Welche Ereignisse verursachten eine Massenmigration zu HTTPS?

40

Seit einigen Jahren stelle ich fest, dass Google, Facebook usw. Inhalte über HTTPS bereitstellen (und sogar weiterleiten).

Das Bereitstellen von Websites, die in unsicherem HTTP zur Eingabe von Kennwörtern auffordern, war sogar 1999 falsch, wurde jedoch auch 2010 als akzeptabel angesehen.

Aber heutzutage werden sogar öffentliche Seiten (wie Anfragen von Bing / Google) über HTTPS bedient.

Welche Ereignisse verursachten eine Massenmigration zu HTTPS? Wikileaks-Skandal, Strafverfolgung in den USA und in der EU, geringere Kosten für SSL / TSL-Handshakes bei allgemein geringeren Serverzeitkosten, Steigerung der IT-Kultur im Management?

Sogar öffentliche Bemühungen wie https://letsencrypt.org/ haben vor nicht allzu langer Zeit begonnen ...

@briantist Da ich auch Hobby-Sites pflege und an billigen / mühelosen SSL / TLS-Lösungen interessiert bin. Für VPS (der ab 5 $ / Monat startet) habe ich vor kurzem Let 's Encrypt with certbot(andere Bots verfügbar) im webrootBetriebsmodus ausgewertet . Hiermit erhalte ich ein gültiges SAN-Zertifikat für 3 Monate (und es wird cronein Monat vor Ablaufdatum erneuert):

certbot certonly -n --expand --webroot \
        -w /srv/www/base/ -d example.com \
        -w /srv/www/blog/ -d blog.example.com
gavenkoa
quelle
2
Dies ist eine ziemlich weit gefasste, meinungsbasierte Frage, die wahrscheinlich zu einer Liste verschiedener Faktoren im Vergleich zu einer einzigen definitiven Frage führen wird. Sie wird daher in ein Community-Wiki konvertiert, damit andere diese leicht bearbeiten und Beiträge leisten können.
Dan
6
Das "Internet" ist für den Endbenutzer sicherer, wenn alles SSL ist.
DocRoot
3
Ist es wirklich eine Massenmigration? Wie Sie in der Frage bemerken, hat der Vorgang lange gedauert. Könnte es sein, dass wir gerade den steilsten Teil einer logistischen Wachstumskurve sehen? Wenn der Prozess in letzter Zeit tatsächlich beschleunigt wurde, würde ich das Snowden zuschreiben.
Kasperd
6
Dies ist, was es endlich für uns getan hat , niemand will ein leuchtend rotes "nicht sicher" auf einer E-Commerce-Website ..
user2070057
3
letsencrypt startete im Jahr 2012. angekündigt 2014, öffentliche Beta Ende 2015, öffentlich im Jahr 2016.
n611x007

Antworten:

48

Es gab eine Reihe von Faktoren, darunter:

  • Browser- und Servertechnologie für Sicherheit bei virtuellen Hosts. Früher brauchten Sie eine dedizierte IP-Adresse pro sicherer Site, aber dies ist mit SNI nicht mehr der Fall .
  • Niedrigere Kosten Sicherheitszertifikate. Es gibt sogar kostenlose für einige Einzeldomänenfälle. Vor zehn Jahren habe ich 300 US-Dollar pro Jahr für eine Wildcard-Domain gesucht. Jetzt kann ich ein Zertifikat mit Wildcards für mehrere Domains für 70 US-Dollar pro Jahr erhalten.
  • Der Overhead von HTTPS ging deutlich zurück. Früher wurden zusätzliche Serverressourcen benötigt, aber jetzt ist der Overhead vernachlässigbar . Es ist sogar häufig in Load Balancer integriert, die HTTP mit Back-End-Servern kommunizieren können.
  • Werbenetzwerke wie AdSense unterstützen ab sofort HTTPS. Vor einigen Jahren war es mit den meisten Werbenetzwerken nicht möglich, eine HTTPS-Website zu monetarisieren.
  • Google kündigt HTTPS als Ranking-Faktor an.
  • Große Unternehmen wie Facebook und Google, die für alles auf HTTPS umgestiegen sind, haben die Praxis normalisiert.
  • Browser beginnen zu warnen, dass HTTP unsicher ist.

