¿Qué eventos causaron la migración masiva a HTTPS?

Durante varios años, veo que Google, Facebook, etc. comienzan a servir (e incluso redirigen a) contenido a través de HTTPS.

Servir a sitios que solicitan contraseñas en HTTP inseguro era incorrecto incluso en 1999, pero se consideró aceptable incluso en 2010.

Pero hoy en día, incluso las páginas públicas (como las consultas de Bing / Google) se sirven a través de HTTPS.

¿Qué eventos causaron la migración masiva a HTTPS? El escándalo de Wikileaks, la aplicación de la ley de EE. UU. Y la UE, el costo reducido del protocolo de enlace SSL / TSL con un costo generalmente reducido del tiempo del servidor, ¿creciendo el nivel de cultura de TI en la administración?

Incluso los esfuerzos públicos como https://letsencrypt.org/ comenzaron hace poco ...

@briantist Como también mantengo sitios de hobby y estoy interesado en una solución SSL / TLS barata / sin esfuerzo. Para VPS (que comienza desde 5 $ / mes), recientemente evalué Let's cifre con certbot(otros bots disponibles) en webrootmodo de operación. Esto me proporciona un certificado SAN válido por 3 meses (y está en el crontrabajo; la renovación se realizó un mes antes de la fecha de vencimiento):

certbot certonly -n --expand --webroot \
        -w /srv/www/base/ -d example.com \
        -w /srv/www/blog/ -d blog.example.com

Hay muchos factores que intervienen, incluidos:

• Tecnología de navegador y servidor para seguridad con hosts virtuales. Solía ​​necesitar una dirección IP dedicada por sitio seguro, pero ese ya no es el caso con SNI .
• Costo más bajo y certificados de seguridad gratuitos. Let's Encrypt ahora emite aproximadamente la mitad de todos los certificados de forma gratuita. Hace diez años, estaba buscando $ 300 / año para un dominio comodín, pero ahora incluso los certificados comodín pagados pueden ser tan bajos como $ 70 / año.
• La sobrecarga de HTTPS cayó significativamente. Solía ​​requerir recursos de servidor adicionales, pero ahora la sobrecarga es insignificante . Incluso a menudo está integrado en equilibradores de carga que pueden comunicar HTTP a los servidores de fondo.
• Las redes publicitarias como AdSense comenzaron a admitir HTTPS. Hace unos años, no era posible monetizar un sitio web HTTPS con la mayoría de las redes publicitarias.
• Google anuncia HTTPS como factor de clasificación.
• Grandes empresas como Facebook y Google que se trasladaron a HTTPS para todo normalizaron la práctica.
• Los navegadores están comenzando a advertir que HTTP es inseguro.

Para las grandes empresas como Google que siempre pueden permitirse el lujo de pasar a HTTPS, creo que hubo un par de cosas que las impulsaron a implementarlo:

• Fugas de datos de inteligencia competitiva sobre HTTP. Creo que Google se mudó a HTTPS en gran parte porque muchos ISP y competidores estaban mirando lo que los usuarios buscaban a través de HTTP. Mantener las consultas de los motores de búsqueda en secreto fue una gran motivación para Google.
• Aumento de malware dirigido a sitios como Google y Facebook. HTTPS dificulta que el malware intercepte las solicitudes del navegador e inyecte anuncios o redirija a los usuarios.

También hay algunas razones por las que ve HTTPS con más frecuencia en los casos en que ambos funcionan:

• Google prefiere indexar la versión HTTPS cuando la versión HTTP también funciona
• Muchas personas tienen el complemento de navegador HTTPS Everywhere que automáticamente les hace usar sitios HTTPS cuando están disponibles. Eso significa que esos usuarios también crean nuevos enlaces a sitios HTTPS
• Más sitios están redirigiendo a HTTPS debido a problemas de seguridad y privacidad.

Las respuestas hasta ahora hablan sobre varias razones de atracción y empuje de por qué HTTPS se está volviendo cada vez más popular.

Sin embargo, hay 2 llamadas de atención importantes de alrededor de 2010 y 2011 que mostraron cuán importante es realmente HTTPS: Firesheep que permite el secuestro de sesión y el gobierno tunecino que intercepta los inicios de sesión de Facebook para robar credenciales.

Firesheep era un complemento de Firefox de octubre de 2010 creado por Eric Butler, que permitía a cualquier persona con el complemento instalado interceptar otras solicitudes en canales públicos de WiFi y usar las cookies de esas solicitudes para suplantar a los usuarios que hacen esas solicitudes. Era gratuito, fácil de usar y, sobre todo, no necesitaba conocimientos especializados. simplemente haga clic en un botón para recolectar cookies y luego en otro para comenzar una nueva sesión utilizando cualquiera de las cookies recolectadas.

