgevoerd naar het gebruik van een https-verbinding bij de homepagina's van overheidswebsites. Ondanks een toename van het aantal https-pagina's is slechts iets meer dan de helft van de homepagina's van de techniek voorzien.

Pieterr om 17:50, 10-03-2017
https://tweakers.net/nieuws/122177/ondanks-verbetering-nog-steeds-veel-overheidswebsites-zonder-https.html

Ai, vooral van de overheid verwacht ik véél meer.  

Chrome gaat gebruikers vaker waarschuwen bij http-sites

Google heeft een aantal veranderingen in de Chrome-browser aangekondigd. Zo moeten er vanaf versie 62 aanvullende waarschuwingen worden getoond op http-sites, bijvoorbeeld in de incognitomodus en bij het invullen van gegevens.