Für große Unternehmen wie Google, die es sich immer leisten konnten, auf HTTPS umzusteigen, gab es meiner Meinung nach einige Gründe, die sie dazu veranlasst haben, dies umzusetzen:

  • Verlust von Wettbewerbsdaten über HTTP. Ich glaube, dass Google zu einem großen Teil auf HTTPS umgestiegen ist, weil so viele ISPs und Konkurrenten sich angesehen haben, was Benutzer über HTTP suchten. Suchmaschinenabfragen unter Verschluss zu halten, war eine große Motivation für Google.
  • Anstieg der Malware-Targeting-Websites wie Google und Facebook. HTTPS erschwert es Malware, Browseranforderungen abzufangen und Anzeigen einzublenden oder Benutzer umzuleiten.

Es gibt auch einige Gründe, warum Sie HTTPS häufiger sehen, wenn beide funktionieren:

  • Google zieht es vor , die HTTPS-Version zu indizieren, wenn die HTTP-Version ebenfalls funktioniert
  • Viele Leute haben das HTTPS Everywhere- Browser-Plugin, mit dem sie automatisch HTTPS-Sites verwenden, wenn diese verfügbar sind. Das bedeutet, dass diese Benutzer auch neue Links zu HTTPS-Sites erstellen
  • Weitere Websites werden aus Sicherheits- und Datenschutzgründen auf HTTPS umgeleitet.
Stephen Ostermiller
quelle
7
Vergessen Sie nicht , HTTP / 2, die derzeit nur für HTTPS implementiert, auch nicht vergessen , dass Google das Ranking von HTTPS - Site (leicht) über HTTP - Sites ...
wb9688
Ich schlage eine Änderung der Reihenfolge vor. Ich denke, es war ein Datenschutzproblem, das jetzt aufgrund der technischen Fortschritte behoben werden kann. Ich glaube nicht, dass Leute TLS, weil "sie jetzt können". :)
Martijn
1
Es gab schon immer Datenschutzprobleme, und das wussten immer alle. Ja, die Privatsphäre war für einige große Unternehmen die treibende Kraft, aber für die Masse kleinerer Websites waren die Benutzerfreundlichkeit und die Kosten größere Faktoren. Ich sage das aus eigener Erfahrung. Ich wollte schon immer meine persönlichen Websites sichern, aber erst kürzlich wurde es billig und einfach genug.
Stephen Ostermiller
2
Sie haben 1% Overhead falsch geschrieben .
Michael Hampton
18

Die bisherigen Antworten sprechen über verschiedene Pull- und Push-Gründe, warum HTTPS immer beliebter wird.

Es gibt jedoch zwei große Weckrufe aus den Jahren 2010 und 2011, die zeigen, wie wichtig HTTPS tatsächlich ist: Firesheep, das das Entführen von Sitzungen ermöglicht, und die tunesische Regierung, die Facebook-Anmeldungen abfängt, um Anmeldeinformationen zu stehlen.

Firesheep war ein Firefox-Plugin von Oktober 2010, das von Eric Butler erstellt wurde. Mit diesem Plugin konnte jeder, der das Plugin installiert hatte, andere Anfragen auf öffentlichen WiFi-Kanälen abfangen und die Cookies dieser Anfragen verwenden, um sich als Benutzer auszugeben, die diese Anfragen stellten. Es war kostenlos, einfach zu bedienen und brauchte vor allem kein Fachwissen. Klicken Sie einfach auf eine Schaltfläche, um Cookies zu sammeln, und dann auf eine andere, um eine neue Sitzung mit einem der gesammelten Cookies zu starten.

Innerhalb weniger Tage tauchten Nachahmer mit mehr Flexibilität auf, und innerhalb weniger Wochen begannen viele große Websites, HTTPS zu unterstützen. Ein paar Monate später ereignete sich ein zweites Ereignis, das eine neue Welle des Bewusstseins über das Internet auslöste.

