Какие события вызвали массовую миграцию на HTTPS?

40

В течение нескольких лет я вижу, что Google, Facebook и т. Д. Начинают предоставлять (и даже перенаправлять) контент через HTTPS.

Обслуживание сайтов, запрашивающих пароли в незащищенном HTTP, было неправильным даже в 1999 году, но считалось приемлемым даже в 2010 году.

Но в настоящее время даже общедоступные страницы (например, запросы от Bing / Google) обслуживаются через HTTPS.

Какие события вызвали массовую миграцию на HTTPS? Скандал Wikileaks, правоохранительные органы США / ЕС, снижение стоимости рукопожатия SSL / TSL при общем снижении стоимости серверного времени, повышение уровня ИТ-культуры в управлении?

Даже такие публичные мероприятия, как https://letsencrypt.org/, начались не так давно ...

@briantist Поскольку я также поддерживаю сайты хобби и интересуюсь дешевым / легким решением SSL / TLS. Для VPS (который начинается с 5 $ / месяц) я недавно оценил Let's шифрование с помощью certbot(других доступных ботов) в webrootрежиме работы. Это дает мне действительный сертификат SAN на 3 месяца (и он в cronработе - продление выполняется за месяц до истечения срока действия):

certbot certonly -n --expand --webroot \
        -w /srv/www/base/ -d example.com \
        -w /srv/www/blog/ -d blog.example.com
Гавенкоа
источник
2
Это довольно широкий, основанный на мнении вопрос, который, скорее всего, приведет к списку различных факторов, в отличие от одного окончательного, поэтому он превращается в вики сообщества, чтобы другие могли легко редактировать и вносить свой вклад.
Дан
6
«Интернет» безопаснее для конечного пользователя, если все SSL.
DocRoot
3
Это действительно массовая миграция? Как вы отметили в вопросе, процесс занял много времени. Может ли быть так, что мы сейчас видим самую крутую часть кривой логистического роста? Если бы процесс на самом деле ускорился недавно, я бы отнес это к Сноудену.
kasperd
6
Это то, что, в конце концов, сделало это для нас , никто не хочет ярко-красного «небезопасного» на сайте электронной коммерции ..
user2070057
3
letsencrypt запущен в 2012 году. анонсирован в 2014 году, публичная бета-версия в конце 2015 года, публичная в 2016 году.
n611x007

Ответы:

48

На это повлияло множество факторов, в том числе:

  • Браузерные и серверные технологии для обеспечения безопасности с виртуальными хостами. Раньше вам требовался выделенный IP-адрес для каждого защищенного сайта, но это больше не касается SNI .
  • Более низкая стоимость и бесплатные сертификаты безопасности. Let's Encrypt теперь выдает около половины всех сертификатов бесплатно. Десять лет назад я искал 300 долларов в год для домена с подстановочными знаками, но теперь даже платные сертификаты с подстановочными знаками могут стоить всего 70 долларов в год.
  • Накладные расходы HTTPS значительно снизились. Раньше требовались дополнительные ресурсы сервера, но теперь издержки незначительны . Он даже часто встроен в балансировщики нагрузки, которые могут общаться по HTTP с внутренними серверами.
  • Рекламные сети, такие как AdSense, начали поддерживать HTTPS. Несколько лет назад было невозможно монетизировать веб-сайт HTTPS с большинством рекламных сетей.
  • Google объявляет HTTPS как фактор ранжирования.
  • Крупные компании, такие как Facebook и Google, которые перешли на HTTPS для всего, нормализовали практику.
  • Браузеры начинают предупреждать о небезопасности HTTP.

Для крупных компаний, таких как Google, которые всегда могли позволить себе перейти на HTTPS, я думаю, что есть пара вещей, которые подтолкнули их к внедрению:

  • Утечка данных конкурентной разведки по HTTP. Я считаю, что Google перешел на HTTPS в значительной степени потому, что очень многие интернет-провайдеры и конкуренты смотрели на то, что пользователи искали по HTTP. Хранение запросов поисковых систем в тайне было большой мотивацией для Google.
  • Рост вредоносных программ, нацеленных на такие сайты, как Google и Facebook. HTTPS мешает вредоносным программам перехватывать запросы браузера и вставлять рекламу или перенаправлять пользователей.

