Sự kiện nào đã gây ra sự di cư hàng loạt sang HTTPS?


40

Trong vài năm, tôi thấy rằng Google, Facebook, v.v ... bắt đầu phân phát (và thậm chí chuyển hướng đến) nội dung thông qua HTTPS.

Việc phục vụ các trang web nhắc mật khẩu trong HTTP không an toàn là sai ngay cả vào năm 1999 nhưng nó được coi là chấp nhận được ngay cả trong năm 2010.

Nhưng ngày nay, ngay cả các trang công khai (như truy vấn từ Bing / Google) được cung cấp qua HTTPS.

Sự kiện nào đã gây ra sự di cư hàng loạt sang HTTPS? Vụ bê bối Wikileaks, thực thi pháp luật của Mỹ / EU, giảm chi phí bắt tay SSL / TSL với chi phí thường giảm thời gian máy chủ, tăng trưởng văn hóa CNTT trong quản lý?

Ngay cả những nỗ lực công khai như https://letsencrypt.org/ đã bắt đầu cách đây không lâu ...

@briantist Vì tôi cũng duy trì các trang web sở thích và quan tâm đến giải pháp SSL / TLS giá rẻ / dễ dàng. Đối với VPS (bắt đầu từ 5 đô la / tháng) gần đây tôi đã đánh giá Hãy mã hóa với certbot(các bot khác có sẵn) trong webrootchế độ hoạt động. Điều này cung cấp cho tôi chứng chỉ SAN hợp lệ trong 3 tháng (và đó là trong croncông việc - việc gia hạn được thực hiện một tháng trước ngày hết hạn):

certbot certonly -n --expand --webroot \
        -w /srv/www/base/ -d example.com \
        -w /srv/www/blog/ -d blog.example.com

2
Đây là một câu hỏi khá rộng, dựa trên ý kiến ​​có thể sẽ dẫn đến một danh sách các yếu tố khác nhau, so với một câu hỏi dứt khoát duy nhất, vì vậy nó được chuyển đổi thành Wiki cộng đồng để người khác có thể dễ dàng chỉnh sửa và đóng góp.
dan

6
"Internet" an toàn hơn cho người dùng cuối nếu mọi thứ đều là SSL.
DocRoot

3
Có thực sự là một di cư hàng loạt mặc dù? Như bạn lưu ý trong câu hỏi, quá trình này đã mất một thời gian dài. Có thể là chúng ta đang nhìn thấy phần dốc nhất của đường cong tăng trưởng logistic? Nếu quá trình thực sự được tăng tốc gần đây, tôi sẽ gán nó cho Snowden.
kasperd

6
Đây là những gì cuối cùng đã làm cho chúng tôi , không ai muốn một màu đỏ "không an toàn" trên một trang web thương mại điện tử ..
user2070057

3
letencrypt bắt đầu vào năm 2012. công bố 2014, beta công khai cuối năm 2015, công khai vào năm 2016.
n611x007

Câu trả lời:


48

Có rất nhiều yếu tố đã đi vào nó bao gồm:

  • Công nghệ trình duyệt và máy chủ để bảo mật với máy chủ ảo. Bạn đã từng cần một địa chỉ IP chuyên dụng trên mỗi trang web an toàn, nhưng đó không còn là vấn đề nữa khi sử dụng SNI .
  • Chứng chỉ bảo mật chi phí thấp hơn. Thậm chí có những cái miễn phí có sẵn cho một số trường hợp tên miền duy nhất. Mười năm trước tôi đã tìm kiếm 300 đô la / năm cho một tên miền ký tự đại diện, nhưng bây giờ tôi có thể nhận được một chứng chỉ bao gồm các ký tự đại diện cho một số tên miền với giá 70 đô la / năm.
  • Chi phí đầu tư của HTTPS giảm đáng kể. Nó được sử dụng để yêu cầu thêm tài nguyên máy chủ, nhưng bây giờ chi phí không đáng kể . Nó thậm chí thường được tích hợp vào các bộ cân bằng tải có thể nói chuyện HTTP với các máy chủ phụ trợ.
  • Các mạng quảng cáo như AdSense bắt đầu hỗ trợ HTTPS. Một vài năm trước, không thể kiếm tiền từ một trang web HTTPS với hầu hết các mạng quảng cáo.
  • Google công bố HTTPS là một yếu tố xếp hạng.
  • Các công ty lớn như Facebook và Google đã chuyển sang HTTPS để mọi thứ được bình thường hóa.
  • Các trình duyệt đang bắt đầu cảnh báo về việc HTTP không an toàn.

