Sự kiện nào đã gây ra sự di cư hàng loạt sang HTTPS?

Trong vài năm, tôi thấy rằng Google, Facebook, v.v ... bắt đầu phân phát (và thậm chí chuyển hướng đến) nội dung thông qua HTTPS.

Việc phục vụ các trang web nhắc mật khẩu trong HTTP không an toàn là sai ngay cả vào năm 1999 nhưng nó được coi là chấp nhận được ngay cả trong năm 2010.

Nhưng ngày nay, ngay cả các trang công khai (như truy vấn từ Bing / Google) được cung cấp qua HTTPS.

Sự kiện nào đã gây ra sự di cư hàng loạt sang HTTPS? Vụ bê bối Wikileaks, thực thi pháp luật của Mỹ / EU, giảm chi phí bắt tay SSL / TSL với chi phí thường giảm thời gian máy chủ, tăng trưởng văn hóa CNTT trong quản lý?

Ngay cả những nỗ lực công khai như https://letsencrypt.org/ đã bắt đầu cách đây không lâu ...

@briantist Vì tôi cũng duy trì các trang web sở thích và quan tâm đến giải pháp SSL / TLS giá rẻ / dễ dàng. Đối với VPS (bắt đầu từ 5 đô la / tháng) gần đây tôi đã đánh giá Hãy mã hóa với certbot(các bot khác có sẵn) trong webrootchế độ hoạt động. Điều này cung cấp cho tôi chứng chỉ SAN hợp lệ trong 3 tháng (và đó là trong croncông việc - việc gia hạn được thực hiện một tháng trước ngày hết hạn):

certbot certonly -n --expand --webroot \
        -w /srv/www/base/ -d example.com \
        -w /srv/www/blog/ -d blog.example.com

Có rất nhiều yếu tố đã đi vào nó bao gồm:

• Công nghệ trình duyệt và máy chủ để bảo mật với máy chủ ảo. Bạn đã từng cần một địa chỉ IP chuyên dụng trên mỗi trang web an toàn, nhưng đó không còn là vấn đề nữa khi sử dụng SNI .
• Chứng chỉ bảo mật chi phí thấp hơn. Thậm chí có những cái miễn phí có sẵn cho một số trường hợp tên miền duy nhất. Mười năm trước tôi đã tìm kiếm 300 đô la / năm cho một tên miền ký tự đại diện, nhưng bây giờ tôi có thể nhận được một chứng chỉ bao gồm các ký tự đại diện cho một số tên miền với giá 70 đô la / năm.
• Chi phí đầu tư của HTTPS giảm đáng kể. Nó được sử dụng để yêu cầu thêm tài nguyên máy chủ, nhưng bây giờ chi phí không đáng kể . Nó thậm chí thường được tích hợp vào các bộ cân bằng tải có thể nói chuyện HTTP với các máy chủ phụ trợ.
• Các mạng quảng cáo như AdSense bắt đầu hỗ trợ HTTPS. Một vài năm trước, không thể kiếm tiền từ một trang web HTTPS với hầu hết các mạng quảng cáo.
• Google công bố HTTPS là một yếu tố xếp hạng.
• Các công ty lớn như Facebook và Google đã chuyển sang HTTPS để mọi thứ được bình thường hóa.
• Các trình duyệt đang bắt đầu cảnh báo về việc HTTP không an toàn.

Đối với các công ty lớn như Google luôn có thể đủ khả năng để chuyển sang HTTPS, tôi nghĩ rằng có một vài điều đã thúc đẩy họ thực hiện nó:

• Rò rỉ dữ liệu tình báo cạnh tranh qua HTTP. Tôi tin rằng Google đã chuyển sang HTTPS phần lớn vì rất nhiều ISP và đối thủ cạnh tranh đang xem xét những gì người dùng đang tìm kiếm qua HTTP. Giữ các truy vấn của công cụ tìm kiếm dưới sự kết thúc tốt đẹp là một động lực lớn cho Google.
• Sự gia tăng của các trang web nhắm mục tiêu phần mềm độc hại như Google và Facebook. HTTPS khiến phần mềm độc hại khó chặn các yêu cầu trình duyệt hơn và tiêm quảng cáo hoặc chuyển hướng người dùng.

