เหตุการณ์ใดที่ทำให้เกิดการย้ายถิ่นจำนวนมากไปยัง HTTPS

เป็นเวลาหลายปีที่ฉันเห็นว่า Google, Facebook และอื่น ๆ เริ่มให้บริการ (และเปลี่ยนเส้นทาง) เนื้อหาผ่าน HTTPS

การแสดงเว็บไซต์ที่ให้รหัสผ่านใน HTTP ที่ไม่ปลอดภัยนั้นผิดแม้กระทั่งในปี 1999 แต่ก็ถือว่ายอมรับได้แม้ในปี 2010

แต่ทุกวันนี้แม้แต่หน้าสาธารณะ (เช่นข้อความค้นหาจาก Bing / Google) ให้บริการผ่าน HTTPS

เหตุการณ์ใดที่ทำให้เกิดการย้ายถิ่นจำนวนมากไปยัง HTTPS เรื่องอื้อฉาว Wikileaks, การบังคับใช้กฎหมายของสหรัฐฯ / สหภาพยุโรป, ลดค่าใช้จ่ายของการจับมือ SSL / TSL ด้วยการลดค่าใช้จ่ายโดยทั่วไปของเวลาเซิร์ฟเวอร์, การเติบโตในระดับวัฒนธรรมไอทีในการจัดการ?

แม้แต่ความพยายามของสาธารณชนเช่นhttps://letsencrypt.org/ก็เริ่มเมื่อไม่นานมานี้ ...

@briantistในขณะที่ฉันยังดูแลไซต์งานอดิเรกและสนใจโซลูชัน SSL / TLS ราคาถูก / ไม่ต้องพยายาม สำหรับ VPS (ซึ่งเริ่มจาก 5 $ / เดือน) ฉันเพิ่งประเมินลองเข้ารหัสด้วยcertbot(บอทอื่น ๆ ที่มี) ในwebrootโหมดการทำงาน สิ่งนี้ให้ใบรับรอง SAN ที่ถูกต้องแก่ฉันเป็นเวลา 3 เดือน (และอยู่ในสถานะcronงาน - ต่ออายุได้หนึ่งเดือนก่อนวันหมดอายุ):

certbot certonly -n --expand --webroot \
        -w /srv/www/base/ -d example.com \
        -w /srv/www/blog/ -d blog.example.com

มีหลายปัจจัยที่เข้ามารวมถึง:

• เทคโนโลยีเบราว์เซอร์และเซิร์ฟเวอร์เพื่อความปลอดภัยด้วยโฮสต์เสมือน คุณใช้จำเป็นต้องมีที่อยู่ IP ทุ่มเทต่อเว็บไซต์ที่ปลอดภัย แต่ที่ไม่ได้อีกต่อไปกรณีใช้SNI
• ใบรับรองความปลอดภัยต้นทุนต่ำ มีแม้กระทั่งคนฟรีสำหรับบางกรณีโดเมนเดียว สิบปีที่แล้วฉันดู $ 300 / ปีสำหรับโดเมนไวด์การ์ด แต่ตอนนี้ฉันสามารถรับใบรับรองที่มีไวด์การ์ดสำหรับหลายโดเมนราคา $ 70 / ปี
• ค่าใช้จ่ายของ HTTPS ลดลงอย่างมีนัยสำคัญ จะใช้ต้องใช้ทรัพยากรเซิร์ฟเวอร์พิเศษ แต่ตอนนี้ค่าใช้จ่ายเป็นเล็กน้อย มันมักจะถูกสร้างขึ้นใน load balancer ที่สามารถพูดคุยกับ HTTP เพื่อแบ็กเอนด์เซิร์ฟเวอร์
• เครือข่ายโฆษณาเช่น AdSenseเริ่มรองรับ HTTPS ไม่กี่ปีที่ผ่านมาเป็นไปไม่ได้ที่จะสร้างรายได้จากเว็บไซต์ HTTPS กับเครือข่ายโฆษณาส่วนใหญ่
• Google ประกาศ HTTPS เป็นปัจจัยอันดับ
• บริษัท ใหญ่ ๆ อย่างFacebookและ Google ที่ย้ายมาที่ HTTPS สำหรับทุกสิ่งที่เป็นมาตรฐานในการฝึก
• เบราว์เซอร์เริ่มเตือนเกี่ยวกับ HTTP ที่ไม่ปลอดภัย

