Quali eventi hanno causato la migrazione di massa su HTTPS?

Da diversi anni vedo che Google, Facebook, ecc. Iniziano a pubblicare (e persino reindirizzare a) contenuti tramite HTTPS.

Servire siti che richiedono password in HTTP non sicuro è stato sbagliato anche nel 1999, ma è stato considerato accettabile anche nel 2010.

Ma al giorno d'oggi anche le pagine pubbliche (come le query di Bing / Google) vengono offerte tramite HTTPS.

Quali eventi hanno causato la migrazione di massa su HTTPS? Scandalo Wikileaks, forze dell'ordine USA / UE, costo ridotto dell'handshake SSL / TSL con costi generalmente ridotti del tempo del server, crescita del livello di cultura IT nella gestione?

Anche sforzi pubblici come https://letsencrypt.org/ sono iniziati non molto tempo fa ...

@briantist Come ho anche siti di hobby e interessati a soluzioni SSL / TLS economiche / senza sforzo. Per VPS (che inizia da 5 $ / mese) ho recentemente valutato Let's encrypt con certbot(altri robot disponibili) in webrootmodalità operativa. Questo mi fornisce un certificato SAN valido per 3 mesi (ed è in funzione cron- il rinnovo è stato eseguito un mese prima della data di scadenza):

certbot certonly -n --expand --webroot \
        -w /srv/www/base/ -d example.com \
        -w /srv/www/blog/ -d blog.example.com

Ci sono molti fattori coinvolti tra cui:

• Tecnologia browser e server per la sicurezza con host virtuali. In passato era necessario un indirizzo IP dedicato per sito protetto, ma non è più il caso di utilizzare SNI .
• Bassi costi e certificati di sicurezza gratuiti. Let's Encrypt ora rilascia gratuitamente circa la metà di tutti i certificati. Dieci anni fa stavo cercando $ 300 all'anno per un dominio con caratteri jolly, ma ora anche i certificati con caratteri jolly pagati possono arrivare a $ 70 all'anno.
• Le spese generali di HTTPS sono diminuite in modo significativo. In passato richiedeva risorse server aggiuntive, ma ora l' overhead è trascurabile . È anche spesso integrato in bilanciamento del carico in grado di comunicare HTTP con server back-end.
• Reti pubblicitarie come AdSense hanno iniziato a supportare HTTPS. Alcuni anni fa, non era possibile monetizzare un sito Web HTTPS con la maggior parte delle reti pubblicitarie.
• Google annuncia HTTPS come fattore di classifica.
• Grandi aziende come Facebook e Google che si sono trasferite su HTTPS per tutto hanno normalizzato la pratica.
• I browser stanno iniziando a mettere in guardia sul fatto che HTTP non è sicuro.

Per le grandi aziende come Google che potrebbero sempre permettersi di passare a HTTPS, penso che ci siano state un paio di cose che le hanno spinte a implementarlo:

• Perdita di dati di intelligence competitiva su HTTP. Credo che Google sia passato a HTTPS in gran parte perché così tanti ISP e concorrenti stavano osservando ciò che gli utenti cercavano su HTTP. Tenere sotto controllo le query dei motori di ricerca è stata una grande motivazione per Google.
• Aumento di malware destinato a siti come Google e Facebook. HTTPS rende più difficile per il malware intercettare le richieste del browser e iniettare annunci o reindirizzare gli utenti.

Ci sono anche alcuni motivi per cui vedi HTTPS più spesso nei casi in cui entrambi funzionano:

• Google preferisce indicizzare la versione HTTPS quando funziona anche la versione HTTP
• Molte persone hanno il plug-in HTTPS Everywhere per il browser che li fa utilizzare automaticamente i siti HTTPS quando disponibili. Ciò significa che quegli utenti creano anche nuovi collegamenti a siti HTTPS
• Più siti stanno reindirizzando a HTTPS a causa di problemi di sicurezza e privacy.

Le risposte finora parlano di vari motivi pull and push sul perché HTTPS sta diventando sempre più popolare.

Tuttavia, ci sono 2 importanti campionati di sveglia tra il 2010 e il 2011 che hanno mostrato quanto sia importante HTTPS: Firesheep consente il dirottamento della sessione e il governo tunisino che intercetta gli accessi di Facebook per rubare le credenziali.

Firesheep era un plug-in di Firefox dell'ottobre 2010 creato da Eric Butler, che consentiva a chiunque avesse installato il plug-in di intercettare altre richieste sui canali WiFi pubblici e utilizzare i cookie di tali richieste per impersonare gli utenti che facevano quelle richieste. Era gratuito, facile da usare e, soprattutto, non aveva bisogno di conoscenze specialistiche. fai semplicemente clic su un pulsante per raccogliere i cookie, quindi su un altro per iniziare una nuova sessione utilizzando uno qualsiasi dei cookie raccolti.

