Які події спричинили масову міграцію до HTTPS?

Протягом кількох років я бачу, що Google, Facebook та інше починають розміщувати (і навіть перенаправляти на) вміст через HTTPS.

Обслуговування сайтів, що вимагають паролі в небезпечному HTTP, було неправильним ще в 1999 році, але воно вважалося прийнятним навіть у 2010 році.

Але в наш час навіть загальнодоступні сторінки (наприклад, запити від Bing / Google) обслуговуються через HTTPS.

Які події спричинили масову міграцію до HTTPS? Скандал з Wikileaks, правоохоронні органи США та ЄС, зменшення вартості передачі SSL / TSL із загалом зниженою вартістю часу сервера, підвищення рівня ІТ-культури в управлінні?

Навіть громадські зусилля на зразок https://letsencrypt.org/ розпочалися не так давно ...

@briantist Оскільки я також підтримую сайти хобі та цікавлюсь дешевим / легким рішенням SSL / TLS. Для VPS (який починається від 5 $ / місяць) Я недавно оцінювали шифрувати Звернемо з certbot(іншими ботами) , доступних в webrootрежимі роботи. Це дає мені діючий сертифікат SAN протягом 3 місяців (і він працює cron- оновлення виконується за місяць до закінчення терміну дії):

certbot certonly -n --expand --webroot \
        -w /srv/www/base/ -d example.com \
        -w /srv/www/blog/ -d blog.example.com

Є багато факторів, які ввійшли в нього, зокрема:

• Веб-браузер і серверна технологія для безпеки з віртуальними хостами. Вам раніше потрібна спеціальна IP-адреса на захищеному сайті, але це вже не так, коли використовується SNI .
• Зниження вартості та безкоштовних сертифікатів безпеки. Давайте шифруємо зараз близько половини всіх сертифікатів безкоштовно. Десять років тому я шукав $ 300 на рік для доменних підказок, але зараз навіть сертифіковані сертифікати wildcard можуть становити лише $ 70 / рік.
• Накладні витрати HTTPS значно впали. Раніше потрібні були додаткові серверні ресурси, але тепер накладні витрати незначні . Він навіть часто вбудовується в балансири навантажень, які можуть спілкуватись HTTP із серверами, що займаються нею.
• Рекламні мережі, такі як AdSense, почали підтримувати HTTPS. Кілька років тому не вдалося монетизувати веб-сайт HTTPS більшості рекламних мереж.
• Google оголошує HTTPS як фактор ранжування.
• Великі компанії, такі як Facebook і Google, які перейшли на HTTPS, щоб все нормалізувало практику.
• Браузери починають попереджати про небезпеку HTTP.

Для великих компаній, таких як Google, які завжди могли дозволити собі перейти на HTTPS, я думаю, що було кілька речей, які підштовхнули їх реалізацію:

• Витік даних конкурентної розвідки через HTTP. Я вважаю, що Google значною мірою перейшов до HTTPS через те, що так багато Інтернет-провайдерів та конкурентів переглядали, що користувачі шукають через HTTP. Тримання запитів пошукових систем під обгорткою було великою мотивацією для Google.
• Підвищення кількості зловмисних програм, націлених на Google та Facebook. HTTPS ускладнює зловмисне програмне забезпечення для перехоплення запитів браузера та введення оголошень або перенаправлення користувачів.

Також є деякі причини, що ви бачите HTTPS частіше у випадках, коли обидва працюють:

• Google вважає за краще індексувати версію HTTPS, коли версія HTTP також працює
• Багато людей мають плагін браузера HTTPS Everywhere, який автоматично використовує сайти HTTPS, коли вони доступні. Це означає, що ці користувачі також створюють нові посилання на HTTPS-сайти
• Більше сайтів переспрямовують на HTTPS через проблеми безпеки та конфіденційності.

Поки що відповіді говорять про різні причини тягання та поштовху, чому HTTPS стає все більш популярним.

Однак існують два основні дзвінки про пробудження приблизно з 2010 по 2011 рік, які показали, наскільки важливим є HTTPS насправді: Firesheep, що дозволяє викрадати сеанси, і уряд Тунісу перехоплює логіни Facebook для крадіжки даних.

Firesheep - плагін Firefox з жовтня 2010 року, створений Еріком Батлером, який дозволяв будь-кому із встановленим плагіном перехоплювати інші запити на загальнодоступних каналах Wi-Fi та використовувати файли cookie з цих запитів, щоб представити себе тим користувачам, які роблять ці запити. Він був безкоштовним, простим у використанні і, перш за все, не потребував спеціальних знань. Ви просто натискаєте кнопку для збирання файлів cookie, а потім ще одну, щоб розпочати новий сеанс, використовуючи будь-яке зібране печиво.

