Peristiwa apa yang menyebabkan migrasi massal ke HTTPS?


40

Selama beberapa tahun saya melihat bahwa Google, Facebook, dll mulai menyajikan (dan bahkan mengarahkan ulang) konten melalui HTTPS.

Melayani situs yang meminta kata sandi dalam HTTP yang tidak aman itu salah bahkan pada tahun 1999 tetapi dianggap dapat diterima bahkan pada tahun 2010.

Tetapi saat ini bahkan halaman publik (seperti pertanyaan dari Bing / Google) dilayani melalui HTTPS.

Peristiwa apa yang menyebabkan migrasi massal ke HTTPS? Skandal Wikileaks, penegakan hukum AS / UE, mengurangi biaya jabat tangan SSL / TSL dengan biaya waktu server yang umumnya turun, tumbuh tingkat budaya TI dalam manajemen?

Bahkan upaya publik seperti https://letsencrypt.org/ dimulai belum lama ini ...

@ Briantist Karena saya juga memelihara situs hobi dan tertarik pada solusi SSL / TLS yang murah / mudah. Untuk VPS (yang dimulai dari $ 5 / bulan) saya baru-baru ini mengevaluasi Mari mengenkripsi dengan certbot(bot lain tersedia) dalam webrootmode operasi. Ini memberi saya sertifikat SAN yang valid selama 3 bulan (dan sedang dalam cronpekerjaan - pembaruan dilakukan sebulan sebelum tanggal kedaluwarsa):

certbot certonly -n --expand --webroot \
        -w /srv/www/base/ -d example.com \
        -w /srv/www/blog/ -d blog.example.com

2
Ini adalah pertanyaan yang cukup luas, berdasarkan opini yang kemungkinan akan mengarah ke daftar faktor yang berbeda, versus satu faktor definitif, sehingga dikonversi menjadi Wiki Komunitas sehingga orang lain dapat dengan mudah mengedit dan berkontribusi.
dan

6
"Internet" lebih aman bagi pengguna akhir jika semuanya SSL.
DocRoot

3
Apakah ini benar-benar migrasi massal? Seperti yang Anda catat dalam pertanyaan, prosesnya telah lama. Mungkinkah kita baru saja melihat bagian paling curam dari kurva pertumbuhan logistik? Jika prosesnya benar-benar dipercepat baru-baru ini, saya akan mengaitkannya dengan Snowden.
kasperd

6
Inilah yang akhirnya melakukannya untuk kita , tidak ada yang mau merah cerah "tidak aman" di situs e-commerce ..
user2070057

3
letsencrypt dimulai pada 2012. diumumkan 2014, beta publik akhir 2015, publik 2016.
n611x007

Jawaban:


48

Ada banyak faktor yang masuk ke dalamnya termasuk:

  • Browser dan teknologi server untuk keamanan dengan host virtual. Anda dulu memerlukan alamat IP khusus untuk setiap situs yang aman, tetapi bukan itu masalahnya lagi menggunakan SNI .
  • Biaya lebih rendah dan sertifikat keamanan gratis. Mari Enkripsi sekarang mengeluarkan sekitar setengah dari semua sertifikat gratis. Sepuluh tahun yang lalu saya mencari $ 300 / tahun untuk domain wildcard, tetapi sekarang bahkan sertifikat wildcard yang dibayar bisa hanya $ 70 / tahun.
  • Overhead HTTPS turun secara signifikan. Dulu membutuhkan sumber daya server tambahan, tetapi sekarang biaya overhead diabaikan . Bahkan sering dibangun ke load balancers yang dapat berbicara HTTP ke server backend.
  • Jaringan iklan seperti AdSense mulai mendukung HTTPS. Beberapa tahun yang lalu, tidak mungkin untuk menghasilkan uang situs web HTTPS dengan sebagian besar jaringan iklan.
  • Google mengumumkan HTTPS sebagai faktor peringkat.
  • Perusahaan besar seperti Facebook dan Google yang pindah ke HTTPS untuk semuanya menormalkan praktik tersebut.
  • Browser mulai memperingatkan tentang HTTP menjadi tidak aman.

