Welche Ereignisse verursachten eine Massenmigration zu HTTPS?

Seit einigen Jahren stelle ich fest, dass Google, Facebook usw. Inhalte über HTTPS bereitstellen (und sogar weiterleiten).

Das Bereitstellen von Websites, die in unsicherem HTTP zur Eingabe von Kennwörtern auffordern, war sogar 1999 falsch, wurde jedoch auch 2010 als akzeptabel angesehen.

Aber heutzutage werden sogar öffentliche Seiten (wie Anfragen von Bing / Google) über HTTPS bedient.

Welche Ereignisse verursachten eine Massenmigration zu HTTPS? Wikileaks-Skandal, Strafverfolgung in den USA und in der EU, geringere Kosten für SSL / TSL-Handshakes bei allgemein geringeren Serverzeitkosten, Steigerung der IT-Kultur im Management?

Sogar öffentliche Bemühungen wie https://letsencrypt.org/ haben vor nicht allzu langer Zeit begonnen ...

@briantist Da ich auch Hobby-Sites pflege und an billigen / mühelosen SSL / TLS-Lösungen interessiert bin. Für VPS (der ab 5 $ / Monat startet) habe ich vor kurzem Let 's Encrypt with certbot(andere Bots verfügbar) im webrootBetriebsmodus ausgewertet . Hiermit erhalte ich ein gültiges SAN-Zertifikat für 3 Monate (und es wird cronein Monat vor Ablaufdatum erneuert):

certbot certonly -n --expand --webroot \
        -w /srv/www/base/ -d example.com \
        -w /srv/www/blog/ -d blog.example.com

Es gab eine Reihe von Faktoren, darunter:

• Browser- und Servertechnologie für Sicherheit bei virtuellen Hosts. Früher brauchten Sie eine dedizierte IP-Adresse pro sicherer Site, aber dies ist mit SNI nicht mehr der Fall .
• Niedrigere Kosten Sicherheitszertifikate. Es gibt sogar kostenlose für einige Einzeldomänenfälle. Vor zehn Jahren habe ich 300 US-Dollar pro Jahr für eine Wildcard-Domain gesucht. Jetzt kann ich ein Zertifikat mit Wildcards für mehrere Domains für 70 US-Dollar pro Jahr erhalten.
• Der Overhead von HTTPS ging deutlich zurück. Früher wurden zusätzliche Serverressourcen benötigt, aber jetzt ist der Overhead vernachlässigbar . Es ist sogar häufig in Load Balancer integriert, die HTTP mit Back-End-Servern kommunizieren können.
• Werbenetzwerke wie AdSense unterstützen ab sofort HTTPS. Vor einigen Jahren war es mit den meisten Werbenetzwerken nicht möglich, eine HTTPS-Website zu monetarisieren.
• Google kündigt HTTPS als Ranking-Faktor an.
• Große Unternehmen wie Facebook und Google, die für alles auf HTTPS umgestiegen sind, haben die Praxis normalisiert.
• Browser beginnen zu warnen, dass HTTP unsicher ist.

Für große Unternehmen wie Google, die es sich immer leisten konnten, auf HTTPS umzusteigen, gab es meiner Meinung nach einige Gründe, die sie dazu veranlasst haben, dies umzusetzen:

• Verlust von Wettbewerbsdaten über HTTP. Ich glaube, dass Google zu einem großen Teil auf HTTPS umgestiegen ist, weil so viele ISPs und Konkurrenten sich angesehen haben, was Benutzer über HTTP suchten. Suchmaschinenabfragen unter Verschluss zu halten, war eine große Motivation für Google.
• Anstieg der Malware-Targeting-Websites wie Google und Facebook. HTTPS erschwert es Malware, Browseranforderungen abzufangen und Anzeigen einzublenden oder Benutzer umzuleiten.

Es gibt auch einige Gründe, warum Sie HTTPS häufiger sehen, wenn beide funktionieren:

• Google zieht es vor , die HTTPS-Version zu indizieren, wenn die HTTP-Version ebenfalls funktioniert
• Viele Leute haben das HTTPS Everywhere- Browser-Plugin, mit dem sie automatisch HTTPS-Sites verwenden, wenn diese verfügbar sind. Das bedeutet, dass diese Benutzer auch neue Links zu HTTPS-Sites erstellen
• Weitere Websites werden aus Sicherheits- und Datenschutzgründen auf HTTPS umgeleitet.

Die bisherigen Antworten sprechen über verschiedene Pull- und Push-Gründe, warum HTTPS immer beliebter wird.

Es gibt jedoch zwei große Weckrufe aus den Jahren 2010 und 2011, die zeigen, wie wichtig HTTPS tatsächlich ist: Firesheep, das das Entführen von Sitzungen ermöglicht, und die tunesische Regierung, die Facebook-Anmeldungen abfängt, um Anmeldeinformationen zu stehlen.

Firesheep war ein Firefox-Plugin von Oktober 2010, das von Eric Butler erstellt wurde. Mit diesem Plugin konnte jeder, der das Plugin installiert hatte, andere Anfragen auf öffentlichen WiFi-Kanälen abfangen und die Cookies dieser Anfragen verwenden, um sich als Benutzer auszugeben, die diese Anfragen stellten. Es war kostenlos, einfach zu bedienen und brauchte vor allem kein Fachwissen. Klicken Sie einfach auf eine Schaltfläche, um Cookies zu sammeln, und dann auf eine andere, um eine neue Sitzung mit einem der gesammelten Cookies zu starten.