In pochi giorni apparvero copioni con maggiore flessibilità e in poche settimane molti siti importanti iniziarono a supportare HTTPS. Poi, pochi mesi dopo, si è verificato un secondo evento che ha inviato un'altra ondata di consapevolezza attraverso Internet.

Nel dicembre 2010, la primavera araba è iniziata in Tunisia. Il governo tunisino , come molti altri della regione, ha cercato di reprimere la rivolta. Uno dei modi in cui hanno provato questo è stato quello di ostacolare i social media, incluso Facebook. Durante la rivolta, divenne chiaro che gli ISP tunisini, che erano ampiamente controllati dal governo tunisino, stavano iniettando segretamente il codice di raccolta delle password nella pagina di accesso di Facebook. Facebook ha reagito rapidamente a ciò una volta notato ciò che stava accadendo, passando l'intero paese a HTTPS e richiedendo alle persone colpite di confermare la propria identità.

C'era quella che divenne la cosiddetta Operazione Aurora che (presumibilmente) erano cracker cinesi che irrompevano nei computer statunitensi come Google.

Google ha reso pubblica l'operazione Aurora nel 2010. Sembra che abbiano deciso di convertire la perdita in valore mostrando gli sforzi per proteggere i loro prodotti. Quindi invece dei perdenti si presentano come leader. Avevano bisogno di sforzi reali, altrimenti sarebbero stati pubblicamente ridicolizzati da coloro che capiscono.

Google è una società Internet, quindi è stato fondamentale per loro reinstallare la fiducia nei propri utenti in merito alla comunicazione. Il piano ha funzionato e altri corpi necessari per seguire o affrontare i loro utenti migrano su google.

Nel 2013 è successo quello che è diventato noto come divulgazione globale della sorveglianza da Snowden . Le persone hanno perso la fiducia nei corpi.

Molte persone hanno preso in considerazione l'idea di diventare indipendenti e di utilizzare HTTPS che ha causato la recente migrazione. Lui e con chi ha lavorato ha dato chiamate esplicite per usare la crittografia spiegando che la sopravvivenza deve essere costosa.

crittografia avanzata * volume di utenti estremamente elevato = costosa sopravvivenza.

Era il 2013. Detto questo, più recentemente Snowden ha detto che probabilmente non è più sufficiente e che dovresti spendere soldi per le persone che lavorano per rafforzare legalmente i tuoi diritti anche per te, quindi i soldi delle tasse vanno via dall'industria della sopravvivenza.

Tuttavia, per il webmaster Joe media, il problema di lunga data con HTTPS era che ottenere un certificato costava denaro. Ma hai bisogno di certificati per HTTPS. È stato risolto alla fine del 2015 quando Let's Encrypt beta è diventato disponibile per il grande pubblico. Offre automaticamente certificati gratuiti per HTTPS tramite il protocollo ACME . ACME è una bozza Internet che significa per le persone che puoi fare affidamento su di essa.

Crittografare le trasmissioni su Internet è più sicuro contro agenti nefasti che intercettano o scansionano questi dati e si inseriscono nel mezzo, facendoti credere di essere la vera pagina web. Intercettazioni di successo come questa incoraggiano solo di più e gli altri a seguire.

Ora che è più economico e la tecnologia più accessibile, è più facile spingere per tutti a fare cose più sicure che ci proteggano tutti. Essere più sicuri riduce i costi e le spese di coloro che sono colpiti da culle di dati.

Quando il lavoro coinvolto nella violazione della crittografia diventa difficile e costoso, manterrà il livello di attività basso e limitato solo a coloro che sono disposti a investire tempo e denaro. Come le serrature delle porte di casa, manterrà la maggior parte delle persone fuori e libererà la polizia per concentrarsi su attività criminali di livello superiore.

Un'altra cosa che non ho visto menzionata, il 29 settembre 2014, CloudFlare (un CDN proxy molto popolare perché la maggior parte dei siti di dimensioni moderate possono effettivamente usarli gratuitamente con semplici modifiche DNS), ha annunciato l'offerta di SSL gratuito per tutti i siti delegano .

Fondamentalmente, chiunque fosse in procinto di inviargli un proxy poteva automaticamente e immediatamente colpire il proprio sito https://e funzionava; nessuna modifica necessaria sui backend, niente da pagare o rinnovare.

Per me personalmente e per molte altre persone nella stessa barca, questa è la scala per me. I miei siti sono fondamentalmente siti personali / hobby per i quali mi sarebbe piaciuto utilizzare SSL, ma non ho potuto giustificare i costi e i tempi di manutenzione. Spesso il costo era più di dover utilizzare un piano di hosting più costoso (o iniziare a pagare invece di utilizzare le opzioni gratuite) rispetto al costo del certificato stesso.