Im Dezember 2010 begann der arabische Frühling in Tunesien. Die tunesische Regierung versuchte, wie viele andere in der Region, den Aufstand zu unterdrücken. Sie versuchten dies unter anderem, indem sie Social Media, einschließlich Facebook, behinderten. Während der Revolte wurde klar, dass die tunesischen ISPs, die größtenteils von der tunesischen Regierung kontrolliert wurden, heimlich Code zum Ernten von Passwörtern in die Facebook-Anmeldeseite einfügten. Facebook reagierte schnell darauf, als es bemerkte, was passierte, und stellte das gesamte Land auf HTTPS um. Die Betroffenen mussten ihre Identität bestätigen.

Nzall
quelle
Ich vermute, das Firesheep sollte 2010 sein, oder der Arabische Frühling sollte 2011. Andernfalls ergibt das "ein paar Monate später" -Bit keinen Sinn.
Chris Hayes
@ ChrisHayes oops, Firesheep war 2010, nicht 2011. Behoben. Außerdem wussten wir erst im Januar 2011 von der tunesischen Regierung, die Facebook-Zugangsdaten gestohlen hat.
Nzall
11

Es gab die sogenannte Operation Aurora, bei der es sich (angeblich) um chinesische Cracker handelte, die in amerikanische Computer wie den von Google eindrangen.

Google ging 2010 mit Operation Aurora an die Börse. Offenbar haben sie beschlossen, den Verlust in Wert umzuwandeln, indem sie Anstrengungen zur Sicherung ihrer Produkte unternahmen. Anstelle von Verlierern treten sie als Anführer auf. Sie brauchten echte Anstrengungen, sonst wären sie von denen, die verstehen, öffentlich verspottet worden.

Da Google ein Internetunternehmen ist, war es für das Unternehmen von entscheidender Bedeutung, das Vertrauen der Nutzer in die Kommunikation wiederherzustellen . Der Plan funktionierte und andere Corps, die ihren Nutzern folgen oder sich ihnen stellen mussten, migrierten zu Google.

Im Jahr 2013 ereignete sich das, was Snowden als Global Surveillance Disclosures bezeichnete . Die Leute haben das Vertrauen in das Korps verloren.

Viele Leute haben sich überlegt, Indie zu machen und HTTPS zu verwenden, was dann die kürzliche Migration verursachte. Er und seine Mitarbeiter riefen explizit zur Verwendung der Verschlüsselung auf und erklärten, dass Survellience teuer sein muss.

Starke Verschlüsselung * Kritisch hohes Benutzeraufkommen = teures Survellience.

Es war 2013. Vor kurzem sagte Snowden jedoch, dass dies wahrscheinlich nicht mehr ausreicht und dass Sie Geld für Menschen ausgeben sollten, die daran arbeiten, Ihre Rechte auch für Sie rechtlich zu stärken, damit das Steuergeld von der Survellience-Branche verschwindet.

Dennoch war für den durchschnittlichen Joe-Webmaster das langjährige Problem mit HTTPS, dass das Erhalten eines Zertifikats Geld kostete. Sie benötigen jedoch Zertifikate für HTTPS. Es wurde Ende 2015 behoben, als die Beta von Let's Encrypt für die breite Öffentlichkeit verfügbar wurde. Sie erhalten automatisch kostenlose Zertifikate für HTTPS über das ACME-Protokoll . ACME ist ein Internet-Entwurf, auf den man sich verlassen kann.

n611x007
quelle
5

Das Verschlüsseln von Übertragungen über das Internet ist sicherer, wenn schändliche Agenten diese Daten abfangen oder scannen und sich in die Mitte einfügen und Sie so täuschen, als wären sie die eigentliche Webseite. Erfolgreiche Intercepts wie dieses ermutigen nur mehr und andere, zu folgen.

Jetzt, da es erschwinglicher und die Technologie zugänglicher ist, ist es einfacher, alle dazu zu drängen, sicherere Dinge zu tun, die uns alle schützen. Mehr Sicherheit reduziert die Kosten und Aufwendungen der Betroffenen.

