Selama beberapa tahun saya melihat bahwa Google, Facebook, dll mulai menyajikan (dan bahkan mengarahkan ulang) konten melalui HTTPS.
Melayani situs yang meminta kata sandi dalam HTTP yang tidak aman itu salah bahkan pada tahun 1999 tetapi dianggap dapat diterima bahkan pada tahun 2010.
Tetapi saat ini bahkan halaman publik (seperti pertanyaan dari Bing / Google) dilayani melalui HTTPS.
Peristiwa apa yang menyebabkan migrasi massal ke HTTPS? Skandal Wikileaks, penegakan hukum AS / UE, mengurangi biaya jabat tangan SSL / TSL dengan biaya waktu server yang umumnya turun, tumbuh tingkat budaya TI dalam manajemen?
Bahkan upaya publik seperti https://letsencrypt.org/ dimulai belum lama ini ...
@ Briantist Karena saya juga memelihara situs hobi dan tertarik pada solusi SSL / TLS yang murah / mudah. Untuk VPS (yang dimulai dari $ 5 / bulan) saya baru-baru ini mengevaluasi Mari mengenkripsi dengan certbot
(bot lain tersedia) dalam webroot
mode operasi. Ini memberi saya sertifikat SAN yang valid selama 3 bulan (dan sedang dalam cron
pekerjaan - pembaruan dilakukan sebulan sebelum tanggal kedaluwarsa):
certbot certonly -n --expand --webroot \
-w /srv/www/base/ -d example.com \
-w /srv/www/blog/ -d blog.example.com
Jawaban:
Ada banyak faktor yang masuk ke dalamnya termasuk:
Untuk perusahaan besar seperti Google yang selalu mampu untuk pindah ke HTTPS saya pikir ada beberapa hal yang mendorong mereka untuk menerapkannya:
Ada juga beberapa alasan mengapa Anda lebih sering melihat HTTPS jika keduanya bekerja:
sumber
Jawaban sejauh ini berbicara tentang berbagai alasan tarik dan dorong mengapa HTTPS menjadi semakin populer.
Namun, ada 2 panggilan bangun utama dari sekitar 2010 dan 2011 yang menunjukkan betapa pentingnya HTTPS sebenarnya: Firesheep memungkinkan pembajakan sesi, dan pemerintah Tunisia mencegat login Facebook untuk mencuri kredensial.
Firesheep adalah plugin Firefox dari Oktober 2010 yang dibuat oleh Eric Butler, yang memungkinkan siapa saja dengan plugin yang diinstal untuk mencegat permintaan lain pada saluran WiFi publik dan menggunakan cookie dari permintaan tersebut untuk menyamar sebagai pengguna yang membuat permintaan tersebut. Itu gratis, mudah digunakan dan di atas semua itu, tidak perlu pengetahuan khusus. Anda cukup mengklik tombol untuk memanen cookie, dan lalu yang lain untuk memulai sesi baru menggunakan cookie yang dipanen.
Dalam beberapa hari, peniru dengan lebih banyak fleksibilitas muncul, dan dalam beberapa minggu, banyak situs utama mulai mendukung HTTPS. Kemudian beberapa bulan kemudian, peristiwa kedua terjadi yang mengirimkan gelombang kesadaran lain melalui Internet.
Pada Desember 2010, Musim Semi Arab dimulai di Tunisia. The Pemerintah Tunisia , seperti banyak orang lain di wilayah ini, mencoba untuk menekan pemberontakan. Salah satu cara mereka mencoba ini adalah dengan menghalangi Media Sosial, termasuk Facebook. Selama pemberontakan, menjadi jelas bahwa ISP Tunisia, yang sebagian besar dikendalikan oleh pemerintah Tunisia, diam-diam menyuntikkan kode pemanenan kata sandi ke halaman login Facebook. Facebook dengan cepat bertindak menentang hal ini begitu mereka memperhatikan apa yang terjadi, mengalihkan seluruh negara ke HTTPS dan meminta mereka yang terkena dampak untuk mengonfirmasi identitas mereka.
sumber
Ada yang kemudian disebut Operasi Aurora yang (diduga) adalah cracker Cina yang membobol komputer AS seperti Google.