Innerhalb weniger Tage tauchten Nachahmer mit mehr Flexibilität auf, und innerhalb weniger Wochen begannen viele große Websites, HTTPS zu unterstützen. Ein paar Monate später ereignete sich ein zweites Ereignis, das eine neue Welle des Bewusstseins über das Internet auslöste.

Im Dezember 2010 begann der arabische Frühling in Tunesien. Die tunesische Regierung versuchte, wie viele andere in der Region, den Aufstand zu unterdrücken. Sie versuchten dies unter anderem, indem sie Social Media, einschließlich Facebook, behinderten. Während der Revolte wurde klar, dass die tunesischen ISPs, die größtenteils von der tunesischen Regierung kontrolliert wurden, heimlich Code zum Ernten von Passwörtern in die Facebook-Anmeldeseite einfügten. Facebook reagierte schnell darauf, als es bemerkte, was passierte, und stellte das gesamte Land auf HTTPS um. Die Betroffenen mussten ihre Identität bestätigen.

Es gab die sogenannte Operation Aurora, bei der es sich (angeblich) um chinesische Cracker handelte, die in amerikanische Computer wie den von Google eindrangen.

Google ging 2010 mit Operation Aurora an die Börse. Offenbar haben sie beschlossen, den Verlust in Wert umzuwandeln, indem sie Anstrengungen zur Sicherung ihrer Produkte unternahmen. Anstelle von Verlierern treten sie als Anführer auf. Sie brauchten echte Anstrengungen, sonst wären sie von denen, die verstehen, öffentlich verspottet worden.

Da Google ein Internetunternehmen ist, war es für das Unternehmen von entscheidender Bedeutung, das Vertrauen der Nutzer in die Kommunikation wiederherzustellen . Der Plan funktionierte und andere Corps, die ihren Nutzern folgen oder sich ihnen stellen mussten, migrierten zu Google.

Im Jahr 2013 ereignete sich das, was Snowden als Global Surveillance Disclosures bezeichnete . Die Leute haben das Vertrauen in das Korps verloren.

Viele Leute haben sich überlegt, Indie zu machen und HTTPS zu verwenden, was dann die kürzliche Migration verursachte. Er und seine Mitarbeiter riefen explizit zur Verwendung der Verschlüsselung auf und erklärten, dass Survellience teuer sein muss.

Starke Verschlüsselung * Kritisch hohes Benutzeraufkommen = teures Survellience.

Es war 2013. Vor kurzem sagte Snowden jedoch, dass dies wahrscheinlich nicht mehr ausreicht und dass Sie Geld für Menschen ausgeben sollten, die daran arbeiten, Ihre Rechte auch für Sie rechtlich zu stärken, damit das Steuergeld von der Survellience-Branche verschwindet.

Dennoch war für den durchschnittlichen Joe-Webmaster das langjährige Problem mit HTTPS, dass das Erhalten eines Zertifikats Geld kostete. Sie benötigen jedoch Zertifikate für HTTPS. Es wurde Ende 2015 behoben, als die Beta von Let's Encrypt für die breite Öffentlichkeit verfügbar wurde. Sie erhalten automatisch kostenlose Zertifikate für HTTPS über das ACME-Protokoll . ACME ist ein Internet-Entwurf, auf den man sich verlassen kann.

Das Verschlüsseln von Übertragungen über das Internet ist sicherer, wenn schändliche Agenten diese Daten abfangen oder scannen und sich in die Mitte einfügen und Sie so täuschen, als wären sie die eigentliche Webseite. Erfolgreiche Intercepts wie dieses ermutigen nur mehr und andere, zu folgen.

Jetzt, da es erschwinglicher und die Technologie zugänglicher ist, ist es einfacher, alle dazu zu drängen, sicherere Dinge zu tun, die uns alle schützen. Mehr Sicherheit reduziert die Kosten und Aufwendungen der Betroffenen.

Wenn die Arbeit, die mit dem Auflösen der Verschlüsselung verbunden ist, schwierig und kostspielig wird, wird das Aktivitätsniveau niedrig gehalten und nur auf diejenigen beschränkt, die bereit sind, die damit verbundene Zeit und das damit verbundene Geld zu investieren. Wie Schlösser an Ihren Haustüren halten sie die meisten Menschen fern und geben der Polizei die Freiheit, sich auf kriminelle Aktivitäten auf höherer Ebene zu konzentrieren.

Eine andere Sache, die ich am 29. September 2014 nicht erwähnt habe, CloudFlare (ein sehr beliebtes Proxy-CDN, da die meisten Websites mittlerer Größe sie mit einfachen DNS-Änderungen effektiv kostenlos nutzen können), kündigte das Angebot von kostenlosem SSL für alle Websites an sie vertreten .

Im Grunde genommen konnte jeder, der durch sie hindurchging, automatisch und sofort auf ihre Website zugreifen, https://und es funktionierte einfach. Keine Änderungen an den Backends erforderlich, nichts zu bezahlen oder zu erneuern.

Für mich persönlich und für viele andere Leute im selben Boot ist dies der Ausschlag für mich. Bei meinen Websites handelt es sich im Wesentlichen um persönliche Websites / Hobby-Websites, für die ich gerne SSL verwendet hätte, deren Kosten und Wartungszeit sich jedoch nicht rechtfertigen ließen. Häufig ging es bei den Kosten eher darum, einen teureren Hosting-Plan zu verwenden (oder mit dem Bezahlen zu beginnen, anstatt kostenlose Optionen zu verwenden), als um die Kosten des Zertifikats selbst.