Peristiwa apa yang menyebabkan migrasi massal ke HTTPS?

Selama beberapa tahun saya melihat bahwa Google, Facebook, dll mulai menyajikan (dan bahkan mengarahkan ulang) konten melalui HTTPS.

Melayani situs yang meminta kata sandi dalam HTTP yang tidak aman itu salah bahkan pada tahun 1999 tetapi dianggap dapat diterima bahkan pada tahun 2010.

Tetapi saat ini bahkan halaman publik (seperti pertanyaan dari Bing / Google) dilayani melalui HTTPS.

Peristiwa apa yang menyebabkan migrasi massal ke HTTPS? Skandal Wikileaks, penegakan hukum AS / UE, mengurangi biaya jabat tangan SSL / TSL dengan biaya waktu server yang umumnya turun, tumbuh tingkat budaya TI dalam manajemen?

Bahkan upaya publik seperti https://letsencrypt.org/ dimulai belum lama ini ...

@ Briantist Karena saya juga memelihara situs hobi dan tertarik pada solusi SSL / TLS yang murah / mudah. Untuk VPS (yang dimulai dari $ 5 / bulan) saya baru-baru ini mengevaluasi Mari mengenkripsi dengan certbot(bot lain tersedia) dalam webrootmode operasi. Ini memberi saya sertifikat SAN yang valid selama 3 bulan (dan sedang dalam cronpekerjaan - pembaruan dilakukan sebulan sebelum tanggal kedaluwarsa):

certbot certonly -n --expand --webroot \
        -w /srv/www/base/ -d example.com \
        -w /srv/www/blog/ -d blog.example.com

Ada banyak faktor yang masuk ke dalamnya termasuk:

• Browser dan teknologi server untuk keamanan dengan host virtual. Anda dulu memerlukan alamat IP khusus untuk setiap situs yang aman, tetapi bukan itu masalahnya lagi menggunakan SNI .
• Biaya lebih rendah dan sertifikat keamanan gratis. Mari Enkripsi sekarang mengeluarkan sekitar setengah dari semua sertifikat gratis. Sepuluh tahun yang lalu saya mencari $ 300 / tahun untuk domain wildcard, tetapi sekarang bahkan sertifikat wildcard yang dibayar bisa hanya $ 70 / tahun.
• Overhead HTTPS turun secara signifikan. Dulu membutuhkan sumber daya server tambahan, tetapi sekarang biaya overhead diabaikan . Bahkan sering dibangun ke load balancers yang dapat berbicara HTTP ke server backend.
• Jaringan iklan seperti AdSense mulai mendukung HTTPS. Beberapa tahun yang lalu, tidak mungkin untuk menghasilkan uang situs web HTTPS dengan sebagian besar jaringan iklan.
• Google mengumumkan HTTPS sebagai faktor peringkat.
• Perusahaan besar seperti Facebook dan Google yang pindah ke HTTPS untuk semuanya menormalkan praktik tersebut.
• Browser mulai memperingatkan tentang HTTP menjadi tidak aman.

Untuk perusahaan besar seperti Google yang selalu mampu untuk pindah ke HTTPS saya pikir ada beberapa hal yang mendorong mereka untuk menerapkannya:

• Bocornya data intelijen kompetitif melalui HTTP. Saya percaya bahwa Google pindah ke HTTPS sebagian besar karena begitu banyak ISP dan pesaing mencari apa yang dicari pengguna melalui HTTP. Menjaga agar permintaan mesin pencari tetap tersembunyi adalah motivasi besar bagi Google.
• Bangkitnya situs penargetan malware seperti Google dan Facebook. HTTPS mempersulit malware untuk mencegat permintaan browser dan menyuntikkan iklan atau mengarahkan ulang pengguna.

Ada juga beberapa alasan mengapa Anda lebih sering melihat HTTPS jika keduanya bekerja:

• Google lebih memilih untuk mengindeks versi HTTPS ketika versi HTTP juga berfungsi
• Banyak orang memiliki HTTPS Everywhere plugin yang secara otomatis meminta mereka menggunakan situs HTTPS ketika tersedia. Itu berarti bahwa para pengguna juga membuat tautan baru ke situs HTTPS
• Lebih banyak situs mengalihkan ke HTTPS karena masalah keamanan dan privasi.

Jawaban sejauh ini berbicara tentang berbagai alasan tarik dan dorong mengapa HTTPS menjadi semakin populer.

Namun, ada 2 panggilan bangun utama dari sekitar 2010 dan 2011 yang menunjukkan betapa pentingnya HTTPS sebenarnya: Firesheep memungkinkan pembajakan sesi, dan pemerintah Tunisia mencegat login Facebook untuk mencuri kredensial.

Firesheep adalah plugin Firefox dari Oktober 2010 yang dibuat oleh Eric Butler, yang memungkinkan siapa saja dengan plugin yang diinstal untuk mencegat permintaan lain pada saluran WiFi publik dan menggunakan cookie dari permintaan tersebut untuk menyamar sebagai pengguna yang membuat permintaan tersebut. Itu gratis, mudah digunakan dan di atas semua itu, tidak perlu pengetahuan khusus. Anda cukup mengklik tombol untuk memanen cookie, dan lalu yang lain untuk memulai sesi baru menggunakan cookie yang dipanen.

