Какие события вызвали массовую миграцию на HTTPS?

В течение нескольких лет я вижу, что Google, Facebook и т. Д. Начинают предоставлять (и даже перенаправлять) контент через HTTPS.

Обслуживание сайтов, запрашивающих пароли в незащищенном HTTP, было неправильным даже в 1999 году, но считалось приемлемым даже в 2010 году.

Но в настоящее время даже общедоступные страницы (например, запросы от Bing / Google) обслуживаются через HTTPS.

Какие события вызвали массовую миграцию на HTTPS? Скандал Wikileaks, правоохранительные органы США / ЕС, снижение стоимости рукопожатия SSL / TSL при общем снижении стоимости серверного времени, повышение уровня ИТ-культуры в управлении?

Даже такие публичные мероприятия, как https://letsencrypt.org/, начались не так давно ...

@briantist Поскольку я также поддерживаю сайты хобби и интересуюсь дешевым / легким решением SSL / TLS. Для VPS (который начинается с 5 $ / месяц) я недавно оценил Let's шифрование с помощью certbot(других доступных ботов) в webrootрежиме работы. Это дает мне действительный сертификат SAN на 3 месяца (и он в cronработе - продление выполняется за месяц до истечения срока действия):

certbot certonly -n --expand --webroot \
        -w /srv/www/base/ -d example.com \
        -w /srv/www/blog/ -d blog.example.com

На это повлияло множество факторов, в том числе:

• Браузерные и серверные технологии для обеспечения безопасности с виртуальными хостами. Раньше вам требовался выделенный IP-адрес для каждого защищенного сайта, но это больше не касается SNI .
• Более низкая стоимость и бесплатные сертификаты безопасности. Let's Encrypt теперь выдает около половины всех сертификатов бесплатно. Десять лет назад я искал 300 долларов в год для домена с подстановочными знаками, но теперь даже платные сертификаты с подстановочными знаками могут стоить всего 70 долларов в год.
• Накладные расходы HTTPS значительно снизились. Раньше требовались дополнительные ресурсы сервера, но теперь издержки незначительны . Он даже часто встроен в балансировщики нагрузки, которые могут общаться по HTTP с внутренними серверами.
• Рекламные сети, такие как AdSense, начали поддерживать HTTPS. Несколько лет назад было невозможно монетизировать веб-сайт HTTPS с большинством рекламных сетей.
• Google объявляет HTTPS как фактор ранжирования.
• Крупные компании, такие как Facebook и Google, которые перешли на HTTPS для всего, нормализовали практику.
• Браузеры начинают предупреждать о небезопасности HTTP.

Для крупных компаний, таких как Google, которые всегда могли позволить себе перейти на HTTPS, я думаю, что есть пара вещей, которые подтолкнули их к внедрению:

• Утечка данных конкурентной разведки по HTTP. Я считаю, что Google перешел на HTTPS в значительной степени потому, что очень многие интернет-провайдеры и конкуренты смотрели на то, что пользователи искали по HTTP. Хранение запросов поисковых систем в тайне было большой мотивацией для Google.
• Рост вредоносных программ, нацеленных на такие сайты, как Google и Facebook. HTTPS мешает вредоносным программам перехватывать запросы браузера и вставлять рекламу или перенаправлять пользователей.

Есть также несколько причин, по которым вы видите HTTPS чаще в тех случаях, когда оба работают:

• Google предпочитает индексировать версию HTTPS, когда версия HTTP также работает
• Многие люди имеют HTTPS везде плагин для браузера который автоматически использует HTTPS-сайты, когда они доступны. Это означает, что эти пользователи также создают новые ссылки на сайты HTTPS.
• Все больше сайтов перенаправляются на HTTPS из-за проблем безопасности и конфиденциальности.

Ответы пока говорят о различных причинах тяги и толчка, почему HTTPS становится все более и более популярным.

Однако в период с 2010 по 2011 год прозвучали 2 основных пробуждения, которые показали, насколько важен HTTPS: Firesheep, позволяющий перехватывать сессии, и правительство Туниса, перехватывающее учетные записи Facebook для кражи учетных данных.

Firesheep был плагином Firefox с октября 2010 года, созданным Эриком Батлером, который позволял любому пользователю с установленным плагином перехватывать другие запросы на общедоступных каналах Wi-Fi и использовать куки-файлы из этих запросов для олицетворения пользователей, выполняющих эти запросы. Он был бесплатным, простым в использовании и, главное, не требовал специальных знаний. Вы просто нажимаете кнопку, чтобы собрать куки, а затем еще одну, чтобы начать новый сеанс, используя любой из собранных куки.

