Efter åratal av tjat om “varför har du inte https på bloggen” så har jag nu betalat för Cloudflare för att kunna implementera https på egen domän trots att jag kör Blogger. Som ni märker är nu innehållet på bloggen av en helt annan kvalitet tack vare detta.
Cornucopia? på Chrome 63.0.3239.132 och MacOS 10.13.3 |
Cornucopia? på Firefox 58.0.2 och MacOS 10.13.3 |
Cornucopia? på Safari 11.0.3 (13604.5.6) och MacOS 10.13.3 |
Jag har nu betalat för Cloudflares tjänster, då Google ännu inte stöder https på Blogger-bloggar som inte kör under blogspot.*-domäner. Därmed betalar jag nu pengar för att de som tycker det är så integritetskränkande att läsa på en publik blogg vars innehåll alla kan se, att de kräver https, ska sluta tjata om detta.
Enda effekten är att era arbetsgivare eller andra personer som kontrollerar nätverk er kommunikation går via inte kan se vilken sida ni läser på bloggen, men de kommer fortfarande se att ni anropar bloggen och när. Men ni kan nu alltså känna er trygga i att de inte vet vilka inlägg ni läser.
Det var väl bra?
En annan effekt är att ni ska förmodas kunna känna er trygga i att bloggen levereras autentiskt utan att innehållet modifierats på vägen, vilket förstås är bra i dessa informationskrigstider.
Som ni ser på skärmdumparna ovan ges säkerhetsikon nu i senaste (?) versionerna av Chrome, Firefox och Safari på MacOS. Säkerhetsikon syns även på iPrylar med iOS. Jag har inte tillgång till någon Windowsmaskin och kan därmed inte kontrollera om det även fungerar på webläsare där.
Notera att alla underleverantörer av reklam inte nödvändigtvis stöder https hela vägen, så periodvis kan säkerhetsikonen försvinna pga att reklam levereras okrypterat. Äldre inlägg (några år gamla) kan också ha bilder som levereras okrypterat och alltså gör att säkerhetsikonen försvinner eftersom din arbetsgivare kan se vilket inlägg du läser utifrån bilder som laddas ner.
All funktionalitet verkar annars fungera, men testa gärna.
En del småpill krävdes. Jag var tvungen att byta bilder på några av de mest lästa inläggen någonsin, eftersom deras tumnaglar visade som bilder över http. Jag var tvungen att ladda upp favoritikonen igen för att få den via https. Man behövde också lägga in en omdirigering i Cloudflare så att alla http-anrop dirigeras om till https. Se Cloudflare-regel nedan.
Enkel omdirigeringsregel i Cloudflare. |
Största förändringen är att jag tog bort inläggsförslagstjänsten LinkedWithin, eftersom den inte stöder https, så nu får ni inte längre några förslag på relaterade inlägg, vilket minskar bloggtrafiken och mina reklamintäkter. Så för att bli av med tjatet måste jag dels betala pengar och dels få mindre intäkter. Hoppas alla är riktigt nöjda nu. Tjänsten stöddes dock inte av mobila läsare och det står numera för över 50% av trafiken. För desktopläsare så bör bloggen kännas marginellt snabbare nu.
Seriöst så är det förstås bra att implementera https även om jag personligen tycker det är meningslöst. Det är större risk att någon medarbetare ser vad du gör på skärmen än att din arbetsgivare sitter och kontrollerar loggfiler, och arbetsgivaren har ändå rätt till tillgång till din dator där webhistoriken står att finna. Sedan har alla en smartphone idag och surfar lämpligen privat via den från jobbet istället för via jobbdatorn, och då kan arbetsgivaren ändå inte se.
Dock har Google börjat prioritera ner okrypterade sajter i sökningar och till sommaren ska Googles webläsare Chrome (inklusive alla Android-telefoner) börja med varningssidor vid besök till okrypterade sajter. Så jag har inte så mycket val. Man kunde dock hoppats att Google kunde implementera https på Blogger-bloggar med egen domän innan dess…
Nu kan ni iaf vara säkra på att den skit som skrivs på bloggen verkligen kommer från bloggen. Eller åtminstone från Cloudflare, som utfärdar SSL-certifikatet. Man kan fortfarande göra en MITM-attack mellan Cloudflare och bloggen och förfalska innehållet den vägen, vilket ger till synes SSL-signerat innehåll, fast det är falskt. Vilket visar på att även till synes https kan visa falskt innehåll och inte garanterar innehållet, speciellt inte om du som läsare inte känner till arkitekturen bakom. Ett mindre problem om Google aktiverar https på riktigt för egna domäner. De som inte läser detta blogginlägg kommer sitta nöjda med sin https utan att känna till att en MITM fortfarande är möjlig.