Есть также несколько причин, по которым вы видите HTTPS чаще в тех случаях, когда оба работают:

  • Google предпочитает индексировать версию HTTPS, когда версия HTTP также работает
  • Многие люди имеют HTTPS везде плагин для браузера который автоматически использует HTTPS-сайты, когда они доступны. Это означает, что эти пользователи также создают новые ссылки на сайты HTTPS.
  • Все больше сайтов перенаправляются на HTTPS из-за проблем безопасности и конфиденциальности.
Стивен Остермиллер
источник
7
Не забывайте, HTTP / 2, который в настоящее время реализован только для HTTPS, также не забывайте, что Google оценивает HTTPS-сайты (немного) выше, чем HTTP-сайты ...
wb9688
Я предлагаю изменить порядок. Я думаю, что это была проблема с конфиденциальностью, которая теперь решаема из-за технических достижений. Я не думаю, что люди TLS, потому что «они могут сейчас». :)
Мартейн
1
Всегда была проблема с приватностью, и все всегда это знали. Да, конфиденциальность была движущей силой для нескольких крупных компаний, но для массы небольших сайтов простота и стоимость были более важными факторами. Я говорю это из личного опыта. Я всегда хотел защитить свои личные сайты, но в последнее время это стало дешевым и достаточно простым.
Стивен Остермиллер
2
Вы неправильно написали 1% накладных расходов .
Майкл Хэмптон
18

Ответы пока говорят о различных причинах тяги и толчка, почему HTTPS становится все более и более популярным.

Однако в период с 2010 по 2011 год прозвучали 2 основных пробуждения, которые показали, насколько важен HTTPS: Firesheep, позволяющий перехватывать сессии, и правительство Туниса, перехватывающее учетные записи Facebook для кражи учетных данных.

Firesheep был плагином Firefox с октября 2010 года, созданным Эриком Батлером, который позволял любому пользователю с установленным плагином перехватывать другие запросы на общедоступных каналах Wi-Fi и использовать куки-файлы из этих запросов для олицетворения пользователей, выполняющих эти запросы. Он был бесплатным, простым в использовании и, главное, не требовал специальных знаний. Вы просто нажимаете кнопку, чтобы собрать куки, а затем еще одну, чтобы начать новый сеанс, используя любой из собранных куки.

Через несколько дней появились более гибкие копии, а через несколько недель многие крупные сайты начали поддерживать HTTPS. Затем, через несколько месяцев, произошло второе событие, которое вызвало новую волну осознания через Интернет.

В декабре 2010 года в Тунисе началась арабская весна. Правительство Туниса , как и многие другие в регионе, пыталось подавить восстание. Один из способов, которым они пытались это сделать, - мешать социальным сетям, включая Facebook. Во время восстания стало ясно, что тунисские интернет-провайдеры, которые в значительной степени контролировались правительством Туниса, тайно вводили код сбора пароля на страницу входа в Facebook. Facebook быстро выступил против этого, как только они заметили, что происходит, переключив всю страну на HTTPS и потребовав от тех, кто пострадал, подтвердить свою личность.

оборота Нзалл
источник
Я предполагаю, что Firesheep должен быть в 2010 году или арабская весна должна быть в 2011 году. В противном случае бит «несколько месяцев спустя» не имеет никакого смысла.
Крис Хейс
@ChrisHayes ой, Firesheep был 2010, а не 2011. Исправлено. Кроме того, мы не знали о том, что правительство Туниса ворует учетные данные Facebook до января 2011 года.
Nzall
11

Было то, что стало называться Операцией Аврора, которая (предположительно) была китайскими взломщиками, взломавшими компьютеры США, такие как Google.

Google объявил об операции «Аврора» в 2010 году. Похоже, они решили преобразовать убытки в стоимость, продемонстрировав усилия по обеспечению безопасности своих продуктов. Таким образом, вместо неудачников они появляются как лидеры. Им нужны были реальные усилия, иначе те, кто понимает, были бы публично осмеяны.

Google - интернет-компания, поэтому для них было важно восстановить доверие своих пользователей к общению. План сработал, и другие корпуса должны были следовать или столкнуться со своими пользователями, чтобы перейти на Google.

В 2013 году произошло то, что Сноуден назвал « Глобальным надзором » . Люди потеряли доверие к корпусу.

Многие заставили задуматься о том, чтобы пойти инди и использовать HTTPS, что вызвало недавнюю миграцию. Он и тот, с кем он работал, явно призывали использовать шифрование, объясняя, что аналитика должна быть дорогой.

надежное шифрование * критически большой объем пользователей = дорогая проверка.

