Seit einigen Jahren stelle ich fest, dass Google, Facebook usw. Inhalte über HTTPS bereitstellen (und sogar weiterleiten).
Das Bereitstellen von Websites, die in unsicherem HTTP zur Eingabe von Kennwörtern auffordern, war sogar 1999 falsch, wurde jedoch auch 2010 als akzeptabel angesehen.
Aber heutzutage werden sogar öffentliche Seiten (wie Anfragen von Bing / Google) über HTTPS bedient.
Welche Ereignisse verursachten eine Massenmigration zu HTTPS? Wikileaks-Skandal, Strafverfolgung in den USA und in der EU, geringere Kosten für SSL / TSL-Handshakes bei allgemein geringeren Serverzeitkosten, Steigerung der IT-Kultur im Management?
Sogar öffentliche Bemühungen wie https://letsencrypt.org/ haben vor nicht allzu langer Zeit begonnen ...
@briantist Da ich auch Hobby-Sites pflege und an billigen / mühelosen SSL / TLS-Lösungen interessiert bin. Für VPS (der ab 5 $ / Monat startet) habe ich vor kurzem Let 's Encrypt with certbot
(andere Bots verfügbar) im webroot
Betriebsmodus ausgewertet . Hiermit erhalte ich ein gültiges SAN-Zertifikat für 3 Monate (und es wird cron
ein Monat vor Ablaufdatum erneuert):
certbot certonly -n --expand --webroot \
-w /srv/www/base/ -d example.com \
-w /srv/www/blog/ -d blog.example.com
Antworten:
Es gab eine Reihe von Faktoren, darunter:
Für große Unternehmen wie Google, die es sich immer leisten konnten, auf HTTPS umzusteigen, gab es meiner Meinung nach einige Gründe, die sie dazu veranlasst haben, dies umzusetzen:
Es gibt auch einige Gründe, warum Sie HTTPS häufiger sehen, wenn beide funktionieren:
quelle
Die bisherigen Antworten sprechen über verschiedene Pull- und Push-Gründe, warum HTTPS immer beliebter wird.
Es gibt jedoch zwei große Weckrufe aus den Jahren 2010 und 2011, die zeigen, wie wichtig HTTPS tatsächlich ist: Firesheep, das das Entführen von Sitzungen ermöglicht, und die tunesische Regierung, die Facebook-Anmeldungen abfängt, um Anmeldeinformationen zu stehlen.
Firesheep war ein Firefox-Plugin von Oktober 2010, das von Eric Butler erstellt wurde. Mit diesem Plugin konnte jeder, der das Plugin installiert hatte, andere Anfragen auf öffentlichen WiFi-Kanälen abfangen und die Cookies dieser Anfragen verwenden, um sich als Benutzer auszugeben, die diese Anfragen stellten. Es war kostenlos, einfach zu bedienen und brauchte vor allem kein Fachwissen. Klicken Sie einfach auf eine Schaltfläche, um Cookies zu sammeln, und dann auf eine andere, um eine neue Sitzung mit einem der gesammelten Cookies zu starten.
Innerhalb weniger Tage tauchten Nachahmer mit mehr Flexibilität auf, und innerhalb weniger Wochen begannen viele große Websites, HTTPS zu unterstützen. Ein paar Monate später ereignete sich ein zweites Ereignis, das eine neue Welle des Bewusstseins über das Internet auslöste.
Im Dezember 2010 begann der arabische Frühling in Tunesien. Die tunesische Regierung versuchte, wie viele andere in der Region, den Aufstand zu unterdrücken. Sie versuchten dies unter anderem, indem sie Social Media, einschließlich Facebook, behinderten. Während der Revolte wurde klar, dass die tunesischen ISPs, die größtenteils von der tunesischen Regierung kontrolliert wurden, heimlich Code zum Ernten von Passwörtern in die Facebook-Anmeldeseite einfügten. Facebook reagierte schnell darauf, als es bemerkte, was passierte, und stellte das gesamte Land auf HTTPS um. Die Betroffenen mussten ihre Identität bestätigen.
quelle
Es gab die sogenannte Operation Aurora, bei der es sich (angeblich) um chinesische Cracker handelte, die in amerikanische Computer wie den von Google eindrangen.