En cuestión de días, aparecieron imitadores con más flexibilidad, y en cuestión de semanas, muchos sitios importantes comenzaron a admitir HTTPS. Luego, unos meses más tarde, ocurrió un segundo evento que envió otra oleada de conciencia a través de Internet.

En diciembre de 2010, comenzó la Primavera Árabe en Túnez. El gobierno tunecino , como muchos otros de la región, trató de reprimir la revuelta. Una de las formas en que lo intentaron fue obstaculizando las redes sociales, incluido Facebook. Durante la revuelta, quedó claro que los ISP tunecinos, que estaban en gran medida controlados por el gobierno tunecino, estaban inyectando secretamente el código de recolección de contraseñas en la página de inicio de sesión de Facebook. Facebook actuó rápidamente en contra de esto una vez que notaron lo que estaba sucediendo, cambiando todo el país a HTTPS y exigiendo a los afectados que confirmaran su identidad.

Hubo lo que se denominó Operación Aurora, que (supuestamente) eran crackers chinos que irrumpieron en computadoras de EE. UU. Como Google.

Google hizo pública la Operación Aurora en 2010. Parece que decidieron convertir la pérdida en valor al mostrar los esfuerzos para asegurar sus productos. Entonces, en lugar de perdedores, aparecen como líderes. Necesitaban esfuerzos reales, de lo contrario habrían sido ridiculizados públicamente por aquellos que entienden.

Google es una empresa de Internet, por lo que fue crítico para ellos reinstalar la confianza en sus usuarios sobre la comunicación. El plan funcionó y otros cuerpos necesitaban seguir o enfrentar a sus usuarios migrar a google.

En 2013 sucedió lo que se denominó divulgaciones de vigilancia global prominentemente por Snowden . La gente perdió la confianza en el cuerpo.

Muchas personas consideraron irse indie y usar HTTPS, lo que luego causó la migración reciente. Él y con quién trabajó dio llamadas explícitas para usar el cifrado explicando que la vigilancia debe ser costosa.

cifrado fuerte * volumen críticamente alto de usuarios = vigilancia costosa.

Era 2013. Dicho esto, más recientemente Snowden dijo que probablemente esto ya no sea suficiente y que también debe gastar dinero en personas que trabajan para fortalecer legalmente sus derechos para usted, por lo que el dinero de los impuestos desaparece de la industria de la vigilancia.

Sin embargo, para el webmaster de Avarage Joe, el problema de larga data con HTTPS fue que obtener un certificado costaba dinero. Pero necesitas certs para HTTPS. Se resolvió a finales de 2015 cuando Let's Encrypt beta estuvo disponible para el público en general. Le proporciona certificados gratuitos para HTTPS automáticamente a través del protocolo ACME . ACME es un borrador de Internet que significa para las personas en las que puede confiar.

Cifrar las transmisiones a través de Internet es más seguro contra los agentes nefastos que interceptan o escanean estos datos y se insertan en el medio, haciéndote creer que son la página web real. Las intercepciones exitosas como esta solo animan a más y otros a seguir.

Ahora que es más asequible y la tecnología más accesible, es más fácil presionar para que todos hagan cosas más seguras que nos protejan a todos. Estar más seguro reduce los costos y gastos de las personas afectadas por la violación de datos.

Cuando el trabajo involucrado en romper el cifrado se vuelve difícil y costoso, mantendrá el nivel de actividad bajo y restringido solo a aquellos dispuestos a invertir el tiempo y el dinero involucrados. Al igual que las cerraduras de las puertas de su casa, mantendrá a la mayoría de las personas fuera y liberará a la policía para que se concentre en actividades delictivas de alto nivel.

Otra cosa que no vi mencionó, el 29 de septiembre de 2014, CloudFlare (un CDN proxy muy popular porque la mayoría de los sitios de tamaño moderado puede usarlos de forma efectiva de forma gratuita con simples cambios de DNS), anunció la oferta de SSL gratis para todos los sitios ellos apoyan .

Esencialmente, cualquier persona que los atraviese podría acceder automáticamente e inmediatamente a su sitio https://y simplemente funcionaría; No se necesitan cambios en el backends, nada que pagar o renovar.

Para mí personalmente y para muchas otras personas en el mismo bote, esto es lo mejor para mí. Mis sitios son básicamente sitios personales / de pasatiempos para los que me hubiera gustado usar SSL, pero no podía justificar el costo y el tiempo de mantenimiento. A menudo, el costo era más tener que usar un plan de alojamiento más caro (o comenzar a pagar en lugar de usar opciones gratuitas) en lugar del costo del certificado en sí.