Google go public dengan Operation Aurora pada tahun 2010. Tampaknya mereka memutuskan untuk mengubah kerugian menjadi nilai dengan menunjukkan upaya mengamankan produk mereka. Jadi alih-alih yang kalah mereka tampil sebagai pemimpin. Mereka membutuhkan upaya nyata jika tidak mereka akan diejek secara terbuka oleh mereka yang mengerti.
Google adalah perusahaan internet sehingga sangat penting bagi mereka untuk menginstal kembali kepercayaan pada pengguna mereka tentang komunikasi. Rencana tersebut berhasil dan korps lain yang diperlukan untuk mengikuti atau menghadapi penggunanya bermigrasi ke google.
Pada 2013 apa yang kemudian disebut pengungkapan pengawasan global yang mencolok oleh Snowden terjadi . Orang-orang kehilangan kepercayaan pada korps.
Membuat banyak orang mempertimbangkan untuk masuk indie dan menggunakan HTTPS yang kemudian menyebabkan migrasi baru-baru ini. Dia dan siapa dia bekerja dengan memberikan panggilan eksplisit untuk menggunakan enkripsi menjelaskan bahwa survellience harus mahal.
enkripsi yang kuat * volume pengguna sangat tinggi = pengalaman yang mahal.
Itu tahun 2013. Yang mengatakan, baru-baru ini Snowden mengatakan bahwa ini mungkin tidak cukup lagi dan Anda harus menghabiskan uang untuk orang-orang yang bekerja untuk memperkuat hak Anda secara legal juga, sehingga uang pajak hilang dari industri survellience.
Namun demikian untuk webmaster Joe rata-rata masalah lama dengan HTTPS adalah bahwa mendapatkan sertifikat memerlukan biaya. Tetapi Anda membutuhkan sertifikat untuk HTTPS. Itu diselesaikan pada akhir 2015 ketika Let's Encrypt beta tersedia untuk masyarakat umum. Ini memberi Anda sertifikat gratis untuk HTTPS secara otomatis melalui protokol ACME . ACME adalah konsep Internet yang berarti bagi orang-orang yang dapat Anda andalkan.
sumber
Mengenkripsi transmisi melalui internet lebih aman terhadap agen jahat yang mencegat atau memindai data ini dan memasukkan diri mereka di tengah, membuat Anda berpikir bahwa mereka adalah halaman web yang sebenarnya. Penyadapan yang berhasil seperti ini hanya mendorong lebih banyak orang dan yang lain untuk mengikuti.
Sekarang karena lebih terjangkau, dan teknologinya lebih mudah diakses, lebih mudah mendorong semua orang untuk melakukan hal-hal yang lebih aman yang melindungi kita semua. Menjadi lebih aman mengurangi biaya dan pengeluaran mereka yang terkena dampak pelanggaran data.
Ketika pekerjaan yang terlibat dalam memecahkan enkripsi menjadi sulit dan mahal, itu akan membuat tingkat aktivitas turun dan hanya terbatas pada mereka yang mau menginvestasikan waktu dan uang yang terlibat. Seperti kunci pada pintu rumah Anda, itu akan membuat sebagian besar orang keluar dan membebaskan polisi untuk berkonsentrasi pada kegiatan kriminal tingkat yang lebih tinggi.
sumber
Satu hal lain yang tidak saya lihat disebutkan, pada 29 Sep 2014, CloudFlare (CDN proxy yang sangat populer karena sebagian besar situs berukuran sedang dapat menggunakannya secara efektif secara gratis dengan perubahan DNS sederhana), mengumumkan penawaran SSL gratis untuk semua situs mereka proksi .
Pada dasarnya, siapa pun yang melakukan proxy melalui mereka dapat secara otomatis dan langsung mengunjungi situs mereka
https://
dan itu hanya berfungsi; tidak diperlukan perubahan pada backend, tidak ada yang membayar atau memperbarui.Bagi saya pribadi dan bagi banyak orang di kapal yang sama, ini adalah skala bagi saya. Situs saya pada dasarnya adalah situs pribadi / hobi yang saya ingin gunakan untuk SSL, tetapi tidak dapat membenarkan biaya dan waktu perawatan. Seringkali biayanya lebih karena harus menggunakan paket hosting yang lebih mahal (atau mulai membayar daripada menggunakan opsi gratis) sebagai lawan dari biaya sertifikasi itu sendiri.
sumber