Протягом декількох днів з’явились копікати з більшою гнучкістю, і протягом декількох тижнів багато основних сайтів почали підтримувати HTTPS. Потім через кілька місяців сталася друга подія, яка надіслала ще одну пульсацію обізнаності через Інтернет.

У грудні 2010 року в Тунісі розпочалася Арабська весна. Уряд Тунісу , як і багато інших регіонів, намагався придушити заколот. Одним із способів їх спроби був перешкоджання соціальних медіа, включаючи Facebook. Під час заколоту стало зрозуміло, що туніські провайдери, які значним чином контролювались урядом Тунісу, таємно вводили код збору пароля на сторінку входу у Facebook. Facebook швидко виступив проти цього, як тільки вони помітили, що відбувається, переключивши всю країну на HTTPS і вимагаючи від постраждалих підтвердити свою особу.

Там називали операцію "Аврора", яка (нібито) китайськими сухарями врізалася в комп'ютери США, як Google.

Google оприлюднив операцію Aurora в 2010 році. Здається, вони вирішили перетворити збитки на цінність, доклавши зусиль щодо забезпечення своїх продуктів. Тож замість переможених вони виявляються лідерами. Вони потребували реальних зусиль, інакше вони були б публічно висміяні тим, хто розуміє.

Google є інтернет-компанією, тому для них було критично відновити довіру своїх користувачів до зв'язку. План працював та інші корпуси, необхідні для того, щоб слідкувати за або переходити до своїх користувачів, переходити на Google

У 2013 році сталося те, що стало називатись розголошенням глобального спостереження на чільному місці Snowden . Люди втратили довіру до корпусу.

Багато людей вважають, що вони перейшли на інді та використовують HTTPS, що викликало недавню міграцію. Він і той, з ким він працював, закликали використовувати шифрування, пояснюючи, що survellience має бути дорогим.

сильне шифрування * критично високий обсяг користувачів = дорогий survellience.

Це було в 2013 році. Тоді нещодавно Сноуден сказав, що цього, мабуть, вже не вистачає, і ви повинні витрачати гроші на людей, які працюють на законному зміцненні своїх прав і для вас, тому податкові гроші відходять від індустрії довіри.

Тим не менш, для веб-майстра avarage Joe багаторічною проблемою HTTPS було те, що отримання сертифіката коштувало грошей. Але вам потрібні сертифікати для HTTPS. Це було вирішено наприкінці 2015 року, коли бета-версія Let's Encrypt стала доступною для широкої громадськості. Це дає вам безкоштовні сертифікати для HTTPS автоматично через протокол ACME . ACME - це Інтернет-проект, який означає, що люди можуть на нього покладатися.

Шифрування передач по Інтернету є більш захищеним від шахрайських агентів, які перехоплюють або сканують ці дані та вставляють їх посередині, підробляючи вас, думаючи, що вони справжня веб-сторінка. Успішні перехоплення, такі як це, лише спонукають більше до інших та інших.

Тепер, коли вона доступніша, а технологія доступніша, легше підштовхувати всіх робити більш безпечні речі, що захищають усіх нас. Більш захищена безпека скорочує витрати і витрати тих, хто постраждав від казкових даних.

Коли робота, пов’язана з порушенням шифрування, стане важкою і дорогою, вона буде знижувати рівень активності та обмежуватись лише тими, хто готовий інвестувати залучений час та гроші. Як і замки на дверях вашого будинку, це дозволить утримати більшість людей і звільнить міліцію, щоб зосередитись на злочинній діяльності вищого рівня.

Ще одна річ, яку я не бачив, 29 вересня 2014 року CloudFlare (дуже популярний простір CDN, оскільки більшість сайтів середнього розміру може ефективно використовувати їх безкоштовно за допомогою простих змін у DNS), оголосивши про надання безкоштовного SSL для всіх сайтів вони проксі .

По суті, кожен, хто наближається до них, міг автоматично і негайно потрапити на їхній сайт, https://і він просто працював; жодних змін на компенсаціях, нічого не потрібно платити чи поновлювати.

Для мене особисто, а також для багатьох інших людей, що знаходяться в одному човні, для мене це дорівнює шкалою. Мої сайти - це в основному особисті / хобі сайти, для яких я хотів би використовувати SSL, але не зміг виправдати витрати та час обслуговування. Часто вартість полягала в тому, щоб використовувати більш дорогий план хостингу (або почати платити, а не використовувати безкоштовні опції), а не вартість самого сертифікату.