Cũng có một số lý do khiến bạn thấy HTTPS thường xuyên hơn trong trường hợp cả hai đều hoạt động:

• Google thích lập chỉ mục phiên bản HTTPS khi phiên bản HTTP cũng hoạt động
• Nhiều người có plugin trình duyệt HTTPS Everywhere tự động cho họ sử dụng các trang web HTTPS khi khả dụng. Điều đó có nghĩa là những người dùng đó cũng tạo các liên kết mới đến các trang web HTTPS
• Nhiều trang web đang chuyển hướng đến HTTPS vì những lo ngại về bảo mật và quyền riêng tư.

Các câu trả lời cho đến nay nói về nhiều lý do kéo và đẩy khác nhau về lý do tại sao HTTPS ngày càng trở nên phổ biến.

Tuy nhiên, có 2 cuộc gọi đánh thức lớn từ khoảng năm 2010 và 2011 cho thấy HTTPS thực sự quan trọng như thế nào: Firesheep cho phép chiếm quyền điều khiển phiên và chính phủ Tunisia chặn đăng nhập Facebook để đánh cắp thông tin đăng nhập.

Firesheep là một plugin Firefox từ tháng 10 năm 2010 được tạo bởi Eric Butler, cho phép bất kỳ ai có plugin được cài đặt để chặn các yêu cầu khác trên các kênh WiFi công cộng và sử dụng cookie từ các yêu cầu đó để mạo danh người dùng thực hiện các yêu cầu đó. Nó miễn phí, dễ sử dụng và trên hết, nó không cần kiến ​​thức chuyên môn. bạn chỉ cần nhấp vào nút để thu hoạch cookie và sau đó chọn nút khác để bắt đầu phiên mới bằng cách sử dụng bất kỳ cookie nào được thu hoạch.

Trong vài ngày, các bản sao với sự linh hoạt hơn đã xuất hiện và trong vài tuần, nhiều trang web lớn đã bắt đầu hỗ trợ HTTPS. Sau đó vài tháng, một sự kiện thứ hai đã xảy ra đã gửi một gợn nhận thức khác thông qua Internet.

Vào tháng 12 năm 2010, Mùa xuân Ả Rập bắt đầu ở Tunisia. Các Chính phủ Tunisia , giống như nhiều người khác trong khu vực, đã cố gắng để ngăn chặn các cuộc nổi dậy. Một trong những cách họ đã thử điều này là bằng cách cản trở Social Media, bao gồm cả Facebook. Trong cuộc nổi dậy, rõ ràng là các ISP của Tunisia, người bị chính phủ Tunisia kiểm soát phần lớn, đang bí mật tiêm mã khai thác mật khẩu vào trang đăng nhập Facebook. Facebook đã nhanh chóng hành động chống lại điều này một khi họ nhận thấy những gì đang xảy ra, chuyển toàn bộ quốc gia sang HTTPS và yêu cầu những người bị ảnh hưởng phải xác nhận danh tính của họ.

Có một thứ được gọi là Chiến dịch Aurora , mà (được cho là) ​​là bánh quy Trung Quốc đột nhập vào các máy tính của Hoa Kỳ như của Google.

Google đã công khai với Chiến dịch Aurora vào năm 2010. Có vẻ như họ đã quyết định chuyển lỗ thành giá trị bằng cách thể hiện những nỗ lực bảo mật sản phẩm của họ. Vì vậy, thay vì thua cuộc, họ thể hiện là người lãnh đạo. Họ cần những nỗ lực thực sự nếu không họ sẽ bị những người hiểu biết chế giễu công khai.

Google là một công ty internet, vì vậy họ rất cần phải cài đặt lại niềm tin vào người dùng của họ về giao tiếp. Kế hoạch đã hoạt động và các quân đoàn khác cần phải theo dõi hoặc đối mặt với người dùng của họ di chuyển sang google.