สำหรับ บริษัท ขนาดใหญ่อย่าง Google ที่สามารถเปลี่ยนมาใช้ HTTPS ได้ตลอดเวลาฉันคิดว่ามีสองสิ่งที่ผลักดันให้พวกเขานำไปใช้จริง:

• การรั่วไหลของข้อมูลการแข่งขันทางปัญญาผ่าน HTTP ฉันเชื่อว่า Google ได้ย้ายไปที่ HTTPS เป็นส่วนใหญ่เนื่องจาก ISP และคู่แข่งจำนวนมากมองสิ่งที่ผู้ใช้ค้นหาผ่าน HTTP การรักษาข้อความค้นหาของเครื่องมือค้นหาภายใต้ wraps เป็นแรงจูงใจที่ยิ่งใหญ่สำหรับ Google
• การเพิ่มขึ้นของมัลแวร์เป้าหมายเว็บไซต์เช่น Google และ Facebook HTTPS ทำให้มัลแวร์ขัดขวางการร้องขอเบราว์เซอร์และฉีดโฆษณาหรือเปลี่ยนเส้นทางผู้ใช้ได้ยากขึ้น

นอกจากนี้ยังมีสาเหตุบางอย่างที่คุณเห็น HTTPS บ่อยขึ้นในกรณีที่ทั้งสองทำงาน:

• Google ยินดีที่จะจัดทำดัชนีรุ่น HTTPS เมื่อรุ่น HTTP ใช้งานได้เช่นกัน
• หลายคนมีHTTPS ทุกที่ปลั๊กอินของเบราว์เซอร์ที่ให้พวกเขาใช้ไซต์ HTTPS โดยอัตโนมัติเมื่อมี นั่นหมายความว่าผู้ใช้เหล่านั้นยังสร้างลิงค์ใหม่ไปยังเว็บไซต์ HTTPS
• ไซต์เพิ่มเติมกำลังเปลี่ยนเส้นทางไปยัง HTTPS เนื่องจากความปลอดภัยและความเป็นส่วนตัว

คำตอบที่พูดถึงเกี่ยวกับเหตุผลการดึงและผลักดันต่างๆว่าทำไม HTTPS ถึงได้รับความนิยมมากขึ้นเรื่อย ๆ

อย่างไรก็ตามมีการโทรปลุก 2 ครั้งที่สำคัญจากรอบปี 2010 และ 2011 ที่แสดงให้เห็นว่า HTTPS มีความสำคัญอย่างไรจริง: Firesheep อนุญาตให้มีการหักหลังเซสชันและรัฐบาลตูนิเซียสกัดกั้นการลงชื่อเข้าใช้ Facebook เพื่อขโมยข้อมูลรับรอง

Firesheepเป็นปลั๊กอิน Firefox จากเดือนตุลาคม 2010 ที่สร้างขึ้นโดย Eric Butler ซึ่งอนุญาตให้ทุกคนที่ติดตั้งปลั๊กอินเพื่อสกัดกั้นคำขออื่น ๆ ในช่องสัญญาณ WiFi สาธารณะและใช้คุกกี้จากคำขอเหล่านั้นเพื่อปลอมตัวเป็นผู้ใช้ที่ทำคำขอเหล่านั้น มันฟรีใช้งานง่ายและเหนือสิ่งอื่นใดมันไม่จำเป็นต้องมีความรู้เฉพาะทาง คุณเพียงคลิกที่ปุ่มเพื่อเก็บเกี่ยวคุกกี้จากนั้นคลิกอีกครั้งเพื่อเริ่มเซสชันใหม่โดยใช้คุกกี้ที่ถูกเก็บเกี่ยว

