Quais eventos causaram migração em massa para HTTPS?

Por vários anos, vejo que o Google, o Facebook etc. começam a veicular (e até redirecionar para) conteúdo via HTTPS.

A veiculação de sites que solicitam senhas em HTTP não seguro estava errada, mesmo em 1999, mas considerada aceitável até em 2010.

Hoje em dia, mesmo as páginas públicas (como consultas do Bing / Google) são veiculadas via HTTPS.

Quais eventos causaram migração em massa para HTTPS? O escândalo do Wikileaks, a aplicação da lei nos EUA / UE, reduziu o custo do handshake SSL / TSL com o custo do tempo do servidor geralmente reduzido, aumentando o nível da cultura de TI em gerenciamento?

Mesmo esforços públicos como https://letsencrypt.org/ começaram há pouco tempo ...

@briantist Como também mantenho sites de hobby e estou interessado em soluções SSL / TLS baratas / sem esforço. Para o VPS (que começa em 5 $ / mês), avaliei recentemente Vamos criptografar com certbot(outros bots disponíveis) no webrootmodo de operação. Isso me fornece um certificado SAN válido por 3 meses (e está no crontrabalho - a renovação é realizada um mês antes da data de vencimento):

certbot certonly -n --expand --webroot \
        -w /srv/www/base/ -d example.com \
        -w /srv/www/blog/ -d blog.example.com

Há muitos fatores envolvidos, incluindo:

• Tecnologia de navegador e servidor para segurança com hosts virtuais. Você costumava precisar de um endereço IP dedicado por site seguro, mas esse não é mais o caso usando o SNI .
• Certificados de segurança gratuitos e de menor custo. Vamos criptografar agora emite cerca de metade de todos os certificados gratuitamente. Há dez anos, eu estava procurando US $ 300 / ano para um domínio curinga, mas agora até certificados curinga pagos podem ser tão pequenos quanto US $ 70 / ano.
• A sobrecarga do HTTPS caiu significativamente. Isso costumava exigir recursos adicionais do servidor, mas agora a sobrecarga é insignificante . É até mesmo incorporado a balanceadores de carga que podem conversar com HTTP com servidores de back-end.
• Redes de anúncios como o AdSense começaram a oferecer suporte a HTTPS. Alguns anos atrás, não era possível gerar receita com um site HTTPS com a maioria das redes de anúncios.
• Google anunciando HTTPS como um fator de classificação.
• Grandes empresas como o Facebook e o Google que se mudaram para HTTPS para tudo normalizaram a prática.
• Os navegadores estão começando a avisar que o HTTP é inseguro.

Para grandes empresas como o Google, que sempre poderiam mudar para HTTPS, acho que houve algumas coisas que as levaram a implementá-lo:

• Vazamento de dados de inteligência competitiva sobre HTTP. Acredito que o Google mudou para HTTPS em grande parte porque muitos ISPs e concorrentes estavam olhando para o que os usuários estavam pesquisando por HTTP. Manter as consultas dos mecanismos de pesquisa em sigilo foi uma grande motivação para o Google.
• Aumento de malware direcionado a sites como Google e Facebook. O HTTPS torna mais difícil o malware interceptar solicitações de navegador e injetar anúncios ou redirecionar usuários.

Há também alguns motivos pelos quais você vê HTTPS com mais frequência nos casos em que ambos funcionam:

• O Google está preferindo indexar a versão HTTPS quando a versão HTTP também funciona
• Muitas pessoas têm o plug-in de navegador HTTPS Everywhere, que automaticamente usa sites HTTPS quando disponíveis. Isso significa que esses usuários também criam novos links para sites HTTPS
• Mais sites estão redirecionando para HTTPS devido a questões de segurança e privacidade.

Até agora, as respostas falam sobre várias razões de puxar e empurrar sobre o motivo pelo qual o HTTPS está se tornando cada vez mais popular.

No entanto, existem duas chamadas importantes de alerta de 2010 e 2011 que mostraram a importância do HTTPS: Firesheep permite o seqüestro de sessões e o governo da Tunísia interceptando logins do Facebook para roubar credenciais.

O Firesheep foi um plug-in do Firefox de outubro de 2010 criado por Eric Butler, que permitia a qualquer pessoa com o plug-in instalado interceptar outras solicitações em canais Wi-Fi públicos e usar os cookies dessas solicitações para representar os usuários que as faziam. Era gratuito, fácil de usar e, acima de tudo, não precisava de conhecimento especializado. basta clicar em um botão para coletar cookies e depois em outro para iniciar uma nova sessão usando qualquer um dos cookies coletados.