Wenn die Arbeit, die mit dem Auflösen der Verschlüsselung verbunden ist, schwierig und kostspielig wird, wird das Aktivitätsniveau niedrig gehalten und nur auf diejenigen beschränkt, die bereit sind, die damit verbundene Zeit und das damit verbundene Geld zu investieren. Wie Schlösser an Ihren Haustüren halten sie die meisten Menschen fern und geben der Polizei die Freiheit, sich auf kriminelle Aktivitäten auf höherer Ebene zu konzentrieren.

rauben
quelle
4

Eine andere Sache, die ich am 29. September 2014 nicht erwähnt habe, CloudFlare (ein sehr beliebtes Proxy-CDN, da die meisten Websites mittlerer Größe sie mit einfachen DNS-Änderungen effektiv kostenlos nutzen können), kündigte das Angebot von kostenlosem SSL für alle Websites an sie vertreten .

Im Grunde genommen konnte jeder, der durch sie hindurchging, automatisch und sofort auf ihre Website zugreifen, https://und es funktionierte einfach. Keine Änderungen an den Backends erforderlich, nichts zu bezahlen oder zu erneuern.

Für mich persönlich und für viele andere Leute im selben Boot ist dies der Ausschlag für mich. Bei meinen Websites handelt es sich im Wesentlichen um persönliche Websites / Hobby-Websites, für die ich gerne SSL verwendet hätte, deren Kosten und Wartungszeit sich jedoch nicht rechtfertigen ließen. Häufig ging es bei den Kosten eher darum, einen teureren Hosting-Plan zu verwenden (oder mit dem Bezahlen zu beginnen, anstatt kostenlose Optionen zu verwenden), als um die Kosten des Zertifikats selbst.

Briantist
quelle
Siehe mein Update zur Frage. Details ist in meinem verfügbar Einstellung Lassen Sie uns Encrypt auf Lighttpd Blogbeitrag blog.defun.work/post-72b3f008-e28e-11e6-bad9-485b39c42d0f.html
gavenkoa
@gavenkoa das ist cool, aber wenn ich an dem Punkt angelangt bin, an dem ich einen VPS habe und das Betriebssystem pflege, ist das bereits weit über den Aufwand hinaus, den ich aufwenden möchte (ich meine heutzutage; ich habe früher einen ausgeführt) Web-Host). Zu diesem Zeitpunkt hätte ich kein Problem, selbst wenn ich die Zertifikate manuell aktualisiert hätte (obwohl ich es sicherlich nicht tun würde, wenn ich es nicht müsste). Normalerweise verwende ich heutzutage Shared Hosting oder bei meiner aktuellen Site Github-Seiten, die über CloudFlare weitergeleitet werden. Aber ja, certbot scheint großartig zu sein, wenn Sie bereits die Umgebung haben, in der Sie es ausführen können.
Briantist
Ich habe den alten Artikel scotthelme.co.uk/tls-conundrum-and-leaving-cloudflare gelesen. Ich weiß nicht, ob sie für heutige Angebote immer noch Man-in-the-Middle-Angriffe zulassen, aber ihr SSL-Schutz hat in der Vergangenheit Probleme ( betteln 2014) ...
gavenkoa
Und für Github-Sub-Domains unterstützen sie HTTPS: github.com/blog/2186-https-for-github-pages (August 2016).
Gavenkoa
1
@gavenkoa Ich bin mir dieser Bedenken bewusst, obwohl CF ziemlich offen über die Konfigurationsoptionen und deren Bedeutung ist. wenn man sie nutzen will, sollte man auch die details kennen. Ich würde sie nicht als Probleme bezeichnen, aber das würde den Rahmen dieser Frage auf jeden Fall sprengen. Ihr Angebot war ein (oft) einfacher und kostenloser Weg, eine Site mit nur einem Klick auf https umzustellen. Selbst mit der Konfiguration von http von CF zu Ihrem Backend, zu Browsern und Suchmaschinen sieht es genauso aus, wie ich glaube Es war eine große Quelle für kleine Website-Conversions.
Briantist