Рейтинг:19

Список доменов верхнего уровня (TLD), для которых требуется HTTPS-подключение, например .dev.

флаг za

я знаю .dev домен верхнего уровня требует, чтобы все сайты поддерживали только зашифрованные соединения HTTPS, запрещая любые соединения HTTP.

Существуют ли другие подобные TLD?

Рейтинг:22
флаг jp

Прямой ответ на этот вопрос в конечном итоге устарел бы, если бы больше доменов верхнего уровня начали применять HTTPS с использованием Строгая транспортная безопасность HTTP (ХСТ, RFC 6797). Технически это политика HSTS для TLD, включенного в список предварительной загрузки. Это началось с новых доменов верхнего уровня Google,

Список предварительной загрузки HSTS может содержать отдельные домены или субдомены и даже домены верхнего уровня (TLD), которые добавляются через HSTS Веб-сайт. TLD — это последняя часть доменного имени, например, .com, .сеть, или же .org. Google управляет 45 доменами верхнего уровня., в том числе .Google, .как, и .соя. В 2015 году мы создали первый безопасный TLD, добавив .Google к список предварительной загрузки HSTS, и сейчас мы развертываем HSTS для более крупного количество наших TLD, начиная с .foo и .dev.

и даже было предварительные мысли о возможности защиты всего .gov в будущем:

Еще больше уменьшаем масштаб: технически возможно предварительно загрузить HSTS для всего домена верхнего уровня (например, â.gov), как Google впервые сделал с .Google. Будучи относительно небольшим, централизованно управляемым доменом верхнего уровня, возможно когда-нибудь .gov может попасть туда.

Чтобы узнать текущую ситуацию, необходимо проконсультироваться Предварительно загруженный список Chromium HSTS.

Предварительно загруженный список также доступен на Chromium. Зеркало GitHub; особенно необработанная версия лучше всего подходит для завиток или же wget. Список нестандартный JSON со строками комментариев. Его можно проанализировать с jq после удаления комментариев, например. сед.

Здесь jq дает все доменные имена в предварительно загруженном списке и grep сводит его к ДВУ:

кошка transport_security_state_static.json \
  | sed 's/^\s*\/\/.*//' \
  | sed '/^$/d' \
  | jq -r '.entries[]|select(.include_subdomains==true)|"\(.name)"' \
  | grep -P "^\.?[a-z]*\.?$" 

Искать общедоступные суффиксы вместо TLD:

кошка transport_security_state_static.json \
  | sed 's/^\s*\/\/.*//' \
  | sed '/^$/d' \
  | jq '.entries[]' \
  | jq 'выберите ((.policy=="public-suffix") и (.include_subdomains==true))' \
  | jq -r '"\(.имя)"'
флаг cn
Отличный ответ. Одна вещь, которую, возможно, стоит рассмотреть на практике, заключается в том, может ли кто-то также захотеть сопоставить [общедоступные суффиксы] (https://publicsuffix.org/list/), а не только ДВУ, о которых конкретно говорится в вопросе.
флаг jp
@HÃ¥kanLindqvist Хороший вопрос. Я также добавил пример поиска для этого.
Patrick Mevzek avatar
флаг cn
Существует также https://hstspreload.org/ для просмотра текущего содержимого списка.
Patrick Mevzek avatar
флаг cn
Google явно начал с «dev», а затем добавил все новые после «app», «new» и т. д.
флаг jp
@PatrickMevzek https://hstspreload.org полезен только для индивидуального поиска; было бы трудоемко и неэффективно искать каждый TLD по одному, в то время как в репозитории Git есть исчерпывающий список.
флаг jp
Кажется, быстрее получить файл с зеркала GitHub с помощью `curl https://raw.githubusercontent.com/chromium/chromium/master/net/http/transport_security_state_static.json` (или `wget`).
Patrick Mevzek avatar
флаг cn
За исключением одного незначительного, но, возможно, важного семантического отличия: список предварительной загрузки HSTS подобен общедоступному суффиксному списку. Общий ресурс, используемый несколькими сторонами. Вы не можете знать, когда каждая сторона, например браузер, обновляет себя новым контентом из этого источника. Таким образом, я чувствую, что просмотр любого конкретного источника кода может быть проблемой. Я согласен с тем, что исходный код «проще» для навигации и извлечения данных, но потенциально он немного отличается, это все, что я хотел обрисовать.
Patrick Mevzek avatar
флаг cn
«Было бы трудоемко и неэффективно искать каждый TLD по одному». Тем не менее, если вас действительно интересуют только TLD (а не все возможные общедоступные суффиксы), их менее 2000, так что это не будет большой цикл сделать.
флаг jp
Цикл из ~ 2000 совершенно ненужных HTTP-запросов, учитывая, что легко доступен загружаемый текстовый файл...
флаг jp
Кроме того, **hstspreload.org использует тот же источник** для своих статических данных: `base64.b64decode(requests.get("https://chromium.googlesource.com/chromium/src/+/master/net/ http/transport_security_state_static.json?format=TEXT").text)` в https://github.com/chromium/hstspreload.org/blob/master/scripts/update_bulk_preloaded.py
Michael Hampton avatar
флаг cz
Я считаю маловероятным, что .gov попадет в список предварительной загрузки HSTS при моей жизни. Правительственные ИТ движутся подобно леднику, а вы говорите о нескольких тысячах маленьких не связанных друг с другом бюрократических ИТ-феодальных владений, у которых вряд ли есть какой-либо стимул делать что-либо подобное и, вероятно, не бюджет.
флаг jp
Вероятно, это верно, если все отдельные организации должны взаимно согласиться с новой политикой. С другой стороны, как уже было сказано, он относительно небольшой и управляется централизованно. Если политика применяется сверху или предписана актом, это может произойти. Уже существует меморандум Управления управления и бюджета Белого дома [M-15-13] (https://www.whitehouse.gov/sites/whitehouse.gov/files/omb/memoranda/2015/m-15-13.pdf). ), «Политика требования безопасного соединения через федеральные веб-сайты и веб-службы», ведущая в этом направлении.
флаг jp
Согласно M-15-13, «Агентства должны сделать все существующие веб-сайты и службы доступными через безопасный подключение (только HTTPS, с HSTS) к 31 декабря 2016 г.». Включение HSTS было бы относительно небольшим техническим шагом, если бы все сайты уже были доступны по HTTPS. «Вы можете сказать, что я мечтатель. Но я не единственный."
Рейтинг:3
флаг ng

Это было сгенерировано с использованием процедуры, описанной в ответе Эсы Йокинена, но казалось, что может быть полезно иметь буквальный список, даже если его необходимо периодически обновлять.

Предварительно загруженные TLD HSTS

  • андроид
  • приложение
  • банк
  • бу
  • хром
  • папа
  • день
  • разработчик
  • есть
  • эсквайр
  • летать
  • фу
  • гле
  • Gmail
  • Google
  • тусоваться
  • инг
  • страхование
  • встретиться
  • мем
  • новый
  • связь
  • страница
  • кандидат наук
  • играть
  • профессор
  • Просьба ответить
  • поиск
  • YouTube

Предварительно загруженные общедоступные суффиксы HSTS

(эта часть ответа, скорее всего, устареет быстрее)

  • bmoattachments.org
  • cnpy.gdn
  • gentapps.com
  • сейчас.ш

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.