Untuk perusahaan besar seperti Google yang selalu mampu untuk pindah ke HTTPS saya pikir ada beberapa hal yang mendorong mereka untuk menerapkannya:

  • Bocornya data intelijen kompetitif melalui HTTP. Saya percaya bahwa Google pindah ke HTTPS sebagian besar karena begitu banyak ISP dan pesaing mencari apa yang dicari pengguna melalui HTTP. Menjaga agar permintaan mesin pencari tetap tersembunyi adalah motivasi besar bagi Google.
  • Bangkitnya situs penargetan malware seperti Google dan Facebook. HTTPS mempersulit malware untuk mencegat permintaan browser dan menyuntikkan iklan atau mengarahkan ulang pengguna.

Ada juga beberapa alasan mengapa Anda lebih sering melihat HTTPS jika keduanya bekerja:

  • Google lebih memilih untuk mengindeks versi HTTPS ketika versi HTTP juga berfungsi
  • Banyak orang memiliki HTTPS Everywhere plugin yang secara otomatis meminta mereka menggunakan situs HTTPS ketika tersedia. Itu berarti bahwa para pengguna juga membuat tautan baru ke situs HTTPS
  • Lebih banyak situs mengalihkan ke HTTPS karena masalah keamanan dan privasi.


7
Jangan lupa HTTP / 2, yang saat ini hanya diterapkan untuk HTTPS, juga jangan lupa bahwa Google memberi peringkat situs HTTPS (sedikit) lebih tinggi dari situs HTTP ...
wb9688

Saya menyarankan agar perubahan. Saya pikir itu adalah masalah privasi, yang sekarang dapat diperbaiki karena kemajuan teknis. Saya tidak berpikir orang TLS karena 'mereka bisa sekarang'. :)
Martijn

1
Selalu ada masalah privasi dan semua orang selalu mengetahuinya. Ya, privasi menjadi perhatian utama beberapa perusahaan besar, tetapi bagi sebagian besar situs web yang lebih kecil, kemudahan dan biaya adalah faktor yang lebih besar. Saya mengatakan itu dari pengalaman pribadi. Saya selalu ingin mengamankan situs web pribadi saya, tetapi baru-baru ini menjadi murah dan cukup mudah.
Stephen Ostermiller

2
Anda salah mengeja biaya overhead 1% .
Michael Hampton

18

Jawaban sejauh ini berbicara tentang berbagai alasan tarik dan dorong mengapa HTTPS menjadi semakin populer.

Namun, ada 2 panggilan bangun utama dari sekitar 2010 dan 2011 yang menunjukkan betapa pentingnya HTTPS sebenarnya: Firesheep memungkinkan pembajakan sesi, dan pemerintah Tunisia mencegat login Facebook untuk mencuri kredensial.

Firesheep adalah plugin Firefox dari Oktober 2010 yang dibuat oleh Eric Butler, yang memungkinkan siapa saja dengan plugin yang diinstal untuk mencegat permintaan lain pada saluran WiFi publik dan menggunakan cookie dari permintaan tersebut untuk menyamar sebagai pengguna yang membuat permintaan tersebut. Itu gratis, mudah digunakan dan di atas semua itu, tidak perlu pengetahuan khusus. Anda cukup mengklik tombol untuk memanen cookie, dan lalu yang lain untuk memulai sesi baru menggunakan cookie yang dipanen.

Dalam beberapa hari, peniru dengan lebih banyak fleksibilitas muncul, dan dalam beberapa minggu, banyak situs utama mulai mendukung HTTPS. Kemudian beberapa bulan kemudian, peristiwa kedua terjadi yang mengirimkan gelombang kesadaran lain melalui Internet.