ภายในไม่กี่วันสำเนาเลียนแบบที่มีความยืดหยุ่นมากขึ้นและภายในไม่กี่สัปดาห์ไซต์สำคัญ ๆ หลายแห่งก็เริ่มสนับสนุน HTTPS จากนั้นไม่กี่เดือนต่อมามีเหตุการณ์ที่สองเกิดขึ้นซึ่งส่งการรับรู้ระลอกใหม่ผ่านทางอินเทอร์เน็ต

ในเดือนธันวาคม 2010 ฤดูใบไม้ผลิอาหรับเริ่มขึ้นในตูนิเซีย รัฐบาลตูนิเซียเหมือนคนอื่น ๆ ในภูมิภาคพยายามที่จะปราบปรามการประท้วง หนึ่งในวิธีที่พวกเขาลองทำคือการขัดขวางสื่อโซเชียลรวมถึง Facebook ในช่วงการจลาจลเป็นที่ชัดเจนว่าผู้ให้บริการอินเทอร์เน็ตของตูนิเซียซึ่งถูกควบคุมโดยรัฐบาลตูนิเซียส่วนใหญ่ได้แอบฉีดรหัสการเก็บเกี่ยวรหัสผ่านลงในหน้าเข้าสู่ระบบ Facebook Facebook ดำเนินการกับสิ่งนี้อย่างรวดเร็วเมื่อพวกเขาสังเกตเห็นว่าเกิดอะไรขึ้นสลับประเทศทั้งหมดเป็น HTTPS และกำหนดให้ผู้ที่ได้รับผลกระทบยืนยันตัวตนของพวกเขา

มีสิ่งที่เรียกว่าOperation Auroraซึ่งเป็นที่รู้จักกันว่าแครกเกอร์จีนเจาะเข้าสู่คอมพิวเตอร์ในสหรัฐอเมริกาอย่าง Google

Google ออกสู่สาธารณะด้วย Operation Aurora ในปี 2010 ดูเหมือนว่าพวกเขาตัดสินใจที่จะแปลงการสูญเสียเป็นมูลค่าโดยแสดงความพยายามในการรักษาความปลอดภัยของผลิตภัณฑ์ ดังนั้นแทนที่จะเป็นผู้แพ้พวกเขาปรากฏตัวในฐานะผู้นำ พวกเขาต้องการความพยายามที่แท้จริงมิฉะนั้นพวกเขาจะถูกเยาะเย้ยต่อสาธารณะโดยผู้ที่เข้าใจ

Google เป็น บริษัท อินเทอร์เน็ตดังนั้นจึงเป็นเรื่องสำคัญที่พวกเขาจะติดตั้งความไว้วางใจให้กับผู้ใช้เกี่ยวกับการสื่อสาร แผนทำงานและหน่วยงานอื่น ๆ ที่จำเป็นในการติดตามหรือเผชิญกับผู้ใช้ของพวกเขาโยกย้ายไปยัง Google

ในปี 2013 สิ่งที่ถูกเรียกว่าการเปิดเผยข้อมูลการเฝ้าระวังระดับโลกโดย Snowden เกิดขึ้นอย่างชัดเจน คนสูญเสียความเชื่อมั่นในกองกำลัง

ทำให้ผู้คนจำนวนมากพิจารณาที่จะไปอินดี้และใช้ HTTPS ซึ่งทำให้เกิดการโยกย้ายครั้งล่าสุด เขาและผู้ที่เขาทำงานด้วยให้การเรียกอย่างชัดแจ้งเพื่อใช้การเข้ารหัสอธิบายว่าความอยู่รอดจำเป็นต้องมีราคาแพง

การเข้ารหัสที่แข็งแกร่ง * ผู้ใช้จำนวนมากอย่างยิ่ง = ความอยู่รอดที่มีราคาแพง

มันคือปี 2013 ที่กล่าวว่า Snowden เมื่อเร็ว ๆ นี้บอกว่านี่อาจจะไม่เพียงพออีกต่อไปและคุณควรใช้เงินกับคนที่ทำงานเพื่อเสริมสร้างสิทธิของคุณสำหรับคุณเช่นกันดังนั้นเงินภาษีจะหายไปจากอุตสาหกรรมผู้รอดชีวิต

