Регистрация Войти
Рейтинг:19
Basil Bourque avatar Server

Список доменов верхнего уровня (TLD), для которых требуется HTTPS-подключение, например .dev.

флаг za
Basil Bourque

я знаю .dev домен верхнего уровня требует, чтобы все сайты поддерживали только зашифрованные соединения HTTPS, запрещая любые соединения HTTP.

Существуют ли другие подобные TLD?

2307
1 + 0
Рейтинг:22
avatar Server
флаг jp
Esa Jokinen

Прямой ответ на этот вопрос в конечном итоге устарел бы, если бы больше доменов верхнего уровня начали применять HTTPS с использованием Строгая транспортная безопасность HTTP (ХСТ, RFC 6797). Технически это политика HSTS для TLD, включенного в список предварительной загрузки. Это началось с новых доменов верхнего уровня Google,

Список предварительной загрузки HSTS может содержать отдельные домены или субдомены и даже домены верхнего уровня (TLD), которые добавляются через HSTS Веб-сайт. TLD — это последняя часть доменного имени, например, .com, .сеть, или же .org. Google управляет 45 доменами верхнего уровня., в том числе .Google, .как, и .соя. В 2015 году мы создали первый безопасный TLD, добавив .Google к список предварительной загрузки HSTS, и сейчас мы развертываем HSTS для более крупного количество наших TLD, начиная с .foo и .dev.

и даже было предварительные мысли о возможности защиты всего .gov в будущем:

Еще больше уменьшаем масштаб: технически возможно предварительно загрузить HSTS для всего домена верхнего уровня (например, â.gov), как Google впервые сделал с .Google. Будучи относительно небольшим, централизованно управляемым доменом верхнего уровня, возможно когда-нибудь .gov может попасть туда.

Чтобы узнать текущую ситуацию, необходимо проконсультироваться Предварительно загруженный список Chromium HSTS.

Предварительно загруженный список также доступен на Chromium. Зеркало GitHub; особенно необработанная версия лучше всего подходит для завиток или же wget. Список нестандартный JSON со строками комментариев. Его можно проанализировать с jq после удаления комментариев, например. сед.

Здесь jq дает все доменные имена в предварительно загруженном списке и grep сводит его к ДВУ:

кошка transport_security_state_static.json \
  | sed 's/^\s*\/\/.*//' \
  | sed '/^$/d' \
  | jq -r '.entries[]|select(.include_subdomains==true)|"\(.name)"' \
  | grep -P "^\.?[a-z]*\.?$"

Искать общедоступные суффиксы вместо TLD:

