Jakie zdarzenia spowodowały masową migrację do HTTPS?

Od kilku lat widzę, że Google, Facebook itp. Zaczynają wyświetlać (a nawet przekierowywać) treści przez HTTPS.

Udostępnianie witryn monitujących hasła w niepewnym protokole HTTP było nieprawidłowe nawet w 1999 r., Ale uznano je za dopuszczalne nawet w 2010 r.

Ale obecnie nawet strony publiczne (takie jak zapytania z Bing / Google) są obsługiwane przez HTTPS.

Jakie zdarzenia spowodowały masową migrację do HTTPS? Skandal Wikileaks, egzekwowanie prawa w USA / UE, obniżony koszt uzgadniania SSL / TSL przy ogólnie obniżonym koszcie czasu serwera, rosnący poziom kultury IT w zarządzaniu?

Nawet działania publiczne takie jak https://letsencrypt.org/ rozpoczęły się nie tak dawno temu ...

@ briantist Ponieważ prowadzę również strony hobby i interesuję się tanim / łatwym w obsłudze rozwiązaniem SSL / TLS. W przypadku VPS (który zaczyna się od 5 $ / miesiąc) ostatnio oceniłem Let's encrypt with certbot(dostępne inne boty) w webroottrybie operacyjnym. To zapewnia mi ważny certyfikat SAN na 3 miesiące (i jest on w trakcie cronpracy - odnowienie przeprowadzono na miesiąc przed datą wygaśnięcia):

certbot certonly -n --expand --webroot \
        -w /srv/www/base/ -d example.com \
        -w /srv/www/blog/ -d blog.example.com

Wpłynęło na to wiele czynników, w tym:

• Technologia przeglądarki i serwera zapewniająca bezpieczeństwo dzięki wirtualnym hostom. Kiedyś potrzebowałeś dedykowanego adresu IP dla każdej bezpiecznej strony, ale nie jest tak już w przypadku SNI .
• Niższe koszty i bezpłatne certyfikaty bezpieczeństwa. Let's Encrypt wydaje teraz za darmo około połowy wszystkich certyfikatów. Dziesięć lat temu szukałem 300 $ rocznie za domenę wieloznaczną, ale teraz nawet płatne certyfikaty wieloznaczne mogą wynosić nawet 70 $ rocznie.
• Obciążenie HTTPS znacznie spadło. Kiedyś wymagało to dodatkowych zasobów serwera, ale teraz narzut jest znikomy . Jest nawet często wbudowany w moduły równoważące obciążenie, które mogą komunikować HTTP z serwerami zaplecza.
• Sieci reklamowe, takie jak AdSense, zaczęły obsługiwać HTTPS. Kilka lat temu nie można było zarabiać na witrynie HTTPS w większości sieci reklamowych.
• Google ogłasza HTTPS jako czynnik rankingowy.
• Duże firmy, takie jak Facebook i Google, które przeniosły się do HTTPS dla wszystkiego, znormalizowały tę praktykę.
• Przeglądarki zaczynają ostrzegać przed niepewnością HTTP.

W przypadku dużych firm, takich jak Google, które zawsze mogły sobie pozwolić na przejście na HTTPS, myślę, że było kilka rzeczy, które skłoniły ich do wdrożenia:

• Wyciek konkurencyjnych danych wywiadowczych przez HTTP. Uważam, że Google w dużej mierze przeniosło się na HTTPS, ponieważ tak wielu dostawców usług internetowych i konkurentów szukało tego, co użytkownicy szukają przez HTTP. Utrzymywanie zapytań w wyszukiwarce w tajemnicy było dużą motywacją dla Google.
• Wzrost szkodliwego oprogramowania atakującego witryny takie jak Google i Facebook. HTTPS utrudnia złośliwemu oprogramowaniu przechwytywanie żądań przeglądarki i wstrzykiwanie reklam lub przekierowywanie użytkowników.

Istnieje również kilka powodów, dla których częściej widzisz HTTPS w przypadkach, gdy oba działają:

• Google woli indeksować wersję HTTPS, gdy działa również wersja HTTP
• Wiele osób ma wtyczkę przeglądarki HTTPS Everywhere, która automatycznie każe im korzystać z witryn HTTPS, gdy są one dostępne. Oznacza to, że ci użytkownicy również tworzą nowe linki do stron HTTPS
• Więcej witryn przekierowuje do HTTPS z powodu obaw związanych z bezpieczeństwem i prywatnością.

Dotychczasowe odpowiedzi mówią o różnych przyczynach przyciągania i wypychania, dlaczego HTTPS staje się coraz bardziej popularny.

Istnieją jednak 2 główne alarmy z około 2010 r. I 2011 r., Które pokazały, jak ważne jest HTTPS: Firesheep zezwalający na przejmowanie sesji oraz rząd Tunezji przechwytujący dane logowania na Facebooku w celu kradzieży danych uwierzytelniających.

Firesheep była wtyczką Firefox z października 2010 r. Stworzoną przez Erica Butlera, która pozwalała każdemu z zainstalowaną wtyczką przechwytywać inne żądania na publicznych kanałach WiFi i wykorzystywać pliki cookie z tych żądań w celu podszywania się pod użytkowników, którzy je zgłaszali. Był darmowy, łatwy w użyciu, a przede wszystkim nie wymagał specjalistycznej wiedzy. wystarczy kliknąć przycisk, aby zebrać pliki cookie, a następnie inny, aby rozpocząć nową sesję przy użyciu dowolnego z zebranych plików cookie.

