Por vários anos, vejo que o Google, o Facebook etc. começam a veicular (e até redirecionar para) conteúdo via HTTPS.
A veiculação de sites que solicitam senhas em HTTP não seguro estava errada, mesmo em 1999, mas considerada aceitável até em 2010.
Hoje em dia, mesmo as páginas públicas (como consultas do Bing / Google) são veiculadas via HTTPS.
Quais eventos causaram migração em massa para HTTPS? O escândalo do Wikileaks, a aplicação da lei nos EUA / UE, reduziu o custo do handshake SSL / TSL com o custo do tempo do servidor geralmente reduzido, aumentando o nível da cultura de TI em gerenciamento?
Mesmo esforços públicos como https://letsencrypt.org/ começaram há pouco tempo ...
@briantist Como também mantenho sites de hobby e estou interessado em soluções SSL / TLS baratas / sem esforço. Para o VPS (que começa em 5 $ / mês), avaliei recentemente Vamos criptografar com certbot
(outros bots disponíveis) no webroot
modo de operação. Isso me fornece um certificado SAN válido por 3 meses (e está no cron
trabalho - a renovação é realizada um mês antes da data de vencimento):
certbot certonly -n --expand --webroot \
-w /srv/www/base/ -d example.com \
-w /srv/www/blog/ -d blog.example.com
Respostas:
Há muitos fatores envolvidos, incluindo:
Para grandes empresas como o Google, que sempre poderiam mudar para HTTPS, acho que houve algumas coisas que as levaram a implementá-lo:
Há também alguns motivos pelos quais você vê HTTPS com mais frequência nos casos em que ambos funcionam:
fonte
Até agora, as respostas falam sobre várias razões de puxar e empurrar sobre o motivo pelo qual o HTTPS está se tornando cada vez mais popular.
No entanto, existem duas chamadas importantes de alerta de 2010 e 2011 que mostraram a importância do HTTPS: Firesheep permite o seqüestro de sessões e o governo da Tunísia interceptando logins do Facebook para roubar credenciais.
O Firesheep foi um plug-in do Firefox de outubro de 2010 criado por Eric Butler, que permitia a qualquer pessoa com o plug-in instalado interceptar outras solicitações em canais Wi-Fi públicos e usar os cookies dessas solicitações para representar os usuários que as faziam. Era gratuito, fácil de usar e, acima de tudo, não precisava de conhecimento especializado. basta clicar em um botão para coletar cookies e depois em outro para iniciar uma nova sessão usando qualquer um dos cookies coletados.
Em alguns dias, os copycats com mais flexibilidade apareceram e, em semanas, muitos sites importantes começaram a oferecer suporte a HTTPS. Alguns meses depois, ocorreu um segundo evento que enviou outra onda de conscientização pela Internet.
Em dezembro de 2010, a Primavera Árabe começou na Tunísia. O governo tunisino , como muitos outros da região, tentou reprimir a revolta. Uma das maneiras pelas quais eles tentaram isso foi impedir as mídias sociais, incluindo o Facebook. Durante a revolta, ficou claro que os ISPs da Tunísia, que eram amplamente controlados pelo governo da Tunísia, estavam secretamente injetando código de coleta de senha na página de login do Facebook. O Facebook agiu rapidamente contra isso quando notou o que estava acontecendo, mudando o país inteiro para HTTPS e exigindo que os afetados confirmassem sua identidade.
fonte
Havia o que passou a ser chamado de Operação Aurora que (supostamente) eram crackers chineses invadindo computadores dos EUA como o do Google.
O Google tornou-se público com a Operação Aurora em 2010. Parece que eles decidiram converter a perda em valor, mostrando esforços para proteger seus produtos. Então, em vez de perdedores, eles aparecem como líderes. Eles precisavam de esforços reais, caso contrário, teriam sido ridicularizados publicamente por aqueles que entendem.
O Google é uma empresa de Internet, por isso foi fundamental para eles reinstalar a confiança em seus usuários sobre a comunicação. O plano funcionou e outros corpos precisavam seguir ou enfrentar a migração de seus usuários para o Google.
Em 2013, o que passou a ser chamado de divulgações de vigilância global com destaque por Snowden aconteceu . As pessoas perderam a confiança no corpo.
Muitas pessoas consideraram ir independentes e usar HTTPS, o que causou a migração recente. Ele e quem ele trabalhou deram chamadas explícitas para usar a criptografia, explicando que a sobriedade exige caro.
criptografia forte * volume criticamente alto de usuários = qualidade de serviço cara.
Foi em 2013. Dito isso, mais recentemente, Snowden disse que isso provavelmente não é mais o suficiente e que você também deve gastar dinheiro com pessoas que trabalham legalmente para fortalecer seus direitos a você, para que o dinheiro dos impostos se afaste do setor de turismo de aventura.
No entanto, para o avarage Joe webmaster, o problema de longa data com HTTPS era que obter um certificado custava dinheiro. Mas você precisa de certificados para HTTPS. Foi resolvido no final de 2015, quando a versão beta do Let's Encrypt ficou disponível para o público em geral. Oferece certificados gratuitos para HTTPS automaticamente através do protocolo ACME . O ACME é um rascunho da Internet que significa para as pessoas que você pode confiar nele.
fonte
Criptografar transmissões pela Internet é mais seguro contra agentes nefastos que interceptam ou digitalizam esses dados e se inserem no meio, fazendo com que você pense que eles são a página da web real. Intercepções bem-sucedidas como essa incentivam apenas mais e outras a seguir.
Agora que é mais acessível e a tecnologia mais acessível, é mais fácil pressionar para que todos façam coisas mais seguras que nos protejam a todos. Ser mais seguro reduz os custos e despesas daqueles afetados pelas restrições de dados.
Quando o trabalho envolvido na quebra da criptografia se torna difícil e caro, ele mantém o nível de atividade baixo e restrito apenas àqueles dispostos a investir tempo e dinheiro envolvidos. Como trancas nas portas de sua casa, manterá a maioria das pessoas fora e libertará a polícia para se concentrar em atividades criminosas de nível superior.
fonte
Outra coisa que não vi mencionada, em 29 de setembro de 2014, o CloudFlare (uma CDN de proxy muito popular porque a maioria dos sites de tamanho moderado pode efetivamente usá-los gratuitamente com simples alterações no DNS), anunciou a oferta de SSL grátis para todos os sites eles proxy .
Essencialmente, qualquer pessoa que faça o proxy através deles poderia acessar o site automaticamente e imediatamente
https://
e ele simplesmente funcionaria; não são necessárias alterações nos back-ends, nada para pagar ou renovar.Para mim, pessoalmente, e para muitas outras pessoas no mesmo barco, essa é a ponta da balança para mim. Meus sites são basicamente sites pessoais / de hobby para os quais eu gostaria de usar SSL, mas não justificavam o custo e o tempo de manutenção. Frequentemente, o custo era mais sobre ter que usar um plano de hospedagem mais caro (ou começar a pagar em vez de usar opções gratuitas), em oposição ao custo do próprio certificado.
fonte