[11] 応答の HTTPS状態は、 当該応答の輸送路となった HTTPS (HTTP over TLS) の安全性に関する利用者エージェントの判断を表します。
[10] 応答 >>9、環境設定群オブジェクト >>38、
Document >>44、
WorkerGlobalScope >>24、
サービスワーカーのスクリプト資源 >>52
は、 HTTPS状態を持ちます。
[36] その値は none, deprecated, modern
のいずれかです >>9, >>38, >>35, >>24。既定値は none です
>>9, >>35, >>24, >>52。
[15] HTTPSでない輸送路の応答では、 none
となります。
[12] 通常の HTTPS 上の応答では、 modern
となります >>9。
[13] 移行期間にあると利用者エージェントが判断した場合は、
deprecated となります >>9。
[23] 環境設定群オブジェクトのHTTPS状態は、 その関連付けられている資源の配送に使われた通信路の保安特性を表します >>38。 実際には対応する大域オブジェクトの HTTPS状態となります。
[37] Document のHTTPS状態は、
その文書の配送に使われた通信路の保安特性を表します >>44。
[39] WorkerGlobalScope のHTTPS状態は、
ワーカーのスクリプトの配送に使われた通信路の保安特性を表します。
[40] navigate で作られた文書や run a worker で作られた大域オブジェクトには、 作成に使った応答の HTTPS状態がコピーされます。
[41] document.open (overridden reload) や srcdoc
では、呼び出し元の HTTPS状態がコピーされます。
[56] 文脈的保安か否かの判断では、 deprecated かどうかが検査されます。
[58]
Does settings prohibit mixed security contexts?
で none かどうかが検査されます。
[59]
Should response to request be blocked as mixed content?
で modern かどうかが検査されます。
[20] basic fetch は、 basic fetch が直接応答を作成する場合について、 応答のHTTPS状態を要求のクライアントのHTTPS状態と同じに設定します >>19。
[18] HTTP-network fetch は、 HTTPS からの応答について、
HTTPS状態を modern または deprecated
に設定します >>17。
[22] Response コンストラクターは、
HTTPS状態を入口設定群オブジェクトのHTTPS状態と同じに設定します
>>21。
[48] HTTPS状態は、旧来の仕様書の曖昧な用語「保安輸送路」 をより明確に規定したものと考えることもできます。
[25] insecure origin、insecure URL は、定義で応答の HTTPS状態を参照しています。
[26] Mixed Content の可否の判定は、環境設定群オブジェクトや応答の HTTPS状態を参照しています。
[1] Introduce authentication state https://www.w3.org/Bugs/Public/show_bug.c... · 6fdb71b · whatwg/fetch ( ( 版)) https://github.com/whatwg/fetch/commit/6fdb71b61e8e78efe3e28ff66787dd437a0077e7
[2] MIX: Convert checks to environment settings objects. · d065309 · w3c/webappsec ( ( 版)) https://github.com/w3c/webappsec/commit/d06530978dafbd99881ca74f93ed67d720b161da
[3] Authentication state -> TLS state · b81881d · whatwg/fetch ( ( 版)) https://github.com/whatwg/fetch/commit/b81881daad0ab1343ae2b265d9345cdfaf56288e
[4] MIX: s/authentication state/TLS state/g · 8372db0 · w3c/webappsec ( ( 版)) https://github.com/w3c/webappsec/commit/8372db04445a26ca4b93053d4127b4581eca37ce
[5] Rename TLS state to HTTPS state to avoid confusion with OE. · whatwg/fetch@7022094 ( 版) https://github.com/whatwg/fetch/commit/7022094593d63c599b521270e684461739cb0f57
[6] Re: CfC: Mixed Content to PR; deadline July 6th. (Mike West 著, 版) https://lists.w3.org/Archives/Public/public-webappsec/2015Jul/0037.html
[7] MIX: Drop 'deprecated TLS-protection'. · w3c/webappsec@2fa9d67 ( 版) https://github.com/w3c/webappsec/commit/2fa9d6757123cd3e4d53a347ba8bc57437c5d292
[8] Rename HTTPS state one last time. Give examples for "deprecated". Fix… · whatwg/fetch@ee99e4a ( 版) https://github.com/whatwg/fetch/commit/ee99e4aaf597a0647f35b0db34aaee7f05862713