Через несколько дней появились более гибкие копии, а через несколько недель многие крупные сайты начали поддерживать HTTPS. Затем, через несколько месяцев, произошло второе событие, которое вызвало новую волну осознания через Интернет.

В декабре 2010 года в Тунисе началась арабская весна. Правительство Туниса , как и многие другие в регионе, пыталось подавить восстание. Один из способов, которым они пытались это сделать, - мешать социальным сетям, включая Facebook. Во время восстания стало ясно, что тунисские интернет-провайдеры, которые в значительной степени контролировались правительством Туниса, тайно вводили код сбора пароля на страницу входа в Facebook. Facebook быстро выступил против этого, как только они заметили, что происходит, переключив всю страну на HTTPS и потребовав от тех, кто пострадал, подтвердить свою личность.

Было то, что стало называться Операцией Аврора, которая (предположительно) была китайскими взломщиками, взломавшими компьютеры США, такие как Google.

Google объявил об операции «Аврора» в 2010 году. Похоже, они решили преобразовать убытки в стоимость, продемонстрировав усилия по обеспечению безопасности своих продуктов. Таким образом, вместо неудачников они появляются как лидеры. Им нужны были реальные усилия, иначе те, кто понимает, были бы публично осмеяны.

Google - интернет-компания, поэтому для них было важно восстановить доверие своих пользователей к общению. План сработал, и другие корпуса должны были следовать или столкнуться со своими пользователями, чтобы перейти на Google.

В 2013 году произошло то, что Сноуден назвал « Глобальным надзором » . Люди потеряли доверие к корпусу.

Многие заставили задуматься о том, чтобы пойти инди и использовать HTTPS, что вызвало недавнюю миграцию. Он и тот, с кем он работал, явно призывали использовать шифрование, объясняя, что аналитика должна быть дорогой.

надежное шифрование * критически большой объем пользователей = дорогая проверка.

Это был 2013 год. Совсем недавно Сноуден сказал, что этого, вероятно, уже недостаточно, и вы должны тратить деньги на людей, которые работают над юридическим укреплением ваших прав для вас, так что налоговые деньги уходят из сферы исследований.

Тем не менее для среднего веб-мастера Джо давняя проблема с HTTPS заключалась в том, что получение сертификата стоило денег. Но вам нужны сертификаты для HTTPS. Это было решено в конце 2015 года, когда бета Let's Encrypt стала доступна для широкой публики. Это дает вам бесплатные сертификаты для HTTPS автоматически по протоколу ACME . ACME - это интернет-проект, который означает, что вы можете положиться на него.

Шифрование передач через Интернет более надежно защищено от злонамеренных агентов, перехватывающих или сканирующих эти данные и вставляющих себя посередине, заставляя вас думать, что они - настоящая веб-страница. Успешные перехваты, такие как это, только поощряют больше, и другие следуют.

Теперь, когда он стал более доступным, а технология - более доступной, каждому легче заставить делать более безопасные вещи, которые защищают нас всех. Быть более безопасным снижает затраты и издержки тех, кто пострадал от недостатков данных.

Когда работа, связанная с взломом шифрования, становится трудной и дорогой, она будет сдерживать уровень активности и ограничиваться только теми, кто желает потратить время и деньги. Подобно замкам на дверях вашего дома, большинство людей не пускают на свободу и освобождают полицию, чтобы сосредоточиться на более высоком уровне преступной деятельности.

Еще одна вещь, о которой я не упомянул, 29 сентября 2014 года, CloudFlare (очень популярный прокси-сервер CDN, поскольку большинство сайтов среднего размера могут эффективно использовать их бесплатно с простыми изменениями DNS), объявил о предложении бесплатного SSL для всех сайтов. они прокси .

По сути, любой, кто проксирует через них, может автоматически и сразу попасть на их сайт, https://и он просто работает; никаких изменений в бэкэндах не требуется, ничего не нужно платить или обновлять.

Лично для меня и для многих других людей, находящихся в одной лодке, эта шкала для меня опрокинута. Мои сайты - это в основном личные / хобби сайты, для которых я бы хотел использовать SSL, но не смог оправдать стоимость и время обслуживания. Зачастую стоимость заключалась в том, чтобы использовать более дорогой хостинг-план (или начать платить вместо использования бесплатных опций), а не стоимость самого сертификата.