Google ging 2010 mit Operation Aurora an die Börse. Offenbar haben sie beschlossen, den Verlust in Wert umzuwandeln, indem sie Anstrengungen zur Sicherung ihrer Produkte unternahmen. Anstelle von Verlierern treten sie als Anführer auf. Sie brauchten echte Anstrengungen, sonst wären sie von denen, die verstehen, öffentlich verspottet worden.
Da Google ein Internetunternehmen ist, war es für das Unternehmen von entscheidender Bedeutung, das Vertrauen der Nutzer in die Kommunikation wiederherzustellen . Der Plan funktionierte und andere Corps, die ihren Nutzern folgen oder sich ihnen stellen mussten, migrierten zu Google.
Im Jahr 2013 ereignete sich das, was Snowden als Global Surveillance Disclosures bezeichnete . Die Leute haben das Vertrauen in das Korps verloren.
Viele Leute haben sich überlegt, Indie zu machen und HTTPS zu verwenden, was dann die kürzliche Migration verursachte. Er und seine Mitarbeiter riefen explizit zur Verwendung der Verschlüsselung auf und erklärten, dass Survellience teuer sein muss.
Starke Verschlüsselung * Kritisch hohes Benutzeraufkommen = teures Survellience.
Es war 2013. Vor kurzem sagte Snowden jedoch, dass dies wahrscheinlich nicht mehr ausreicht und dass Sie Geld für Menschen ausgeben sollten, die daran arbeiten, Ihre Rechte auch für Sie rechtlich zu stärken, damit das Steuergeld von der Survellience-Branche verschwindet.
Dennoch war für den durchschnittlichen Joe-Webmaster das langjährige Problem mit HTTPS, dass das Erhalten eines Zertifikats Geld kostete. Sie benötigen jedoch Zertifikate für HTTPS. Es wurde Ende 2015 behoben, als die Beta von Let's Encrypt für die breite Öffentlichkeit verfügbar wurde. Sie erhalten automatisch kostenlose Zertifikate für HTTPS über das ACME-Protokoll . ACME ist ein Internet-Entwurf, auf den man sich verlassen kann.
quelle
Das Verschlüsseln von Übertragungen über das Internet ist sicherer, wenn schändliche Agenten diese Daten abfangen oder scannen und sich in die Mitte einfügen und Sie so täuschen, als wären sie die eigentliche Webseite. Erfolgreiche Intercepts wie dieses ermutigen nur mehr und andere, zu folgen.
Jetzt, da es erschwinglicher und die Technologie zugänglicher ist, ist es einfacher, alle dazu zu drängen, sicherere Dinge zu tun, die uns alle schützen. Mehr Sicherheit reduziert die Kosten und Aufwendungen der Betroffenen.
Wenn die Arbeit, die mit dem Auflösen der Verschlüsselung verbunden ist, schwierig und kostspielig wird, wird das Aktivitätsniveau niedrig gehalten und nur auf diejenigen beschränkt, die bereit sind, die damit verbundene Zeit und das damit verbundene Geld zu investieren. Wie Schlösser an Ihren Haustüren halten sie die meisten Menschen fern und geben der Polizei die Freiheit, sich auf kriminelle Aktivitäten auf höherer Ebene zu konzentrieren.
quelle
Eine andere Sache, die ich am 29. September 2014 nicht erwähnt habe, CloudFlare (ein sehr beliebtes Proxy-CDN, da die meisten Websites mittlerer Größe sie mit einfachen DNS-Änderungen effektiv kostenlos nutzen können), kündigte das Angebot von kostenlosem SSL für alle Websites an sie vertreten .
Im Grunde genommen konnte jeder, der durch sie hindurchging, automatisch und sofort auf ihre Website zugreifen,
https://
und es funktionierte einfach. Keine Änderungen an den Backends erforderlich, nichts zu bezahlen oder zu erneuern.Für mich persönlich und für viele andere Leute im selben Boot ist dies der Ausschlag für mich. Bei meinen Websites handelt es sich im Wesentlichen um persönliche Websites / Hobby-Websites, für die ich gerne SSL verwendet hätte, deren Kosten und Wartungszeit sich jedoch nicht rechtfertigen ließen. Häufig ging es bei den Kosten eher darum, einen teureren Hosting-Plan zu verwenden (oder mit dem Bezahlen zu beginnen, anstatt kostenlose Optionen zu verwenden), als um die Kosten des Zertifikats selbst.
quelle