# [13:36] <annevk> OE ruined the term TLS for me
# [13:43] <mkwst> Yup. Totally understood.
# [13:48] <Ms2ger> OE?
# [13:48] <mkwst> opportunistic encryption
[28] MIX: HTTPS state update. · w3c/webappsec@06ac637 ( 版) https://github.com/w3c/webappsec/commit/06ac637d5768b1a8af9db89dc42d814f7eb84942
[29] SECURE: HTTPS state update. · w3c/webappsec@ef42844 ( 版) https://github.com/w3c/webappsec/commit/ef42844de9cedc7e53da863ccca72f2721a214e3
[30] IRC logs: freenode / #whatwg / 20150922 ( 版) http://krijnhoetmer.nl/irc-logs/whatwg/20150922
[31] 27147 – Expose HTTPS state on responses ( 版) https://www.w3.org/Bugs/Public/show_bug.cgi?id=27147
[32] SECURE: Drop the flag on the environment settings object. · w3c/webappsec@90210b3 ( 版) https://github.com/w3c/webappsec/commit/90210b3ae0e70408cb6a8640d3a647f610630502
[33] xref HTTPS state · whatwg/fetch@21dee64 ( 版) https://github.com/whatwg/fetch/commit/21dee646c93b2e7aada1bfb638b18e0bd7697588
[34] Add 'HTTPS state' to settings objects · whatwg/html@6de5241 ( 版) https://github.com/whatwg/html/commit/6de524157fcf341e10efb3eec634bcf7325e6ee4
[42] Add a note about HTTPS state. · w3c/webappsec-secure-contexts@a9603f8 ( 版) https://github.com/w3c/webappsec-secure-contexts/commit/a9603f8acbc701963555ba1b94eae935ebbb196c
[43] IRC logs: freenode / #whatwg / 20151105 ( 版) http://krijnhoetmer.nl/irc-logs/whatwg/20151105
[45] Move 'HTTPS state' from Window to Document · whatwg/html@68390ce ( 版) https://github.com/whatwg/html/commit/68390cea99f9f19881a16e1c8adaf1b130b4d1cc
[46] Use the HTTPS state concept instead of "encrypted connection" · whatwg/html@1ee3316 ( 版) https://github.com/whatwg/html/commit/1ee3316caa1a5754f7bbd29c494842785f9a181b
[49] Editorial: make an HTTPS state value its own thing ( (annevk著, )) https://github.com/whatwg/fetch/commit/3ac01569802d8a7338d73df2675d8cded97ae748
[50] Define HTTPS state in terms of Fetch's HTTPS state value ( (annevk著, )) https://github.com/whatwg/html/commit/3828d49503284ff790c993f1c9218b4d982cfe75
With iOS, you can now temporarily ignore these error messages for websites you have deemed as “safe”, but that might register as potentially unsafe by Firefox.
[53] Stop hardcoding the list of schemes that inherit HTTPS state · Issue #255 · whatwg/fetch () https://github.com/whatwg/fetch/issues/255
[54] Drop "TLS Protected" in favor of HTTPS state. (mikewest著, ) https://github.com/w3c/webappsec-referrer-policy/commit/cd3894ac6bdc097abed1b8584d8e96bb0fca00ec
[55] "TLS-protected" link seems not very useful · Issue #82 · w3c/webappsec-referrer-policy () https://github.com/w3c/webappsec-referrer-policy/issues/82
deprecatedとなるかは、 仕様上は規定されていません。一般的にはこれは相互運用性の問題を生じさせるように思えますが、 セキュリティーは相互運用性より重要と考えられており、 また中長期的にはdeprecatedなものはやがて未対応に置き換えられてゆく (のでネットワークエラー扱いになる) ため、標準化になじまないのでしょう。