Quais eventos causaram migração em massa para HTTPS?

40

Por vários anos, vejo que o Google, o Facebook etc. começam a veicular (e até redirecionar para) conteúdo via HTTPS.

A veiculação de sites que solicitam senhas em HTTP não seguro estava errada, mesmo em 1999, mas considerada aceitável até em 2010.

Hoje em dia, mesmo as páginas públicas (como consultas do Bing / Google) são veiculadas via HTTPS.

Quais eventos causaram migração em massa para HTTPS? O escândalo do Wikileaks, a aplicação da lei nos EUA / UE, reduziu o custo do handshake SSL / TSL com o custo do tempo do servidor geralmente reduzido, aumentando o nível da cultura de TI em gerenciamento?

Mesmo esforços públicos como https://letsencrypt.org/ começaram há pouco tempo ...

@briantist Como também mantenho sites de hobby e estou interessado em soluções SSL / TLS baratas / sem esforço. Para o VPS (que começa em 5 $ / mês), avaliei recentemente Vamos criptografar com certbot(outros bots disponíveis) no webrootmodo de operação. Isso me fornece um certificado SAN válido por 3 meses (e está no crontrabalho - a renovação é realizada um mês antes da data de vencimento):

certbot certonly -n --expand --webroot \
        -w /srv/www/base/ -d example.com \
        -w /srv/www/blog/ -d blog.example.com
gavenkoa
fonte
2
Essa é uma pergunta bastante ampla, baseada em opiniões, que provavelmente levará a uma lista de fatores diferentes, em comparação a um único e definitivo; portanto, ela está sendo convertida em um Wiki da comunidade para que outras pessoas possam editar e contribuir com facilidade.
dan
6
A "internet" é mais segura para o usuário final se tudo for SSL.
docroot
3
É realmente uma migração em massa? Como você observa na pergunta, o processo levou muito tempo. Será que estamos vendo agora a parte mais íngreme de uma curva de crescimento logístico? Se o processo foi realmente acelerado recentemente, eu atribuiria isso a Snowden.
precisa saber é
6
Isto é o que finalmente fez isso por nós , ninguém quer um vermelho brilhante "não segura" em um site de comércio eletrônico ..
user2070057
3
letsencrypt começou em 2012. anunciado em 2014, beta público no final de 2015, público em 2016.
n611x007

Respostas:

48

Há muitos fatores envolvidos, incluindo:

  • Tecnologia de navegador e servidor para segurança com hosts virtuais. Você costumava precisar de um endereço IP dedicado por site seguro, mas esse não é mais o caso usando o SNI .
  • Certificados de segurança gratuitos e de menor custo. Vamos criptografar agora emite cerca de metade de todos os certificados gratuitamente. Há dez anos, eu estava procurando US $ 300 / ano para um domínio curinga, mas agora até certificados curinga pagos podem ser tão pequenos quanto US $ 70 / ano.
  • A sobrecarga do HTTPS caiu significativamente. Isso costumava exigir recursos adicionais do servidor, mas agora a sobrecarga é insignificante . É até mesmo incorporado a balanceadores de carga que podem conversar com HTTP com servidores de back-end.
  • Redes de anúncios como o AdSense começaram a oferecer suporte a HTTPS. Alguns anos atrás, não era possível gerar receita com um site HTTPS com a maioria das redes de anúncios.
  • Google anunciando HTTPS como um fator de classificação.
  • Grandes empresas como o Facebook e o Google que se mudaram para HTTPS para tudo normalizaram a prática.
  • Os navegadores estão começando a avisar que o HTTP é inseguro.

Para grandes empresas como o Google, que sempre poderiam mudar para HTTPS, acho que houve algumas coisas que as levaram a implementá-lo:

  • Vazamento de dados de inteligência competitiva sobre HTTP. Acredito que o Google mudou para HTTPS em grande parte porque muitos ISPs e concorrentes estavam olhando para o que os usuários estavam pesquisando por HTTP. Manter as consultas dos mecanismos de pesquisa em sigilo foi uma grande motivação para o Google.
  • Aumento de malware direcionado a sites como Google e Facebook. O HTTPS torna mais difícil o malware interceptar solicitações de navegador e injetar anúncios ou redirecionar usuários.