Это был 2013 год. Совсем недавно Сноуден сказал, что этого, вероятно, уже недостаточно, и вы должны тратить деньги на людей, которые работают над юридическим укреплением ваших прав для вас, так что налоговые деньги уходят из сферы исследований.

Тем не менее для среднего веб-мастера Джо давняя проблема с HTTPS заключалась в том, что получение сертификата стоило денег. Но вам нужны сертификаты для HTTPS. Это было решено в конце 2015 года, когда бета Let's Encrypt стала доступна для широкой публики. Это дает вам бесплатные сертификаты для HTTPS автоматически по протоколу ACME . ACME - это интернет-проект, который означает, что вы можете положиться на него.

оборота n611x007
источник
5

Шифрование передач через Интернет более надежно защищено от злонамеренных агентов, перехватывающих или сканирующих эти данные и вставляющих себя посередине, заставляя вас думать, что они - настоящая веб-страница. Успешные перехваты, такие как это, только поощряют больше, и другие следуют.

Теперь, когда он стал более доступным, а технология - более доступной, каждому легче заставить делать более безопасные вещи, которые защищают нас всех. Быть более безопасным снижает затраты и издержки тех, кто пострадал от недостатков данных.

Когда работа, связанная с взломом шифрования, становится трудной и дорогой, она будет сдерживать уровень активности и ограничиваться только теми, кто желает потратить время и деньги. Подобно замкам на дверях вашего дома, большинство людей не пускают на свободу и освобождают полицию, чтобы сосредоточиться на более высоком уровне преступной деятельности.

обкрадывать
источник
4

Еще одна вещь, о которой я не упомянул, 29 сентября 2014 года, CloudFlare (очень популярный прокси-сервер CDN, поскольку большинство сайтов среднего размера могут эффективно использовать их бесплатно с простыми изменениями DNS), объявил о предложении бесплатного SSL для всех сайтов. они прокси .

По сути, любой, кто проксирует через них, может автоматически и сразу попасть на их сайт, https://и он просто работает; никаких изменений в бэкэндах не требуется, ничего не нужно платить или обновлять.

Лично для меня и для многих других людей, находящихся в одной лодке, эта шкала для меня опрокинута. Мои сайты - это в основном личные / хобби сайты, для которых я бы хотел использовать SSL, но не смог оправдать стоимость и время обслуживания. Зачастую стоимость заключалась в том, чтобы использовать более дорогой хостинг-план (или начать платить вместо использования бесплатных опций), а не стоимость самого сертификата.

briantist
источник
Смотрите мое обновление на вопрос. Подробности доступны в моей настройке Let's Encrypt на Lighttpd в блоге blog.defun.work/post-72b3f008-e28e-11e6-bad9-485b39c42d0f.html
gavenkoa
@gavenkoa, это круто, но если я нахожусь в точке, где у меня есть VPS, и я поддерживаю ОС, это уже намного превышает количество усилий, которые я хочу потратить (в эти дни, я имею в виду, я использовал для запуска веб-хостинг). В этот момент у меня не было бы проблем, даже если бы я вручную обновлял сертификаты (хотя я бы, конечно, не стал бы, если бы мне это не пришлось). В настоящее время я обычно использую виртуальный хостинг, или, в случае моего текущего сайта, страницы github, проксированные через CloudFlare. Но да, certbot кажется великолепным, если у вас уже есть среда, в которой вы можете его запустить.
бриантист
Я прочитал старую статью scotthelme.co.uk/tls-conundrum-and-leaving-cloudflare. Не знаю, позволяют ли они по-прежнему предлагать атаки типа «человек посередине», но их защиты SSL имели проблемы в прошлом (
Прошу
А для поддоменов github они поддерживают HTTPS: github.com/blog/2186-https-for-github-pages (август 2016 г.).
gavenkoa
1
@gavenkoa Я знаю об этих проблемах, хотя CF довольно открыто говорит о параметрах конфигурации и их значении; если кто-то хочет их использовать, он также должен знать о деталях. Я бы точно не назвал их проблемами, но в любом случае это немного выходит за рамки этого вопроса. Их предложение было бесплатным щелчком мыши (часто) без усилий, чтобы переключить сайт на https, так что даже при конфигурации http от CF до вашего бэкэнда, для браузеров и поисковых систем это выглядит одинаково, и я считаю, это был большой источник небольших конверсий сайта.
бриантист