Pada Desember 2010, Musim Semi Arab dimulai di Tunisia. The Pemerintah Tunisia , seperti banyak orang lain di wilayah ini, mencoba untuk menekan pemberontakan. Salah satu cara mereka mencoba ini adalah dengan menghalangi Media Sosial, termasuk Facebook. Selama pemberontakan, menjadi jelas bahwa ISP Tunisia, yang sebagian besar dikendalikan oleh pemerintah Tunisia, diam-diam menyuntikkan kode pemanenan kata sandi ke halaman login Facebook. Facebook dengan cepat bertindak menentang hal ini begitu mereka memperhatikan apa yang terjadi, mengalihkan seluruh negara ke HTTPS dan meminta mereka yang terkena dampak untuk mengonfirmasi identitas mereka.


Saya menduga Firesheep yang harus 2010, atau Arab Spring harus 2011. Jika tidak, "beberapa bulan kemudian" sedikit tidak masuk akal.
Chris Hayes

@ChrisHayes oops, Firesheep 2010, bukan 2011. Tetap. Juga, kami tidak tahu tentang Pemerintah Tunisia mencuri kredensial Facebook hingga Januari 2011.
Nzall

11

Ada yang kemudian disebut Operasi Aurora yang (diduga) adalah cracker Cina yang membobol komputer AS seperti Google.

Google go public dengan Operation Aurora pada tahun 2010. Tampaknya mereka memutuskan untuk mengubah kerugian menjadi nilai dengan menunjukkan upaya mengamankan produk mereka. Jadi alih-alih yang kalah mereka tampil sebagai pemimpin. Mereka membutuhkan upaya nyata jika tidak mereka akan diejek secara terbuka oleh mereka yang mengerti.

Google adalah perusahaan internet sehingga sangat penting bagi mereka untuk menginstal kembali kepercayaan pada pengguna mereka tentang komunikasi. Rencana tersebut berhasil dan korps lain yang diperlukan untuk mengikuti atau menghadapi penggunanya bermigrasi ke google.

Pada 2013 apa yang kemudian disebut pengungkapan pengawasan global yang mencolok oleh Snowden terjadi . Orang-orang kehilangan kepercayaan pada korps.

Membuat banyak orang mempertimbangkan untuk masuk indie dan menggunakan HTTPS yang kemudian menyebabkan migrasi baru-baru ini. Dia dan siapa dia bekerja dengan memberikan panggilan eksplisit untuk menggunakan enkripsi menjelaskan bahwa survellience harus mahal.

enkripsi yang kuat * volume pengguna sangat tinggi = pengalaman yang mahal.

Itu tahun 2013. Yang mengatakan, baru-baru ini Snowden mengatakan bahwa ini mungkin tidak cukup lagi dan Anda harus menghabiskan uang untuk orang-orang yang bekerja untuk memperkuat hak Anda secara legal juga, sehingga uang pajak hilang dari industri survellience.

Namun demikian untuk webmaster Joe rata-rata masalah lama dengan HTTPS adalah bahwa mendapatkan sertifikat memerlukan biaya. Tetapi Anda membutuhkan sertifikat untuk HTTPS. Itu diselesaikan pada akhir 2015 ketika Let's Encrypt beta tersedia untuk masyarakat umum. Ini memberi Anda sertifikat gratis untuk HTTPS secara otomatis melalui protokol ACME . ACME adalah konsep Internet yang berarti bagi orang-orang yang dapat Anda andalkan.


5

Mengenkripsi transmisi melalui internet lebih aman terhadap agen jahat yang mencegat atau memindai data ini dan memasukkan diri mereka di tengah, membuat Anda berpikir bahwa mereka adalah halaman web yang sebenarnya. Penyadapan yang berhasil seperti ini hanya mendorong lebih banyak orang dan yang lain untuk mengikuti.