Vào năm 2013, cái được gọi là tiết lộ giám sát toàn cầu nổi bật bởi Snowden đã xảy ra . Người dân mất niềm tin vào quân đoàn.

Đã có rất nhiều người cân nhắc việc đi indie và sử dụng HTTPS, sau đó gây ra sự di chuyển gần đây. Anh ta và người mà anh ta làm việc đã đưa ra các cuộc gọi rõ ràng để sử dụng mã hóa giải thích rằng việc sống sót cần phải tốn kém.

mã hóa mạnh * khối lượng người dùng cực kỳ cao = khả năng sống sót đắt đỏ.

Đó là năm 2013. Điều đó nói rằng, gần đây Snowden nói rằng điều này có lẽ không còn đủ nữa và bạn nên chi tiền cho những người làm việc để củng cố quyền lợi của bạn cho bạn, vì vậy tiền thuế cũng biến mất khỏi ngành công nghiệp sống sót.

Tuy nhiên, đối với quản trị trang web Joe avarage, vấn đề tồn tại lâu dài với HTTPS là việc nhận được chứng chỉ phải trả tiền. Nhưng bạn cần certs cho HTTPS. Nó đã được giải quyết vào cuối năm 2015 khi Let Encrypt beta có sẵn cho công chúng. Nó cung cấp cho bạn các certs miễn phí cho HTTPS tự động thông qua giao thức ACME . ACME là một dự thảo Internet có nghĩa là với những người mà bạn có thể sắp xếp dựa vào nó.

Mã hóa truyền qua internet sẽ an toàn hơn trước các tác nhân bất chính chặn hoặc quét dữ liệu này và tự chèn vào giữa, khiến bạn nghĩ rằng chúng là trang web thực sự. Những cuộc đánh chặn thành công như thế này chỉ khuyến khích nhiều người khác làm theo.

Bây giờ nó có giá cả phải chăng hơn, và công nghệ dễ tiếp cận hơn, việc thúc đẩy mọi người làm những điều an toàn hơn để bảo vệ tất cả chúng ta sẽ dễ dàng hơn. An toàn hơn sẽ giảm chi phí và chi phí của những người bị ảnh hưởng bởi các lỗ hổng dữ liệu.

Khi công việc liên quan đến phá mã hóa trở nên khó khăn và tốn kém, nó sẽ giữ mức độ hoạt động giảm xuống và chỉ giới hạn cho những người sẵn sàng đầu tư thời gian và tiền bạc liên quan. Giống như ổ khóa trên cửa nhà bạn, nó sẽ giữ cho hầu hết mọi người ra ngoài và giải phóng cảnh sát để tập trung vào hoạt động tội phạm cấp cao hơn.

Một điều khác tôi không thấy được đề cập, vào ngày 29 tháng 9 năm 2014, CloudFlare (một CDN ủy quyền rất phổ biến vì hầu hết các trang web có kích thước vừa phải có thể sử dụng chúng miễn phí với các thay đổi DNS đơn giản), đã thông báo cung cấp SSL miễn phí cho tất cả các trang web họ ủy quyền .

Về cơ bản, bất kỳ ai ủy quyền thông qua họ đều có thể tự động và ngay lập tức truy cập trang web của họ https://và nó chỉ hoạt động; không có thay đổi cần thiết trên các phụ trợ, không có gì để trả tiền hoặc gia hạn.

Đối với cá nhân tôi và đối với nhiều người khác trong cùng một chiếc thuyền, đây là quy mô cho tôi. Các trang web của tôi về cơ bản là tất cả các trang web cá nhân / sở thích mà tôi muốn sử dụng SSL, nhưng không thể biện minh cho chi phí và thời gian bảo trì. Thường thì chi phí liên quan đến việc phải sử dụng gói lưu trữ đắt hơn (hoặc bắt đầu trả tiền thay vì sử dụng tùy chọn miễn phí) trái ngược với chi phí của chính chứng chỉ.