HTTPS状態

HTTPS 状態 (Web)

[11] 応答HTTPS状態 (HTTPS state) は、 当該応答輸送路となった HTTPS (HTTP over TLS) の安全性に関する利用者エージェントの判断を表します。

仕様書

意味

[10] 応答 >>9環境設定群オブジェクト >>38Document >>44WorkerGlobalScope >>24サービスワーカースクリプト資源 >>52 は、 HTTPS状態 (HTTPS state) を持ちます。

[36] その値は none, deprecated, modern のいずれかです >>9, >>38, >>35, >>24。既定値は none です >>9, >>35, >>24, >>52

[15] HTTPSでない輸送路応答では、 none となります。

[12] 通常の HTTPS 上の応答では、 modern となります >>9

[13] 移行期間にあると利用者エージェントが判断した場合は、 deprecated となります >>9

[14] 使われているハッシュ関数が削除されつつある場合、 弱い cipher suite の場合、 内部名証明書の場合、 極端に長い有効期間を持つ証明書の場合などに使えます >>9

[16] 具体的に何が deprecated となるかは、 仕様上は規定されていません。一般的にはこれは相互運用性の問題を生じさせるように思えますが、 セキュリティー相互運用性より重要と考えられており、 また中長期的には deprecated なものはやがて未対応に置き換えられてゆく (のでネットワークエラー扱いになる) ため、標準化になじまないのでしょう。

[23] 環境設定群オブジェクトHTTPS状態は、 その関連付けられている資源の配送に使われた通信路の保安特性を表します >>38。 実際には対応する大域オブジェクトHTTPS状態となります。

[37] DocumentHTTPS状態は、 その文書の配送に使われた通信路の保安特性を表します >>44

[39] WorkerGlobalScopeHTTPS状態は、 ワーカースクリプトの配送に使われた通信路の保安特性を表します。

[40] navigate で作られた文書run a worker で作られた大域オブジェクトには、 作成に使った応答HTTPS状態がコピーされます。

[41] document.open (overridden reload) や srcdoc では、呼び出し元の HTTPS状態がコピーされます。

詳しくはそれぞれの項を参照。

[56] 文脈的保安か否かの判断では、 deprecated かどうかが検査されます。

[58] Does settings prohibit mixed security contexts?none かどうかが検査されます。

[59] Should response to request be blocked as mixed content?modern かどうかが検査されます。

処理

[20] basic fetch は、 basic fetch が直接応答を作成する場合について、 応答HTTPS状態要求のクライアントHTTPS状態と同じに設定します >>19

[18] HTTP-network fetch は、 HTTPS からの応答について、 HTTPS状態modern または deprecated に設定します >>17

[22] Response コンストラクターは、 HTTPS状態入口設定群オブジェクトHTTPS状態と同じに設定します >>21

文脈

[47] ping 属性の処理に影響します。

[57] 非認証済応答かどうかの判断に影響します。

利用者インターフェイス

[60] 多くの WebブラウザーアドレスバーHTTPS状態に相当する情報を表示します。 アドレスバー

関連

[48] HTTPS状態は、旧来の仕様書の曖昧な用語「保安輸送路」 をより明確に規定したものと考えることもできます。

[25] insecure origininsecure URL は、定義で応答HTTPS状態を参照しています。

[26] Mixed Content の可否の判定は、環境設定群オブジェクト応答HTTPS状態を参照しています。

歴史

[1] Introduce authentication state https://www.w3.org/Bugs/Public/show_bug.c... · 6fdb71b · whatwg/fetch ( ( 版)) https://github.com/whatwg/fetch/commit/6fdb71b61e8e78efe3e28ff66787dd437a0077e7

[2] MIX: Convert checks to environment settings objects. · d065309 · w3c/webappsec ( ( 版)) https://github.com/w3c/webappsec/commit/d06530978dafbd99881ca74f93ed67d720b161da

[3] Authentication state -> TLS state · b81881d · whatwg/fetch ( ( 版)) https://github.com/whatwg/fetch/commit/b81881daad0ab1343ae2b265d9345cdfaf56288e

[4] MIX: s/authentication state/TLS state/g · 8372db0 · w3c/webappsec ( ( 版)) https://github.com/w3c/webappsec/commit/8372db04445a26ca4b93053d4127b4581eca37ce

[5] Rename TLS state to HTTPS state to avoid confusion with OE. · whatwg/fetch@7022094 ( 版) https://github.com/whatwg/fetch/commit/7022094593d63c599b521270e684461739cb0f57