Há também alguns motivos pelos quais você vê HTTPS com mais frequência nos casos em que ambos funcionam:

  • O Google está preferindo indexar a versão HTTPS quando a versão HTTP também funciona
  • Muitas pessoas têm o plug-in de navegador HTTPS Everywhere, que automaticamente usa sites HTTPS quando disponíveis. Isso significa que esses usuários também criam novos links para sites HTTPS
  • Mais sites estão redirecionando para HTTPS devido a questões de segurança e privacidade.
Stephen Ostermiller
fonte
7
Não se esqueça do HTTP / 2, atualmente implementado apenas para HTTPS, também não se esqueça de que o Google classifica sites HTTPS (ligeiramente) mais altos que os sites HTTP ...
wb9688
Sugiro uma mudança de ordem. Eu acho que foi um problema de privacidade, que agora pode ser corrigido por causa dos avanços técnicos. Eu não acho que as pessoas TLS porque 'eles podem agora'. :)
Martijn
11
Sempre houve o problema da privacidade e todo mundo sempre soube. Sim, a privacidade era a principal preocupação de algumas grandes empresas, mas, para a massa de sites menores, a facilidade e o custo eram fatores maiores. Eu digo isso por experiência pessoal. Eu sempre quis proteger meus sites pessoais, mas só se tornou barato e fácil recentemente.
Stephen Ostermiller
2
Você digitou incorretamente 1% de sobrecarga .
Michael Hampton
18

Até agora, as respostas falam sobre várias razões de puxar e empurrar sobre o motivo pelo qual o HTTPS está se tornando cada vez mais popular.

No entanto, existem duas chamadas importantes de alerta de 2010 e 2011 que mostraram a importância do HTTPS: Firesheep permite o seqüestro de sessões e o governo da Tunísia interceptando logins do Facebook para roubar credenciais.

O Firesheep foi um plug-in do Firefox de outubro de 2010 criado por Eric Butler, que permitia a qualquer pessoa com o plug-in instalado interceptar outras solicitações em canais Wi-Fi públicos e usar os cookies dessas solicitações para representar os usuários que as faziam. Era gratuito, fácil de usar e, acima de tudo, não precisava de conhecimento especializado. basta clicar em um botão para coletar cookies e depois em outro para iniciar uma nova sessão usando qualquer um dos cookies coletados.

Em alguns dias, os copycats com mais flexibilidade apareceram e, em semanas, muitos sites importantes começaram a oferecer suporte a HTTPS. Alguns meses depois, ocorreu um segundo evento que enviou outra onda de conscientização pela Internet.

Em dezembro de 2010, a Primavera Árabe começou na Tunísia. O governo tunisino , como muitos outros da região, tentou reprimir a revolta. Uma das maneiras pelas quais eles tentaram isso foi impedir as mídias sociais, incluindo o Facebook. Durante a revolta, ficou claro que os ISPs da Tunísia, que eram amplamente controlados pelo governo da Tunísia, estavam secretamente injetando código de coleta de senha na página de login do Facebook. O Facebook agiu rapidamente contra isso quando notou o que estava acontecendo, mudando o país inteiro para HTTPS e exigindo que os afetados confirmassem sua identidade.

Nzall
fonte
Acho que o Firesheep deve ser 2010 ou a Primavera Árabe deve ser 2011. Caso contrário, a parte "alguns meses depois" não faz sentido.
Chris Hayes
@ChrisHayes opa, o Firesheep era 2010, não 2011. Corrigido. Além disso, nós não sabia sobre o Governo tunisino roubar credenciais do Facebook até janeiro de 2011.
Nzall
11

Havia o que passou a ser chamado de Operação Aurora que (supostamente) eram crackers chineses invadindo computadores dos EUA como o do Google.

O Google tornou-se público com a Operação Aurora em 2010. Parece que eles decidiram converter a perda em valor, mostrando esforços para proteger seus produtos. Então, em vez de perdedores, eles aparecem como líderes. Eles precisavam de esforços reais, caso contrário, teriam sido ridicularizados publicamente por aqueles que entendem.

O Google é uma empresa de Internet, por isso foi fundamental para eles reinstalar a confiança em seus usuários sobre a comunicação. O plano funcionou e outros corpos precisavam seguir ou enfrentar a migração de seus usuários para o Google.

Em 2013, o que passou a ser chamado de divulgações de vigilância global com destaque por Snowden aconteceu . As pessoas perderam a confiança no corpo.

Muitas pessoas consideraram ir independentes e usar HTTPS, o que causou a migração recente. Ele e quem ele trabalhou deram chamadas explícitas para usar a criptografia, explicando que a sobriedade exige caro.

criptografia forte * volume criticamente alto de usuários = qualidade de serviço cara.

