Какие события вызвали массовую миграцию на HTTPS?

В течение нескольких лет я вижу, что Google, Facebook и т. д. начинают обслуживать (и даже перенаправлять) контент через HTTPS.

Службы, запрашивающие пароли в ненадежном HTTP, были ошибочными даже в 1999 году, но считались приемлемыми даже в 2010 году.

Но в настоящее время даже общедоступные страницы (например, запросы от Bing /Google) подаются через HTTPS.

Какие события вызвали массовую миграцию на HTTPS? Скандал Wikileaks, правоохранительные органы США /ЕС, снизили стоимость рукопожатия SSL /TSL, в целом снизив стоимость серверного времени, повысив уровень ИТ-культуры в управлении?

Даже такие общественные усилия, как https://letsencrypt.org/, начали не так давно ...

@briantist . Я также поддерживаю сайты для хобби и интересуюсь дешевым /легким решением SSL /TLS. Для VPS (который начинается с 5 $ /месяц) я недавно оценил Давайте зашифруем с помощью certbot (другие доступные боты) в режиме webroot. Это дает мне действительный сертификат SAN в течение 3 месяцев (и он находится в cron job - продление, выполненное за месяц до истечения срока действия):

certbot certonly -n --expand --webroot \
        -w /srv /www /base /-d example.com \
        -w /srv /www /blog /-d blog.example.com
39 голосов | спросил 3 revs
gavenkoa
1 Jam1000000amThu, 01 Jan 1970 03:00:00 +030070 1970, 03:00:00

5 ответов


47

В него входит множество факторов, включая:

  • Браузер и серверная технология для безопасности с виртуальными хостами. Для защищенного сайта вам понадобился выделенный IP-адрес, но теперь это не так. SNI .
  • Более низкие сертификаты безопасности. Есть даже бесплатные , доступные для некоторых однодоменные случаи. Десять лет назад я искал 300 долларов в год для подстановочного домена, но теперь я могу получить сертификат, который включает подстановочные знаки для нескольких доменов за 70 долларов США в год.
  • Накладные расходы HTTPS значительно снизились. Он требовал дополнительных ресурсов сервера, но теперь незначительные расходы . Он даже часто встроен в балансировщики нагрузки, которые могут разговаривать с HTTP-серверами на сервере.
  • Рекламные сети такие как AdSense начали поддерживать HTTPS. Несколько лет назад невозможно было монетизировать сайт HTTPS в большинстве рекламных сетей.
  • Google объявляет HTTPS в качестве рейтингового фактора.
  • Крупные компании, такие как Facebook и Google, который перешел на HTTPS, для всех нормализовал практику.
  • Браузеры начинают предупреждать о том, что HTTP небезопасными.

Для крупных компаний, таких как Google, которые всегда могут позволить себе переходить на HTTPS, я думаю, что было несколько вещей, которые побудили их реализовать его:

  • Утечка данных конкурентной разведки по HTTP. Я считаю, что Google перешел на HTTPS в значительной степени, потому что многие интернет-провайдеры и конкуренты смотрели на то, что пользователи искали по HTTP. Поддержание поисковых запросов в поисковых системах было большой мотивацией для Google.
  • Увеличение сайтов таргетинга вредоносных программ, таких как Google и Facebook. HTTPS затрудняет вредоносное ПО, чтобы перехватывать запросы браузера, добавлять объявления или перенаправлять пользователей.

Есть также некоторые причины, по которым вы чаще просматриваете HTTPS в тех случаях, когда обе работают:

  • Google предпочитает индексировать версию HTTPS когда версия HTTP также работает
  • У многих людей есть плагин браузера HTTPS Everywhere , который автоматически использует их, используя HTTPS-сайты, когда они доступны , Это означает, что эти пользователи также создают новые ссылки на HTTPS-сайты.
  • Другие сайты перенаправляются на HTTPS из-за проблем безопасности и конфиденциальности.
ответил supercat 22 62014vEurope/Moscow11bEurope/MoscowSat, 22 Nov 2014 00:36:02 +0300 2014, 00:36:02
18

Ответы до сих пор говорят о различных причинах и толкования причин того, почему HTTPS становится все более популярным.

Тем не менее, в течение 2010 и 2011 годов существует 2 основных пробуждения, которые показывают, насколько важны HTTPS: Firesheep, позволяющий захватить сессию, и правительство Туниса перехватывает логины Facebook, чтобы украсть учетные данные.

Firesheep был плагином Firefox с октября 2010 года, созданным Эриком Батлером, который позволил любому, у кого установлен плагин, перехватывать другие запросы на общедоступных каналах WiFi и использовать куки-файлы из этих запросов для олицетворения пользователей эти просьбы. Он был бесплатным, простым в использовании и, прежде всего, не нуждался в специальных знаниях. вы просто нажимаете кнопку, чтобы собирать файлы cookie, а затем еще один, чтобы начать новый сеанс с помощью любого из собранных файлов cookie.