Đối với các công ty lớn như Google luôn có thể đủ khả năng để chuyển sang HTTPS, tôi nghĩ rằng có một vài điều đã thúc đẩy họ thực hiện nó:

  • Rò rỉ dữ liệu tình báo cạnh tranh qua HTTP. Tôi tin rằng Google đã chuyển sang HTTPS phần lớn vì rất nhiều ISP và đối thủ cạnh tranh đang xem xét những gì người dùng đang tìm kiếm qua HTTP. Giữ các truy vấn của công cụ tìm kiếm dưới sự kết thúc tốt đẹp là một động lực lớn cho Google.
  • Sự gia tăng của các trang web nhắm mục tiêu phần mềm độc hại như Google và Facebook. HTTPS khiến phần mềm độc hại khó chặn các yêu cầu trình duyệt hơn và tiêm quảng cáo hoặc chuyển hướng người dùng.

Cũng có một số lý do khiến bạn thấy HTTPS thường xuyên hơn trong trường hợp cả hai đều hoạt động:

  • Google thích lập chỉ mục phiên bản HTTPS khi phiên bản HTTP cũng hoạt động
  • Nhiều người có plugin trình duyệt HTTPS Everywhere tự động cho họ sử dụng các trang web HTTPS khi khả dụng. Điều đó có nghĩa là những người dùng đó cũng tạo các liên kết mới đến các trang web HTTPS
  • Nhiều trang web đang chuyển hướng đến HTTPS vì những lo ngại về bảo mật và quyền riêng tư.


7
Đừng quên HTTP / 2, hiện chỉ được triển khai cho HTTPS, cũng đừng quên rằng Google xếp hạng các trang web HTTPS (hơi) cao hơn các trang HTTP HTTP
wb9688

Tôi đề nghị một sự thay đổi theo thứ tự. Tôi nghĩ đó là một vấn đề riêng tư, hiện có thể khắc phục được vì những tiến bộ kỹ thuật. Tôi không nghĩ mọi người TLS vì 'bây giờ họ có thể'. :)
Martijn

1
Luôn luôn có vấn đề riêng tư và mọi người luôn biết điều đó. Đúng, quyền riêng tư là mối quan tâm thúc đẩy đối với một vài công ty lớn, nhưng đối với hàng loạt các trang web nhỏ hơn, sự dễ dàng và chi phí là yếu tố lớn hơn. Tôi nói điều đó từ kinh nghiệm cá nhân. Tôi đã luôn muốn bảo mật các trang web cá nhân của mình, nhưng nó chỉ trở nên rẻ và đủ dễ dàng gần đây.
Stephen Ostermiller

2
Bạn viết sai 1% trên đầu .
Michael Hampton

18

Các câu trả lời cho đến nay nói về nhiều lý do kéo và đẩy khác nhau về lý do tại sao HTTPS ngày càng trở nên phổ biến.

Tuy nhiên, có 2 cuộc gọi đánh thức lớn từ khoảng năm 2010 và 2011 cho thấy HTTPS thực sự quan trọng như thế nào: Firesheep cho phép chiếm quyền điều khiển phiên và chính phủ Tunisia chặn đăng nhập Facebook để đánh cắp thông tin đăng nhập.

Firesheep là một plugin Firefox từ tháng 10 năm 2010 được tạo bởi Eric Butler, cho phép bất kỳ ai có plugin được cài đặt để chặn các yêu cầu khác trên các kênh WiFi công cộng và sử dụng cookie từ các yêu cầu đó để mạo danh người dùng thực hiện các yêu cầu đó. Nó miễn phí, dễ sử dụng và trên hết, nó không cần kiến ​​thức chuyên môn. bạn chỉ cần nhấp vào nút để thu hoạch cookie và sau đó chọn nút khác để bắt đầu phiên mới bằng cách sử dụng bất kỳ cookie nào được thu hoạch.

Trong vài ngày, các bản sao với sự linh hoạt hơn đã xuất hiện và trong vài tuần, nhiều trang web lớn đã bắt đầu hỗ trợ HTTPS. Sau đó vài tháng, một sự kiện thứ hai đã xảy ra đã gửi một gợn nhận thức khác thông qua Internet.