อย่างไรก็ตามสำหรับเว็บมาสเตอร์ของ Avarage Joe ปัญหาระยะยาวของ HTTPS ก็คือการได้รับเงินจำนวนมาก แต่คุณต้องมีใบรับรองสำหรับ HTTPS มันได้รับการแก้ไขในปลายปี 2558 เมื่อLet's Encryptเบต้าพร้อมให้บริการแก่สาธารณชนทั่วไป มันทำให้คุณมีใบรับรองฟรีสำหรับ HTTPS โดยอัตโนมัติผ่านทางโปรโตคอล ACME ACME เป็นฉบับร่างทางอินเทอร์เน็ตซึ่งหมายถึงบุคคลที่คุณสามารถไว้วางใจได้

การเข้ารหัสการส่งสัญญาณทางอินเทอร์เน็ตมีความปลอดภัยมากขึ้นต่อตัวแทนที่น่ารำคาญที่ดักหรือสแกนข้อมูลนี้และแทรกตัวเองลงตรงกลางทำให้คุณคิดว่าเป็นหน้าเว็บจริง การสกัดกั้นที่ประสบความสำเร็จเช่นนี้เป็นเพียงการสนับสนุนให้ผู้อื่นติดตาม

ตอนนี้มันมีราคาไม่แพงมากและเทคโนโลยีเข้าถึงได้ง่ายขึ้นมันง่ายต่อการผลักดันให้ทุกคนทำสิ่งที่ปลอดภัยมากขึ้นที่ปกป้องเราทุกคน การมีความปลอดภัยมากขึ้นจะช่วยลดต้นทุนและค่าใช้จ่ายของผู้ที่ได้รับผลกระทบจากดาต้าเบส

เมื่องานที่เกี่ยวข้องในการทำลายการเข้ารหัสกลายเป็นเรื่องยากและมีราคาแพงมันจะทำให้ระดับของกิจกรรมลงและ จำกัด เฉพาะกับผู้ที่เต็มใจที่จะลงทุนเวลาและเงินที่เกี่ยวข้อง เหมือนล็อคประตูบ้านของคุณมันจะทำให้คนส่วนใหญ่ออกมาและปล่อยให้ตำรวจมีสมาธิกับกิจกรรมทางอาญาในระดับที่สูงขึ้น

อีกสิ่งหนึ่งที่ฉันไม่เห็นเมื่อวันที่ 29 ก.ย. 2014 CloudFlare (CDN พร็อกซี่ที่นิยมมากเพราะเว็บไซต์ขนาดกลางส่วนใหญ่สามารถใช้งานได้อย่างมีประสิทธิภาพฟรีเมื่อมีการเปลี่ยนแปลง DNS อย่างง่าย) ประกาศข้อเสนอ SSL ฟรีสำหรับทุกไซต์ พวกเขาพร็อกซี่

โดยพื้นฐานแล้วทุกคนที่พร็อกซี่สามารถเข้าถึงไซต์ของพวกเขาได้โดยอัตโนมัติและทันทีhttps://และมันก็ใช้งานได้ ไม่มีการเปลี่ยนแปลงที่จำเป็นในแบ็กเอนด์ไม่มีอะไรต้องจ่ายสำหรับหรือต่ออายุ

สำหรับฉันเป็นการส่วนตัวและสำหรับคนอื่น ๆ ในเรือลำเดียวกันนี่เป็นมาตราส่วนสำหรับฉัน ไซต์ของฉันนั้นเป็นไซต์ส่วนตัว / งานอดิเรกโดยทั่วไปที่ฉันต้องการใช้ SSL สำหรับ แต่ไม่สามารถพิสูจน์ค่าใช้จ่ายและเวลาในการบำรุงรักษาได้ บ่อยครั้งที่ค่าใช้จ่ายเพิ่มเติมเกี่ยวกับการใช้แผนโฮสติ้งราคาแพงกว่า (หรือเริ่มจ่ายแทนการใช้ตัวเลือกฟรี) ซึ่งตรงข้ามกับค่าใช้จ่ายของใบรับรองเอง