W ciągu kilku dni pojawiły się naśladowcy z większą elastycznością, aw ciągu kilku tygodni wiele głównych witryn zaczęło obsługiwać HTTPS. Kilka miesięcy później zdarzyło się drugie wydarzenie, które wywołało kolejną falę świadomości w Internecie.

W grudniu 2010 r. Rozpoczęła się arabska wiosna w Tunezji. Rząd Tunezji , podobnie jak wiele innych w regionie, próbował stłumić bunt. Jednym ze sposobów, w jaki próbowali, było utrudnianie korzystania z mediów społecznościowych, w tym Facebooka. Podczas buntu stało się jasne, że tunezyjscy dostawcy usług internetowych, którzy w dużej mierze byli kontrolowani przez rząd Tunezji, potajemnie wstrzykiwali kod pozyskiwania hasła na stronie logowania na Facebooku. Facebook szybko zareagował na to, gdy zauważył, co się dzieje, zmieniając cały kraj na HTTPS i wymagając od osób, których to dotyczy, potwierdzenia tożsamości.

Była tak zwana Operacja Aurora, która (podobno) była chińskimi crackerami włamującymi się do komputerów amerykańskich, takich jak Google.

Google wszedł na giełdę z Operacją Aurora w 2010 roku. Wygląda na to, że postanowili przekształcić stratę w wartość, pokazując wysiłki w celu zabezpieczenia swoich produktów. Zamiast przegranych pojawiają się jako przywódcy. Potrzebowali prawdziwych wysiłków, inaczej byliby publicznie wyśmiewani przez tych, którzy rozumieją.

Google jest firmą internetową, dlatego krytyczne było dla nich przywrócenie zaufania użytkowników do komunikacji. Plan zadziałał, a inne korpusy musiały śledzić użytkowników lub migrować ich do Google.

W 2013 r . Wydarzyło się coś, co nazwano Snowden ujawnieniami globalnego nadzoru . Ludzie stracili zaufanie do korpusu.

Sprawiło, że wiele osób zastanawiało się nad przejściem niezależnym i użyciem HTTPS, co spowodowało ostatnią migrację. On i z kim współpracował, jawnie wzywali do szyfrowania, wyjaśniając, że przetrwanie musi być drogie.

silne szyfrowanie * krytycznie duża liczba użytkowników = kosztowne przetrwanie.

To był rok 2013. Powiedział, że ostatnio Snowden powiedział, że to prawdopodobnie już nie wystarczy i powinieneś wydawać pieniądze na ludzi, którzy pracują nad legalnym wzmocnieniem twoich praw dla ciebie, więc pieniądze podatkowe odchodzą od branży przetrwania.

Niemniej jednak dla przeciętnego webmastera Joe od dawna problemem z HTTPS było to, że uzyskanie certyfikatu kosztowało pieniądze. Ale potrzebujesz certyfikatów dla HTTPS. Został rozwiązany pod koniec 2015 roku, kiedy Let's Encrypt beta stał się dostępny dla ogółu społeczeństwa. Daje ci darmowe certyfikaty dla HTTPS automatycznie przez protokół ACME . ACME to wersja internetowa, co oznacza dla ludzi, że możesz na niej polegać.

Szyfrowanie transmisji przez Internet jest bezpieczniejsze przed nikczemnymi agentami przechwytującymi lub skanującymi te dane i wstawiającymi się na środek, oszukańczo myśląc, że to prawdziwa strona internetowa. Udane przechwyty takie jak ten tylko zachęcają więcej i innych do podążania.

Teraz, gdy jest tańszy, a technologia bardziej dostępna, łatwiej jest naciskać na wszystkich, aby robili bardziej bezpieczne rzeczy, które chronią nas wszystkich. Większe bezpieczeństwo zmniejsza koszty i wydatki osób, których dotyczą naruszenia danych.

Gdy praca związana z przełamywaniem szyfrowania stanie się trudna i kosztowna, obniży poziom aktywności i ograniczy się tylko do tych, którzy chcą zainwestować czas i pieniądze. Podobnie jak zamki do drzwi domu, zatrzyma większość ludzi na zewnątrz i pozwoli policji skupić się na działalności przestępczej na wyższym poziomie.

Jeszcze jedna rzecz, o której nie wspomniałem, 29 września 2014 r. CloudFlare (bardzo popularny serwer proxy CDN, ponieważ większość witryn o średniej wielkości może skutecznie z nich korzystać bezpłatnie za pomocą prostych zmian DNS), ogłosiła oferowanie bezpłatnego protokołu SSL dla wszystkich witryn oni pełnomocnika .

Zasadniczo każdy pełnomocnik za ich pośrednictwem może automatycznie i natychmiast wejść na swoją stronę https://i to po prostu działa; nie są wymagane żadne zmiany w backendach, nic, za co trzeba płacić ani odnawiać.

Dla mnie osobiście i dla wielu innych osób na tej samej łodzi jest to dla mnie szczyt. Wszystkie moje strony to przede wszystkim strony osobiste / hobby, do których chciałbym używać SSL, ale nie mogłem uzasadnić kosztów i czasu konserwacji. Często kosztem było więcej konieczności korzystania z droższego planu hostingowego (lub zacznij płacić zamiast korzystać z bezpłatnych opcji), a nie koszt samego certyfikatu.