Vào tháng 12 năm 2010, Mùa xuân Ả Rập bắt đầu ở Tunisia. Các Chính phủ Tunisia , giống như nhiều người khác trong khu vực, đã cố gắng để ngăn chặn các cuộc nổi dậy. Một trong những cách họ đã thử điều này là bằng cách cản trở Social Media, bao gồm cả Facebook. Trong cuộc nổi dậy, rõ ràng là các ISP của Tunisia, người bị chính phủ Tunisia kiểm soát phần lớn, đang bí mật tiêm mã khai thác mật khẩu vào trang đăng nhập Facebook. Facebook đã nhanh chóng hành động chống lại điều này một khi họ nhận thấy những gì đang xảy ra, chuyển toàn bộ quốc gia sang HTTPS và yêu cầu những người bị ảnh hưởng phải xác nhận danh tính của họ.


Tôi đoán chiếc Firesheep nên là năm 2010 hoặc Mùa xuân Ả Rập là năm 2011. Nếu không thì bit "vài tháng sau" sẽ không có ý nghĩa gì.
Chris Hayes

@ChrisHayes oops, Firesheep là 2010, không phải năm 2011. Đã sửa. Ngoài ra, chúng tôi không biết về Chính phủ Tunisia ăn cắp thông tin đăng nhập Facebook cho đến tháng 1 năm 2011
Nzall

11

Có một thứ được gọi là Chiến dịch Aurora , mà (được cho là) ​​là bánh quy Trung Quốc đột nhập vào các máy tính của Hoa Kỳ như của Google.

Google đã công khai với Chiến dịch Aurora vào năm 2010. Có vẻ như họ đã quyết định chuyển lỗ thành giá trị bằng cách thể hiện những nỗ lực bảo mật sản phẩm của họ. Vì vậy, thay vì thua cuộc, họ thể hiện là người lãnh đạo. Họ cần những nỗ lực thực sự nếu không họ sẽ bị những người hiểu biết chế giễu công khai.

Google là một công ty internet, vì vậy họ rất cần phải cài đặt lại niềm tin vào người dùng của họ về giao tiếp. Kế hoạch đã hoạt động và các quân đoàn khác cần phải theo dõi hoặc đối mặt với người dùng của họ di chuyển sang google.

Vào năm 2013, cái được gọi là tiết lộ giám sát toàn cầu nổi bật bởi Snowden đã xảy ra . Người dân mất niềm tin vào quân đoàn.

Đã có rất nhiều người cân nhắc việc đi indie và sử dụng HTTPS, sau đó gây ra sự di chuyển gần đây. Anh ta và người mà anh ta làm việc đã đưa ra các cuộc gọi rõ ràng để sử dụng mã hóa giải thích rằng việc sống sót cần phải tốn kém.

mã hóa mạnh * khối lượng người dùng cực kỳ cao = khả năng sống sót đắt đỏ.

Đó là năm 2013. Điều đó nói rằng, gần đây Snowden nói rằng điều này có lẽ không còn đủ nữa và bạn nên chi tiền cho những người làm việc để củng cố quyền lợi của bạn cho bạn, vì vậy tiền thuế cũng biến mất khỏi ngành công nghiệp sống sót.

Tuy nhiên, đối với quản trị trang web Joe avarage, vấn đề tồn tại lâu dài với HTTPS là việc nhận được chứng chỉ phải trả tiền. Nhưng bạn cần certs cho HTTPS. Nó đã được giải quyết vào cuối năm 2015 khi Let Encrypt beta có sẵn cho công chúng. Nó cung cấp cho bạn các certs miễn phí cho HTTPS tự động thông qua giao thức ACME . ACME là một dự thảo Internet có nghĩa là với những người mà bạn có thể sắp xếp dựa vào nó.


5

Mã hóa truyền qua internet sẽ an toàn hơn trước các tác nhân bất chính chặn hoặc quét dữ liệu này và tự chèn vào giữa, khiến bạn nghĩ rằng chúng là trang web thực sự. Những cuộc đánh chặn thành công như thế này chỉ khuyến khích nhiều người khác làm theo.

Bây giờ nó có giá cả phải chăng hơn, và công nghệ dễ tiếp cận hơn, việc thúc đẩy mọi người làm những điều an toàn hơn để bảo vệ tất cả chúng ta sẽ dễ dàng hơn. An toàn hơn sẽ giảm chi phí và chi phí của những người bị ảnh hưởng bởi các lỗ hổng dữ liệu.