кошка transport_security_state_static.json \
  | sed 's/^\s*\/\/.*//' \
  | sed '/^$/d' \
  | jq '.entries[]' \
  | jq 'выберите ((.policy=="public-suffix") и (.include_subdomains==true))' \
  | jq -r '"\(.имя)"'
0 + 13
флаг cn
Håkan Lindqvist
Отличный ответ. Одна вещь, которую, возможно, стоит рассмотреть на практике, заключается в том, может ли кто-то также захотеть сопоставить [общедоступные суффиксы] (https://publicsuffix.org/list/), а не только ДВУ, о которых конкретно говорится в вопросе.
2
Ответить
флаг jp
Esa Jokinen
@HÃ¥kanLindqvist Хороший вопрос. Я также добавил пример поиска для этого.
1
Ответить
Patrick Mevzek avatar
флаг cn
Patrick Mevzek
Существует также https://hstspreload.org/ для просмотра текущего содержимого списка.
0
Ответить
Patrick Mevzek avatar
флаг cn
Patrick Mevzek
Google явно начал с «dev», а затем добавил все новые после «app», «new» и т. д.
0
Ответить
флаг jp
Esa Jokinen
@PatrickMevzek https://hstspreload.org полезен только для индивидуального поиска; было бы трудоемко и неэффективно искать каждый TLD по одному, в то время как в репозитории Git есть исчерпывающий список.
0
Ответить
флаг jp
Esa Jokinen
Кажется, быстрее получить файл с зеркала GitHub с помощью `curl https://raw.githubusercontent.com/chromium/chromium/master/net/http/transport_security_state_static.json` (или `wget`).
2
Ответить
Patrick Mevzek avatar
флаг cn
Patrick Mevzek
За исключением одного незначительного, но, возможно, важного семантического отличия: список предварительной загрузки HSTS подобен общедоступному суффиксному списку. Общий ресурс, используемый несколькими сторонами. Вы не можете знать, когда каждая сторона, например браузер, обновляет себя новым контентом из этого источника. Таким образом, я чувствую, что просмотр любого конкретного источника кода может быть проблемой. Я согласен с тем, что исходный код «проще» для навигации и извлечения данных, но потенциально он немного отличается, это все, что я хотел обрисовать.
0
Ответить
Patrick Mevzek avatar
флаг cn
Patrick Mevzek
«Было бы трудоемко и неэффективно искать каждый TLD по одному». Тем не менее, если вас действительно интересуют только TLD (а не все возможные общедоступные суффиксы), их менее 2000, так что это не будет большой цикл сделать.
0
Ответить
флаг jp
Esa Jokinen
Цикл из ~ 2000 совершенно ненужных HTTP-запросов, учитывая, что легко доступен загружаемый текстовый файл...
0
Ответить
флаг jp
Esa Jokinen
Кроме того, **hstspreload.org использует тот же источник** для своих статических данных: `base64.b64decode(requests.get("https://chromium.googlesource.com/chromium/src/+/master/net/ http/transport_security_state_static.json?format=TEXT").text)` в https://github.com/chromium/hstspreload.org/blob/master/scripts/update_bulk_preloaded.py
0
Ответить
Michael Hampton avatar
флаг cz
Michael Hampton
Я считаю маловероятным, что .gov попадет в список предварительной загрузки HSTS при моей жизни. Правительственные ИТ движутся подобно леднику, а вы говорите о нескольких тысячах маленьких не связанных друг с другом бюрократических ИТ-феодальных владений, у которых вряд ли есть какой-либо стимул делать что-либо подобное и, вероятно, не бюджет.
1
Ответить
флаг jp
Esa Jokinen
Вероятно, это верно, если все отдельные организации должны взаимно согласиться с новой политикой. С другой стороны, как уже было сказано, он относительно небольшой и управляется централизованно. Если политика применяется сверху или предписана актом, это может произойти. Уже существует меморандум Управления управления и бюджета Белого дома [M-15-13] (https://www.whitehouse.gov/sites/whitehouse.gov/files/omb/memoranda/2015/m-15-13.pdf). ), «Политика требования безопасного соединения через федеральные веб-сайты и веб-службы», ведущая в этом направлении.
1
Ответить
флаг jp
Esa Jokinen
Согласно M-15-13, «Агентства должны сделать все существующие веб-сайты и службы доступными через безопасный подключение (только HTTPS, с HSTS) к 31 декабря 2016 г.». Включение HSTS было бы относительно небольшим техническим шагом, если бы все сайты уже были доступны по HTTPS. «Вы можете сказать, что я мечтатель. Но я не единственный."
1
Ответить
Рейтинг:3
9072997 avatar Server
флаг ng
9072997

Это было сгенерировано с использованием процедуры, описанной в ответе Эсы Йокинена, но казалось, что может быть полезно иметь буквальный список, даже если его необходимо периодически обновлять.

Предварительно загруженные TLD HSTS

  • андроид
  • приложение
  • банк
  • бу
  • хром
  • папа
  • день
  • разработчик
  • есть
  • эсквайр
  • летать
  • фу
  • гле
  • Gmail
  • Google
  • тусоваться
  • инг
  • страхование
  • встретиться
  • мем
  • новый
  • связь
  • страница
  • кандидат наук
  • играть
  • профессор
  • Просьба ответить
  • поиск
  • YouTube

Предварительно загруженные общедоступные суффиксы HSTS

(эта часть ответа, скорее всего, устареет быстрее)

  • bmoattachments.org
  • cnpy.gdn
  • gentapps.com
  • сейчас.ш
0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.