Dalam beberapa hari, peniru dengan lebih banyak fleksibilitas muncul, dan dalam beberapa minggu, banyak situs utama mulai mendukung HTTPS. Kemudian beberapa bulan kemudian, peristiwa kedua terjadi yang mengirimkan gelombang kesadaran lain melalui Internet.

Pada Desember 2010, Musim Semi Arab dimulai di Tunisia. The Pemerintah Tunisia , seperti banyak orang lain di wilayah ini, mencoba untuk menekan pemberontakan. Salah satu cara mereka mencoba ini adalah dengan menghalangi Media Sosial, termasuk Facebook. Selama pemberontakan, menjadi jelas bahwa ISP Tunisia, yang sebagian besar dikendalikan oleh pemerintah Tunisia, diam-diam menyuntikkan kode pemanenan kata sandi ke halaman login Facebook. Facebook dengan cepat bertindak menentang hal ini begitu mereka memperhatikan apa yang terjadi, mengalihkan seluruh negara ke HTTPS dan meminta mereka yang terkena dampak untuk mengonfirmasi identitas mereka.

Ada yang kemudian disebut Operasi Aurora yang (diduga) adalah cracker Cina yang membobol komputer AS seperti Google.

Google go public dengan Operation Aurora pada tahun 2010. Tampaknya mereka memutuskan untuk mengubah kerugian menjadi nilai dengan menunjukkan upaya mengamankan produk mereka. Jadi alih-alih yang kalah mereka tampil sebagai pemimpin. Mereka membutuhkan upaya nyata jika tidak mereka akan diejek secara terbuka oleh mereka yang mengerti.

Google adalah perusahaan internet sehingga sangat penting bagi mereka untuk menginstal kembali kepercayaan pada pengguna mereka tentang komunikasi. Rencana tersebut berhasil dan korps lain yang diperlukan untuk mengikuti atau menghadapi penggunanya bermigrasi ke google.

Pada 2013 apa yang kemudian disebut pengungkapan pengawasan global yang mencolok oleh Snowden terjadi . Orang-orang kehilangan kepercayaan pada korps.

Membuat banyak orang mempertimbangkan untuk masuk indie dan menggunakan HTTPS yang kemudian menyebabkan migrasi baru-baru ini. Dia dan siapa dia bekerja dengan memberikan panggilan eksplisit untuk menggunakan enkripsi menjelaskan bahwa survellience harus mahal.

enkripsi yang kuat * volume pengguna sangat tinggi = pengalaman yang mahal.

Itu tahun 2013. Yang mengatakan, baru-baru ini Snowden mengatakan bahwa ini mungkin tidak cukup lagi dan Anda harus menghabiskan uang untuk orang-orang yang bekerja untuk memperkuat hak Anda secara legal juga, sehingga uang pajak hilang dari industri survellience.

Namun demikian untuk webmaster Joe rata-rata masalah lama dengan HTTPS adalah bahwa mendapatkan sertifikat memerlukan biaya. Tetapi Anda membutuhkan sertifikat untuk HTTPS. Itu diselesaikan pada akhir 2015 ketika Let's Encrypt beta tersedia untuk masyarakat umum. Ini memberi Anda sertifikat gratis untuk HTTPS secara otomatis melalui protokol ACME . ACME adalah konsep Internet yang berarti bagi orang-orang yang dapat Anda andalkan.

Mengenkripsi transmisi melalui internet lebih aman terhadap agen jahat yang mencegat atau memindai data ini dan memasukkan diri mereka di tengah, membuat Anda berpikir bahwa mereka adalah halaman web yang sebenarnya. Penyadapan yang berhasil seperti ini hanya mendorong lebih banyak orang dan yang lain untuk mengikuti.

Sekarang karena lebih terjangkau, dan teknologinya lebih mudah diakses, lebih mudah mendorong semua orang untuk melakukan hal-hal yang lebih aman yang melindungi kita semua. Menjadi lebih aman mengurangi biaya dan pengeluaran mereka yang terkena dampak pelanggaran data.

Ketika pekerjaan yang terlibat dalam memecahkan enkripsi menjadi sulit dan mahal, itu akan membuat tingkat aktivitas turun dan hanya terbatas pada mereka yang mau menginvestasikan waktu dan uang yang terlibat. Seperti kunci pada pintu rumah Anda, itu akan membuat sebagian besar orang keluar dan membebaskan polisi untuk berkonsentrasi pada kegiatan kriminal tingkat yang lebih tinggi.

Satu hal lain yang tidak saya lihat disebutkan, pada 29 Sep 2014, CloudFlare (CDN proxy yang sangat populer karena sebagian besar situs berukuran sedang dapat menggunakannya secara efektif secara gratis dengan perubahan DNS sederhana), mengumumkan penawaran SSL gratis untuk semua situs mereka proksi .

Pada dasarnya, siapa pun yang melakukan proxy melalui mereka dapat secara otomatis dan langsung mengunjungi situs mereka https://dan itu hanya berfungsi; tidak diperlukan perubahan pada backend, tidak ada yang membayar atau memperbarui.

Bagi saya pribadi dan bagi banyak orang di kapal yang sama, ini adalah skala bagi saya. Situs saya pada dasarnya adalah situs pribadi / hobi yang saya ingin gunakan untuk SSL, tetapi tidak dapat membenarkan biaya dan waktu perawatan. Seringkali biayanya lebih karena harus menggunakan paket hosting yang lebih mahal (atau mulai membayar daripada menggunakan opsi gratis) sebagai lawan dari biaya sertifikasi itu sendiri.