В течение нескольких дней появились подражатели с большей гибкостью, и в течение нескольких недель многие крупные сайты начали поддерживать HTTPS. Затем несколько месяцев спустя произошло второе событие, которое вызвало очередную волну осознания через Интернет.

В декабре 2010 года в Тунисе началась арабская весна. Тунисское правительство , как и многие другие регионы, пыталось подавить восстание. Один из способов, которым они пробовали это, - это помешать социальным медиа, включая Facebook. Во время восстания стало ясно, что тунисские интернет-провайдеры, которые в значительной степени контролируются правительством Туниса, тайно вводят код сбора паролей на страницу входа в систему Facebook. Facebook быстро выступил против этого, как только они заметили, что происходит, переключая всю страну на HTTPS и требуя от пострадавших подтвердить свою личность.

ответил supercat 22 62014vEurope/Moscow11bEurope/MoscowSat, 22 Nov 2014 00:36:02 +0300 2014, 00:36:02
12

Было то, что стало называться Операция Aurora , которая (якобы) заключалась в том, что китайские взломщики врезались в компьютеры США, такие как Google.

Google обнародовал операцию Aurora в 2010 году. Похоже, что они решили преобразовать убыток в стоимость, продемонстрировав усилия по обеспечению безопасности своих продуктов. Поэтому вместо проигравших они появляются как лидеры. Им нужны реальные усилия, иначе они были бы публично высмеяны теми, кто это понимает.

Google - это интернет-компания, поэтому было важно переустановить доверие к своим пользователям . План работал, и другие корпуса должны были следовать или сталкиваться с тем, что их пользователи перешли на Google.

В 2013 году то, что стало называться раскрытие информации о глобальном наблюдении . Люди потеряли доверие к корпусам.

Сделано, что многие люди считают инди и используют HTTPS, которые затем вызвали недавнюю миграцию. Он и тот, с кем он работал с , дал явные вызовы , чтобы использовать шифрование, объясняющее, что неудобство должно быть дорогостоящим.

сильное шифрование * критически высокий объем пользователей = дорогая перегруженность.

Это было в 2013 году. В последнее время Сноуден сказал, что этого, вероятно, уже недостаточно, и вы должны тратить деньги на людей, которые работают над юридическим усилением ваших прав и для вас, так что налоговые деньги уходят с непогоды промышленность.

Тем не менее для известного веб-мастера Joe давняя проблема с HTTPS заключалась в том, что получение сертификата стоило денег. Но вам нужны сертификаты для HTTPS. Он был решен в конце 2015 года, когда Let's Encrypt beta стала доступна широкой публике. Он дает бесплатные сертификаты для HTTPS автоматически через протокол ACME . ACME - это интернет-проект, который означает, что люди могут сортировать, полагаться на него.

ответил supercat 22 62014vEurope/Moscow11bEurope/MoscowSat, 22 Nov 2014 00:36:02 +0300 2014, 00:36:02
5

Шифрование передач через Интернет более безопасно для гнусных агентов, перехватывающих или сканирующих эти данные и вставляющих себя в середину, заставляя вас думать, что они настоящая веб-страница. Успешные перехваты, такие как это, только побуждают больше и других следовать.

Теперь, когда он более доступный и доступная технология становится доступной, легче заставить всех делать более безопасные вещи, которые защищают всех нас. Быть более безопасным снижает затраты и расходы тех, кто пострадал от брифингов данных.

Когда работа, связанная с нарушением шифрования, становится сложной и дорогостоящей, она будет удерживать уровень активности и ограничиваться только теми, кто хочет инвестировать время и деньги. Подобно замкам на дверях вашего дома, он будет удерживать большинство людей и освобождать полицию, чтобы сосредоточиться на преступной деятельности более высокого уровня.

ответил supercat 22 62014vEurope/Moscow11bEurope/MoscowSat, 22 Nov 2014 00:36:02 +0300 2014, 00:36:02
4

Еще одна вещь, о которой я не упоминал, 29 сентября 2014 года, CloudFlare (очень популярный проксирующий CDN, потому что большинство сайтов умеренного размера могут эффективно использовать их бесплатно с простыми изменениями DNS), объявила о предоставлении бесплатного SSL для всех сайтов, которые они прокси .

По сути, любой прокси-сервер через них может автоматически и сразу ударять по сайту с помощью https: //, и он просто сработал; никаких изменений, необходимых для бэкэндов, ничего не нужно оплачивать или продлевать.

Для меня лично и для многих других людей в одной лодке это для меня наложено. Мои сайты - это все личные /хостинговые сайты, для которых я хотел бы использовать SSL, но не мог оправдать затраты и время обслуживания. Зачастую стоимость была больше связана с необходимостью использовать более дорогой план хостинга (или начать платить вместо использования бесплатных опций), в отличие от стоимости самого сертификата.

ответил supercat 22 62014vEurope/Moscow11bEurope/MoscowSat, 22 Nov 2014 00:36:02 +0300 2014, 00:36:02

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132