Angående informationskrigföring så levererar inte regeringen.se korrekt https. Dels omdirigerar man inte till https och när man manuellt går in på https-sajten levereras fortfarande bilder via http, så bildinnehållet kan alltså modifieras via ett man-in-the-middle-angrepp. Plus att det går att se vilka sidor du besöker. Sett ur ett infomationskrigsföringsperspektiv är det alltså skarp bakläxa på den kanske viktigaste sajten i händelse av nationell kris.
14 kommentarer
Löste problemet med spaltbredden i Edge för Windows 10 mobilversionen.
Gött, nu vågar jag smygläsa bloggen från eget nät igen… Skämt åsido så tvingas alla dit inom kort (precis som du nämner) pga Googles försök att göra nätet säkrare i stort. Vilket du och de flesta applåderar. Hoppas tjänsterna hänger med också. Jag får siten via HTTP2 så allt verkar fint även på en icke-apple enhet. Nästa steg är väl att ha egen server och bygga ett digitalt imperium utifrån norra Halland. Fortsätt blogga!
Så folk skäms alltså för att läsa?
TLS är ett direkt krav i väldigt många fall, men det är nog överskattat i typ alla andra.
Vad jag kan se som skiljer mot tidigare är att en cookie vid namn "displayCookieConsent" skapas i flera upplagor med olika innehåll. Vilket antagligen hänger samman med att man som läsare upprepade gånger får frågan om man vill godkänna cookies när man bläddrar bland äldre och nyare inlägg.
Exempel har den värden för "site" cornucopia.cornubot.se som /2015/11/, /2018/02/ etc. Luktar väl kanske mest ett Blogger-problem med brasklappen att mina webbteknikkunskaper inte är helt up-to-date.
Fast alla har väl undermedvetet lärt sig att bortse från denna information om att cookies sätts numera.
Denna malör inträffar i alla fall på Firefox i skrivbordsversion.
Du ska använda 301 och inte 302, såvida du inte bara kör https temporärt. Ditt cert är väldigt kort tid också, har aldrig sett ett cert så kort någon gång.
Reagerade direkt på att det inte räckte med ett c i adressfältet för att få cornucopia som första förslag. Nu kom jag till civilförsvarsförbundet istället. Inte så illa i och för sig. Men nu krävs det co för att komma hit.
Den kanske lär sig efter ett tag.
För att Google ska "lära sig" att du nu kör https så måste du köra med 301 som httpkod vid redirecten. Vid 302 så uppdateras inte läknarna på Google eftersom 302 anger en temporär redirect där länkar inte ska uppdateras på Goolgle, se mitt inlägg vid 2018-02-18 17:53.
Det går ju även att använda annan blogglösning än blogspot.
Du hade inte behövt betala nånting. Jag kör https, bara att slå på på https://draft.blogger.com
Har gjort det för någon vecka sedan. Inget har hänt, står bara ”ansökan om aktivering behandlas, återkom senare”.
Jaså, slog igenom direkt för mig. Beklagar.
Undrade länge under läsningen varför i hela fridens dar du bemödat dig med detta. Sen kom förklaringen med nedprioritering av Google. Surt.
Att ankorna på Helgeandsholmen inte har en susning om IT-säkerhet vet vi redan. Ingen vettig människa söker sig till en myndighets webbplats då dessa saknar information eller är komprometterade i krislägen.
Fina SAN i certet (Subject Alternative Name)
Blir så när det är multihost
DNS-namn=ssl390097.cloudflaressl.com
DNS-namn=*.bell-integrated.co.uk
DNS-namn=*.cornubot.se
DNS-namn=*.ethereumsweepstakes.io
DNS-namn=*.flirtbox.de
DNS-namn=*.frontdeskmaster.com
DNS-namn=*.igturkiye.com
DNS-namn=*.instaturkiye.com
DNS-namn=*.journalismgrants.org
DNS-namn=*.jvimobile.com
DNS-namn=*.merlewood.com
DNS-namn=*.rollersnakes.co.uk
DNS-namn=*.tendenciasviajes.com.ar
DNS-namn=*.wqa.org
DNS-namn=*.wqrf.org
DNS-namn=bell-integrated.co.uk
DNS-namn=cornubot.se
DNS-namn=ethereumsweepstakes.io
DNS-namn=flirtbox.de
DNS-namn=frontdeskmaster.com
DNS-namn=igturkiye.com
DNS-namn=instaturkiye.com
DNS-namn=journalismgrants.org
DNS-namn=jvimobile.com
DNS-namn=merlewood.com
DNS-namn=rollersnakes.co.uk
DNS-namn=tendenciasviajes.com.ar
DNS-namn=wqa.org
DNS-namn=wqrf.org