Em alguns dias, os copycats com mais flexibilidade apareceram e, em semanas, muitos sites importantes começaram a oferecer suporte a HTTPS. Alguns meses depois, ocorreu um segundo evento que enviou outra onda de conscientização pela Internet.

Em dezembro de 2010, a Primavera Árabe começou na Tunísia. O governo tunisino , como muitos outros da região, tentou reprimir a revolta. Uma das maneiras pelas quais eles tentaram isso foi impedir as mídias sociais, incluindo o Facebook. Durante a revolta, ficou claro que os ISPs da Tunísia, que eram amplamente controlados pelo governo da Tunísia, estavam secretamente injetando código de coleta de senha na página de login do Facebook. O Facebook agiu rapidamente contra isso quando notou o que estava acontecendo, mudando o país inteiro para HTTPS e exigindo que os afetados confirmassem sua identidade.

Havia o que passou a ser chamado de Operação Aurora que (supostamente) eram crackers chineses invadindo computadores dos EUA como o do Google.

O Google tornou-se público com a Operação Aurora em 2010. Parece que eles decidiram converter a perda em valor, mostrando esforços para proteger seus produtos. Então, em vez de perdedores, eles aparecem como líderes. Eles precisavam de esforços reais, caso contrário, teriam sido ridicularizados publicamente por aqueles que entendem.

O Google é uma empresa de Internet, por isso foi fundamental para eles reinstalar a confiança em seus usuários sobre a comunicação. O plano funcionou e outros corpos precisavam seguir ou enfrentar a migração de seus usuários para o Google.

Em 2013, o que passou a ser chamado de divulgações de vigilância global com destaque por Snowden aconteceu . As pessoas perderam a confiança no corpo.

Muitas pessoas consideraram ir independentes e usar HTTPS, o que causou a migração recente. Ele e quem ele trabalhou deram chamadas explícitas para usar a criptografia, explicando que a sobriedade exige caro.

criptografia forte * volume criticamente alto de usuários = qualidade de serviço cara.

Foi em 2013. Dito isso, mais recentemente, Snowden disse que isso provavelmente não é mais o suficiente e que você também deve gastar dinheiro com pessoas que trabalham legalmente para fortalecer seus direitos a você, para que o dinheiro dos impostos se afaste do setor de turismo de aventura.

No entanto, para o avarage Joe webmaster, o problema de longa data com HTTPS era que obter um certificado custava dinheiro. Mas você precisa de certificados para HTTPS. Foi resolvido no final de 2015, quando a versão beta do Let's Encrypt ficou disponível para o público em geral. Oferece certificados gratuitos para HTTPS automaticamente através do protocolo ACME . O ACME é um rascunho da Internet que significa para as pessoas que você pode confiar nele.

Criptografar transmissões pela Internet é mais seguro contra agentes nefastos que interceptam ou digitalizam esses dados e se inserem no meio, fazendo com que você pense que eles são a página da web real. Intercepções bem-sucedidas como essa incentivam apenas mais e outras a seguir.

Agora que é mais acessível e a tecnologia mais acessível, é mais fácil pressionar para que todos façam coisas mais seguras que nos protejam a todos. Ser mais seguro reduz os custos e despesas daqueles afetados pelas restrições de dados.

Quando o trabalho envolvido na quebra da criptografia se torna difícil e caro, ele mantém o nível de atividade baixo e restrito apenas àqueles dispostos a investir tempo e dinheiro envolvidos. Como trancas nas portas de sua casa, manterá a maioria das pessoas fora e libertará a polícia para se concentrar em atividades criminosas de nível superior.

Outra coisa que não vi mencionada, em 29 de setembro de 2014, o CloudFlare (uma CDN de proxy muito popular porque a maioria dos sites de tamanho moderado pode efetivamente usá-los gratuitamente com simples alterações no DNS), anunciou a oferta de SSL grátis para todos os sites eles proxy .

Essencialmente, qualquer pessoa que faça o proxy através deles poderia acessar o site automaticamente e imediatamente https://e ele simplesmente funcionaria; não são necessárias alterações nos back-ends, nada para pagar ou renovar.

Para mim, pessoalmente, e para muitas outras pessoas no mesmo barco, essa é a ponta da balança para mim. Meus sites são basicamente sites pessoais / de hobby para os quais eu gostaria de usar SSL, mas não justificavam o custo e o tempo de manutenção. Frequentemente, o custo era mais sobre ter que usar um plano de hospedagem mais caro (ou começar a pagar em vez de usar opções gratuitas), em oposição ao custo do próprio certificado.