哪些事件导致大量迁移到HTTPS？

几年来，我看到Google，Facebook等开始通过HTTPS提供（甚至重定向到）内容。

即使在1999年，使用不安全的HTTP提示输入密码的网站的服务也是错误的，但即使在2010年，它仍然可以接受。

但是如今，甚至公共页面（例如来自Bing / Google的查询）也通过HTTPS提供服务。

哪些事件导致大量迁移到HTTPS？Wikileaks丑闻，美国/欧盟执法机构，降低了SSL / TSL握手的成本，同时服务器时间成本普遍下降，从而提高了管理中的IT文化水平？

不久前，甚至像https://letsencrypt.org/这样的公共努力也开始了...

@briantist因为我还维护爱好站点，并对廉价/轻松的SSL / TLS解决方案感兴趣。对于VPS（起价为每月5美元），我最近评估了我们certbot在webroot操作模式下使用（使用其他可用的自动程序）进行加密的情况。这为我提供了有效期为3个月的SAN证书（并且该证书正在cron工作中-续约在到期日期前一个月执行）：

certbot certonly -n --expand --webroot \
        -w /srv/www/base/ -d example.com \
        -w /srv/www/blog/ -d blog.example.com

其中涉及许多因素，包括：

• 浏览器和服务器技术可确保虚拟主机的安全。您以前每个安全站点都需要专用的IP地址，但是使用SNI不再是这种情况。
• 成本较低的安全证书。在某些单域情况下，甚至还有免费的。十年前，我当时希望通配符域的价格为每年300美元，但是现在，我可以每年70美元的价格获得包含多个域的通配符的证书。
• HTTPS的开销大幅下降。它曾经需要额外的服务器资源，但是现在的开销可以忽略不计了。它甚至经常内置在可以与后端服务器进行HTTP通讯的负载平衡器中。
• AdSense等广告网络开始支持HTTPS。几年前，大多数广告网络都无法通过HTTPS网站获利。
• Google宣布将 HTTPS作为排名因素。
• 像Facebook和Google这样的大公司都将HTTPS应用于所有方面，从而规范了这种做法。
• 浏览器开始警告HTTP不安全。

对于像谷歌这样的大公司来说，它们总是有能力转向HTTPS，我认为有很多因素促使他们实施HTTPS：

• 通过HTTP泄漏竞争情报数据。我认为Google之所以转而使用HTTPS，在很大程度上是因为许多ISP和竞争对手都在研究用户通过HTTP搜索的内容。保持搜索引擎查询的秘密是Google的一大动力。
• 瞄准Google和Facebook等恶意软件的网站兴起。HTTPS使恶意软件更难以拦截浏览器请求并注入广告或重定向用户。

在某些情况下，由于某些原因，您经常会看到HTTPS的原因还有：

• 当HTTP版本也可以使用时，Google倾向于为HTTPS版本建立索引
• 许多人都有HTTPS无处不在浏览器插件，该插件会自动使他们使用HTTPS网站（如果有）。这意味着这些用户还创建了指向HTTPS网站的新链接
• 出于安全和隐私方面的考虑，更多站点正在重定向到HTTPS。

到目前为止的答案是关于HTTPS为何变得越来越流行的各种原因。

但是，在2010年和2011年左右，有2个主要的唤醒电话表明HTTPS的重要性：Firesheep允许会话劫持，突尼斯政府拦截Facebook登录以窃取凭据。

Firesheep是Eric Butler于2010年10月创建的Firefox插件，该插件允许安装了该插件的任何人拦截公共WiFi频道上的其他请求，并使用这些请求中的cookie来冒充发出这些请求的用户。它是免费的，易于使用的，而且最重要的是，它不需要专业知识。您只需单击一个按钮以收获cookie，然后单击另一个按钮以使用任何收获的cookie来开始新的会话。

在几天之内，出现了具有更大灵活性的模仿者，并且在数周之内，许多主要站点开始支持HTTPS。几个月后，又发生了第二件事，该事件通过互联网发出了另一波意识。

2010年12月，阿拉伯之春在突尼斯开始。在突尼斯政府，像该地区的许多人一样，试图压制反抗。他们尝试此操作的方法之一是阻止社交媒体（包括Facebook）。在起义期间，很明显突尼斯的ISP（主要由突尼斯政府控制）正在秘密地将密码收集代码注入Facebook登录页面。一旦他们注意到发生了什么，Facebook便迅速采取行动，将整个国家切换到HTTPS，并要求受影响的人确认其身份。

有一种被称为“极光行动”的行动（据说）是中国黑客入侵像谷歌一样的美国计算机。

Google于2010年通过Operation Aurora上市。似乎他们决定通过展示其产品保护措施来将损失转化为价值。因此，他们不是失败者而是领导者。他们需要真正的努力，否则他们会被那些理解的人公开嘲笑。

Google是一家互联网公司，因此对于他们重新建立用户对通信的信任至关重要。该计划奏效了，需要跟随或面对他们的用户的其他军团迁移到Google。

2013年，斯诺登（Snowden）出人意料地将其称为“ 全球监视披露”。人们对军团失去了信任。

许多人考虑独立使用HTTPS，然后导致最近的迁移。他和与他一起工作的人明确要求使用加密，这说明保守性需要昂贵。

强大的加密*大量用户=昂贵的附加费用。

那是2013年。也就是说，斯诺登最近告诉我们，这可能还不够，您也应该花钱在合法地为您维护权利的工作人员上，这样税收钱就不会用于环保行业。

但是，对于普通的Joe网站管理员而言，HTTPS的长期问题是获取证书会花费金钱。但是您需要HTTPS的证书。到2015年底，“ 让我们加密（Let's Encrypt）”测试版向公众开放后，该问题得以解决。它通过ACME协议自动为您提供HTTPS的免费证书。ACME是Internet草案，对人们来说意味着您可以依靠它。

通过Internet加密传输更加安全，以防止恶意代理截取或扫描此数据并将其插入中间，使您误以为它们是真实的网页。诸如此类的成功拦截只会鼓励更多人和其他人跟随。

如今，它变得更加负担得起，技术更易于使用，它更容易推动所有人进行更安全的保护我们所有人的工作。更高的安全性可以减少那些受数据繁忙困扰的人们的成本和支出。

当涉及破坏加密的工作变得困难和昂贵时，它将使活动水平降低，并且仅限于那些愿意花费时间和金钱的人。就像您家门上的锁一样，它可以将大多数人拒之门外，并使警察解放出来，专注于更高级别的犯罪活动。

我没看到的另一件事是，在2014年9月29日，CloudFlare（一种非常受欢迎的代理CDN，因为大多数中等大小的站点都可以通过简单的DNS更改有效地免费使用它们），宣布为所有站点提供免费SSL他们代理。

本质上，通过它们进行代理的任何人都可以自动并立即访问他们的站点，https://并且该站点可以正常工作；无需在后端进行任何更改，无需付费或续订。

对于我个人和同一条船上的许多其他人来说，这对我来说是小菜一碟。我的网站基本上都是我想使用SSL的个人/爱好网站，但无法证明成本和维护时间合理。与证书本身的成本相反，费用通常更多地是必须使用更昂贵的托管计划（或开始付费而不是使用免费选项）。