Khi công việc liên quan đến phá mã hóa trở nên khó khăn và tốn kém, nó sẽ giữ mức độ hoạt động giảm xuống và chỉ giới hạn cho những người sẵn sàng đầu tư thời gian và tiền bạc liên quan. Giống như ổ khóa trên cửa nhà bạn, nó sẽ giữ cho hầu hết mọi người ra ngoài và giải phóng cảnh sát để tập trung vào hoạt động tội phạm cấp cao hơn.


4

Một điều khác tôi không thấy được đề cập, vào ngày 29 tháng 9 năm 2014, CloudFlare (một CDN ủy quyền rất phổ biến vì hầu hết các trang web có kích thước vừa phải có thể sử dụng chúng miễn phí với các thay đổi DNS đơn giản), đã thông báo cung cấp SSL miễn phí cho tất cả các trang web họ ủy quyền .

Về cơ bản, bất kỳ ai ủy quyền thông qua họ đều có thể tự động và ngay lập tức truy cập trang web của họ https://và nó chỉ hoạt động; không có thay đổi cần thiết trên các phụ trợ, không có gì để trả tiền hoặc gia hạn.

Đối với cá nhân tôi và đối với nhiều người khác trong cùng một chiếc thuyền, đây là quy mô cho tôi. Các trang web của tôi về cơ bản là tất cả các trang web cá nhân / sở thích mà tôi muốn sử dụng SSL, nhưng không thể biện minh cho chi phí và thời gian bảo trì. Thường thì chi phí liên quan đến việc phải sử dụng gói lưu trữ đắt hơn (hoặc bắt đầu trả tiền thay vì sử dụng tùy chọn miễn phí) trái ngược với chi phí của chính chứng chỉ.


Xem cập nhật của tôi cho câu hỏi. Chi tiết có sẵn trong Cài đặt của tôi Hãy mã hóa trên bài đăng blog Lighttpd blog.defun.work/post-72b3f008-e28e-11e6-bad9-485b39c42d0f.html
gavenkoa

@gavenkoa thật tuyệt, nhưng nếu tôi ở thời điểm tôi có VPS và tôi đang bảo trì HĐH, điều đó đã vượt quá số lượng nỗ lực tôi muốn chi tiêu (ngày nay, ý tôi là, tôi đã từng chạy một máy chủ web). Vào thời điểm đó, tôi sẽ không gặp vấn đề gì ngay cả khi tôi đang cập nhật thủ công (mặc dù tôi chắc chắn sẽ không làm thế nếu tôi không phải làm vậy). Hiện tại tôi thường sử dụng dịch vụ lưu trữ chia sẻ hoặc trong trường hợp trang web hiện tại của tôi, các trang github được ủy quyền thông qua CloudFlare. Nhưng yeah certbot có vẻ tuyệt vời nếu bạn đã có môi trường nơi bạn có thể chạy nó.
sáng lập

Tôi đã đọc bài viết cũ scotthelme.co.uk/tls-conundrum-and-leaving-cloudflare Đừng biết liệu họ có còn cho phép tấn công trung gian cho các ưu đãi ngày hôm nay không nhưng các biện pháp bảo vệ SSL của họ có vấn đề trong quá khứ ( cầu xin 2014) ...
gavenkoa

Và đối với các tên miền phụ của github, họ hỗ trợ HTTPS: github.com/blog/2186-https-for-github-pages (tháng 8 năm 2016).
gavenkoa

1
@gavenkoa Tôi biết những lo ngại đó, mặc dù CF khá cởi mở về các tùy chọn cấu hình và ý nghĩa của chúng; Nếu ai muốn sử dụng chúng, bạn cũng nên biết về các chi tiết. Tôi sẽ không gọi chính xác cho họ các vấn đề, nhưng trong mọi trường hợp, điều đó vượt quá phạm vi của câu hỏi này. Việc cung cấp của họ là một nỗ lực không cần một lần (thường), miễn phí để chuyển một trang web sang https, vì vậy ngay cả với cấu hình của http từ CF sang phụ trợ của bạn, đến các trình duyệt và công cụ tìm kiếm cũng giống như vậy và tôi tin nó là một nguồn lớn của các chuyển đổi trang web nhỏ.
sáng lập
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.