Sekarang karena lebih terjangkau, dan teknologinya lebih mudah diakses, lebih mudah mendorong semua orang untuk melakukan hal-hal yang lebih aman yang melindungi kita semua. Menjadi lebih aman mengurangi biaya dan pengeluaran mereka yang terkena dampak pelanggaran data.

Ketika pekerjaan yang terlibat dalam memecahkan enkripsi menjadi sulit dan mahal, itu akan membuat tingkat aktivitas turun dan hanya terbatas pada mereka yang mau menginvestasikan waktu dan uang yang terlibat. Seperti kunci pada pintu rumah Anda, itu akan membuat sebagian besar orang keluar dan membebaskan polisi untuk berkonsentrasi pada kegiatan kriminal tingkat yang lebih tinggi.


4

Satu hal lain yang tidak saya lihat disebutkan, pada 29 Sep 2014, CloudFlare (CDN proxy yang sangat populer karena sebagian besar situs berukuran sedang dapat menggunakannya secara efektif secara gratis dengan perubahan DNS sederhana), mengumumkan penawaran SSL gratis untuk semua situs mereka proksi .

Pada dasarnya, siapa pun yang melakukan proxy melalui mereka dapat secara otomatis dan langsung mengunjungi situs mereka https://dan itu hanya berfungsi; tidak diperlukan perubahan pada backend, tidak ada yang membayar atau memperbarui.

Bagi saya pribadi dan bagi banyak orang di kapal yang sama, ini adalah skala bagi saya. Situs saya pada dasarnya adalah situs pribadi / hobi yang saya ingin gunakan untuk SSL, tetapi tidak dapat membenarkan biaya dan waktu perawatan. Seringkali biayanya lebih karena harus menggunakan paket hosting yang lebih mahal (atau mulai membayar daripada menggunakan opsi gratis) sebagai lawan dari biaya sertifikasi itu sendiri.


Lihat pembaruan saya untuk pertanyaan. Detail tersedia di Pengaturan Saya Enkripsi di Lighttpd blog post blog.defun.work/post-72b3f008-e28e-11e6-bad9-485b39c42d0f.html
gavenkoa

@gavenkoa itu keren, tetapi jika saya pada titik di mana saya memiliki VPS dan saya memelihara OS, itu sudah jauh melampaui jumlah upaya yang ingin saya keluarkan (hari ini, maksud saya; saya dulu menjalankan host web). Pada saat itu, saya tidak akan memiliki masalah bahkan jika saya secara manual memperbarui sertifikat (meskipun saya tentu tidak akan melakukannya jika saya tidak perlu). Saya biasanya akan menggunakan shared hosting saat ini, atau dalam hal situs saya saat ini, halaman github diproksi melalui CloudFlare. Tapi ya certbot tampak hebat jika Anda sudah memiliki lingkungan di mana Anda bisa menjalankannya.
briantis

Saya telah membaca artikel lama scotthelme.co.uk/tls-conundrum-and-leaving-cloudflare Tidak tahu apakah mereka masih mengizinkan serangan man-in-the-middle untuk penawaran hari ini tetapi perlindungan SSL mereka memiliki masalah di masa lalu ( mohon 2014) ...
gavenkoa

Dan untuk sub domain github mereka mendukung HTTPS: github.com/blog/2186-https-for-github-pages (Agt 2016).
gavenkoa

1
@gavenkoa Saya mengetahui masalah tersebut, meskipun CF cukup terbuka tentang opsi konfigurasi dan apa artinya; jika seseorang ingin menggunakannya, ia juga harus mengetahui detailnya. Saya tidak akan menyebut mereka masalah, tetapi dalam hal apa pun itu sedikit di luar cakupan pertanyaan ini. Penawaran mereka adalah sekali klik (sering) tanpa upaya, gratis cara untuk beralih situs ke https, sehingga bahkan dengan konfigurasi http dari CF ke backend Anda, untuk browser dan mesin pencari terlihat sama dan saya percaya itu adalah sumber besar konversi situs kecil.
briantis
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.