[6] Re: CfC: Mixed Content to PR; deadline July 6th. (Mike West 著, 版) https://lists.w3.org/Archives/Public/public-webappsec/2015Jul/0037.html

[7] MIX: Drop 'deprecated TLS-protection'. · w3c/webappsec@2fa9d67 ( 版) https://github.com/w3c/webappsec/commit/2fa9d6757123cd3e4d53a347ba8bc57437c5d292

[8] Rename HTTPS state one last time. Give examples for "deprecated". Fix… · whatwg/fetch@ee99e4a ( 版) https://github.com/whatwg/fetch/commit/ee99e4aaf597a0647f35b0db34aaee7f05862713

[27] IRC logs: freenode / #whatwg / 20150909 ( 版) http://krijnhoetmer.nl/irc-logs/whatwg/20150909

# [13:36] <annevk> OE ruined the term TLS for me

# [13:43] <mkwst> Yup. Totally understood.

# [13:48] <Ms2ger> OE?

# [13:48] <mkwst> opportunistic encryption

[28] MIX: HTTPS state update. · w3c/webappsec@06ac637 ( 版) https://github.com/w3c/webappsec/commit/06ac637d5768b1a8af9db89dc42d814f7eb84942

[29] SECURE: HTTPS state update. · w3c/webappsec@ef42844 ( 版) https://github.com/w3c/webappsec/commit/ef42844de9cedc7e53da863ccca72f2721a214e3

[30] IRC logs: freenode / #whatwg / 20150922 ( 版) http://krijnhoetmer.nl/irc-logs/whatwg/20150922

[31] 27147 – Expose HTTPS state on responses ( 版) https://www.w3.org/Bugs/Public/show_bug.cgi?id=27147

[32] SECURE: Drop the flag on the environment settings object. · w3c/webappsec@90210b3 ( 版) https://github.com/w3c/webappsec/commit/90210b3ae0e70408cb6a8640d3a647f610630502

[33] xref HTTPS state · whatwg/fetch@21dee64 ( 版) https://github.com/whatwg/fetch/commit/21dee646c93b2e7aada1bfb638b18e0bd7697588

[34] Add 'HTTPS state' to settings objects · whatwg/html@6de5241 ( 版) https://github.com/whatwg/html/commit/6de524157fcf341e10efb3eec634bcf7325e6ee4

[42] Add a note about HTTPS state. · w3c/webappsec-secure-contexts@a9603f8 ( 版) https://github.com/w3c/webappsec-secure-contexts/commit/a9603f8acbc701963555ba1b94eae935ebbb196c

[43] IRC logs: freenode / #whatwg / 20151105 ( 版) http://krijnhoetmer.nl/irc-logs/whatwg/20151105

[45] Move 'HTTPS state' from Window to Document · whatwg/html@68390ce ( 版) https://github.com/whatwg/html/commit/68390cea99f9f19881a16e1c8adaf1b130b4d1cc

[46] Use the HTTPS state concept instead of "encrypted connection" · whatwg/html@1ee3316 ( 版) https://github.com/whatwg/html/commit/1ee3316caa1a5754f7bbd29c494842785f9a181b

[49] Editorial: make an HTTPS state value its own thing ( (annevk著, )) https://github.com/whatwg/fetch/commit/3ac01569802d8a7338d73df2675d8cded97ae748

[50] Define HTTPS state in terms of Fetch's HTTPS state value ( (annevk著, )) https://github.com/whatwg/html/commit/3828d49503284ff790c993f1c9218b4d982cfe75

[51] Firefox for iOS Makes it Faster and Easier to Use the Mobile Web the Way You Want | The Mozilla Blog ( ()) https://blog.mozilla.org/blog/2016/05/11/firefox-for-ios-makes-it-faster-and-easier-to-use-the-mobile-web-the-way-you-want/

With iOS, you can now temporarily ignore these error messages for websites you have deemed as “safe”, but that might register as potentially unsafe by Firefox.

[53] Stop hardcoding the list of schemes that inherit HTTPS state · Issue #255 · whatwg/fetch () https://github.com/whatwg/fetch/issues/255

[54] Drop "TLS Protected" in favor of HTTPS state. (mikewest著, ) https://github.com/w3c/webappsec-referrer-policy/commit/cd3894ac6bdc097abed1b8584d8e96bb0fca00ec

[55] "TLS-protected" link seems not very useful · Issue #82 · w3c/webappsec-referrer-policy () https://github.com/w3c/webappsec-referrer-policy/issues/82