Foi em 2013. Dito isso, mais recentemente, Snowden disse que isso provavelmente não é mais o suficiente e que você também deve gastar dinheiro com pessoas que trabalham legalmente para fortalecer seus direitos a você, para que o dinheiro dos impostos se afaste do setor de turismo de aventura.

No entanto, para o avarage Joe webmaster, o problema de longa data com HTTPS era que obter um certificado custava dinheiro. Mas você precisa de certificados para HTTPS. Foi resolvido no final de 2015, quando a versão beta do Let's Encrypt ficou disponível para o público em geral. Oferece certificados gratuitos para HTTPS automaticamente através do protocolo ACME . O ACME é um rascunho da Internet que significa para as pessoas que você pode confiar nele.

n611x007
fonte
5

Criptografar transmissões pela Internet é mais seguro contra agentes nefastos que interceptam ou digitalizam esses dados e se inserem no meio, fazendo com que você pense que eles são a página da web real. Intercepções bem-sucedidas como essa incentivam apenas mais e outras a seguir.

Agora que é mais acessível e a tecnologia mais acessível, é mais fácil pressionar para que todos façam coisas mais seguras que nos protejam a todos. Ser mais seguro reduz os custos e despesas daqueles afetados pelas restrições de dados.

Quando o trabalho envolvido na quebra da criptografia se torna difícil e caro, ele mantém o nível de atividade baixo e restrito apenas àqueles dispostos a investir tempo e dinheiro envolvidos. Como trancas nas portas de sua casa, manterá a maioria das pessoas fora e libertará a polícia para se concentrar em atividades criminosas de nível superior.

Roubar
fonte
4

Outra coisa que não vi mencionada, em 29 de setembro de 2014, o CloudFlare (uma CDN de proxy muito popular porque a maioria dos sites de tamanho moderado pode efetivamente usá-los gratuitamente com simples alterações no DNS), anunciou a oferta de SSL grátis para todos os sites eles proxy .

Essencialmente, qualquer pessoa que faça o proxy através deles poderia acessar o site automaticamente e imediatamente https://e ele simplesmente funcionaria; não são necessárias alterações nos back-ends, nada para pagar ou renovar.

Para mim, pessoalmente, e para muitas outras pessoas no mesmo barco, essa é a ponta da balança para mim. Meus sites são basicamente sites pessoais / de hobby para os quais eu gostaria de usar SSL, mas não justificavam o custo e o tempo de manutenção. Frequentemente, o custo era mais sobre ter que usar um plano de hospedagem mais caro (ou começar a pagar em vez de usar opções gratuitas), em oposição ao custo do próprio certificado.

briantist
fonte
Veja minha atualização para questionar. Detalhes estão disponíveis em meu Ajuste Vamos Criptografar em Lighttpd post no blog blog.defun.work/post-72b3f008-e28e-11e6-bad9-485b39c42d0f.html
gavenkoa
@gavenkoa isso é legal, mas se estou no ponto em que tenho um VPS e estou mantendo o sistema operacional, isso já está muito além da quantidade de esforço que quero gastar (atualmente, quero dizer; costumava executar um host da web). Nesse ponto, eu não teria nenhum problema, mesmo se estivesse atualizando manualmente os certificados (embora certamente não o faria se não precisasse). Normalmente, eu usaria hospedagem compartilhada hoje em dia ou, no caso do meu site atual, páginas do github com proxy no CloudFlare. Mas sim, o certbot parece ótimo se você já possui o ambiente em que pode executá-lo.
precisa saber é o seguinte
Eu li o artigo antigo scotthelme.co.uk/tls-conundrum-and-leaving-cloudflare Não sei se eles ainda permitem ataques man-in-the-middle para ofertas de hoje, mas suas proteções SSL têm problemas no passado ( implorando 2014) ...
gavenkoa
E para os subdomínios do github, eles oferecem suporte a HTTPS: github.com/blog/2186-https-for-github-pages (agosto de 2016).
precisa saber é o seguinte
11
@gavenkoa Estou ciente dessas preocupações, embora o CF seja bastante aberto sobre as opções de configuração e o que elas significam; se alguém quiser usá-los, também deve estar ciente dos detalhes. Eu não os chamaria exatamente de problemas, mas, de qualquer forma, isso está um pouco além do escopo desta questão. A oferta deles era uma maneira gratuita, com um clique (geralmente) de esforço zero, para alternar um site para https; portanto, mesmo com a configuração do http do CF para o back-end, para navegadores e mecanismos de pesquisa, parece o mesmo e acredito era uma grande fonte de pequenas conversões no site.
Briantist