哪些事件导致大量迁移到HTTPS?


40

几年来,我看到Google,Facebook等开始通过HTTPS提供(甚至重定向到)内容。

即使在1999年,使用不安全的HTTP提示输入密码的网站的服务也是错误的,但即使在2010年,它仍然可以接受。

但是如今,甚至公共页面(例如来自Bing / Google的查询)也通过HTTPS提供服务。

哪些事件导致大量迁移到HTTPS?Wikileaks丑闻,美国/欧盟执法机构,降低了SSL / TSL握手的成本,同时服务器时间成本普遍下降,从而提高了管理中的IT文化水平?

不久前,甚至像https://letsencrypt.org/这样的公共努力也开始了...

@briantist因为我还维护爱好站点,并对廉价/轻松的SSL / TLS解决方案感兴趣。对于VPS(起价为每月5美元),我最近评估了我们certbotwebroot操作模式下使用(使用其他可用的自动程序)进行加密的情况。这为我提供了有效期为3个月的SAN证书(并且该证书正在cron工作中-续约在到期日期前一个月执行):

certbot certonly -n --expand --webroot \
        -w /srv/www/base/ -d example.com \
        -w /srv/www/blog/ -d blog.example.com

2
这是一个非常广泛的,基于意见的问题,很可能会导致列出一系列不同的因素,而不是一个确定的因素,因此它已转换为Community Wiki,因此其他人可以轻松地进行编辑和贡献。

6
如果所有内容均为SSL,则“互联网”对于最终用户而言将更为安全。
DocRoot

3
真的是大规模迁移吗?正如您在问题中指出的那样,该过程花费了很长时间。难道我们刚刚看到了逻辑增长曲线中最陡峭的部分?如果最近确实加快了这一进程,我将其归因于斯诺登。
卡巴斯德(Kasperd)'17年

6
这就是最终为我们完成的工作,没人希望在电子商务网站上出现鲜红色的“不安全”
消息。– user2070057

3
letsencrypt于2012年开始。于2014年发布,于2015年后期公开测试版,于2016
。– n611x007

Answers:


48

其中涉及许多因素,包括:

  • 浏览器和服务器技术可确保虚拟主机的安全。您以前每个安全站点都需要专用的IP地址,但是使用SNI不再是这种情况。
  • 成本较低的安全证书。在某些单域情况下,甚至还有免费的。十年前,我当时希望通配符域的价格为每年300美元,但是现在,我可以每年70美元的价格获得包含多个域的通配符的证书。
  • HTTPS的开销大幅下降。它曾经需要额外的服务器资源,但是现在的开销可以忽略不计了。它甚至经常内置在可以与后端服务器进行HTTP通讯的负载平衡器中。
  • AdSense等广告网络开始支持HTTPS。几年前,大多数广告网络都无法通过HTTPS网站获利。
  • Google宣布将 HTTPS作为排名因素。
  • Facebook和Google这样的大公司都将HTTPS应用于所有方面,从而规范了这种做法。
  • 浏览器开始警告HTTP不安全。

对于像谷歌这样的大公司来说,它们总是有能力转向HTTPS,我认为有很多因素促使他们实施HTTPS:

  • 通过HTTP泄漏竞争情报数据。我认为Google之所以转而使用HTTPS,在很大程度上是因为许多ISP和竞争对手都在研究用户通过HTTP搜索的内容。保持搜索引擎查询的秘密是Google的一大动力。
  • 瞄准Google和Facebook等恶意软件的网站兴起。HTTPS使恶意软件更难以拦截浏览器请求并注入广告或重定向用户。

在某些情况下,由于某些原因,您经常会看到HTTPS的原因还有:

  • 当HTTP版本也可以使用时,Google倾向于为HTTPS版本建立索引
  • 许多人都有HTTPS无处不在浏览器插件,该插件会自动使他们使用HTTPS网站(如果有)。这意味着这些用户还创建了指向HTTPS网站的新链接
  • 出于安全和隐私方面的考虑,更多站点正在重定向到HTTPS。


7
不要忘记HTTP / 2(目前仅针对HTTPS实现),也不要忘记Google对HTTPS网站的排名(略)高于HTTP网站……
wb9688

我建议改变顺序。我认为这是一个隐私问题,由于技术进步,现在可以解决。我不认为人们使用TLS是因为“他们现在可以”。:)
Martijn

1
一直存在隐私问题,每个人都一直知道。是的,隐私是一些大公司的首要考虑因素,但是对于较小的网站而言,便捷性和成本是更大的因素。我是根据个人经验说的。我一直想保护我的个人网站,但是最近它变得便宜又容易。
斯蒂芬·奥斯特米勒

2
您拼错了1%的开销
迈克尔·汉普顿

18

到目前为止的答案是关于HTTPS为何变得越来越流行的各种原因。

但是,在2010年和2011年左右,有2个主要的唤醒电话表明HTTPS的重要性:Firesheep允许会话劫持,突尼斯政府拦截Facebook登录以窃取凭据。

Firesheep是Eric Butler于2010年10月创建的Firefox插件,该插件允许安装了该插件的任何人拦截公共WiFi频道上的其他请求,并使用这些请求中的cookie来冒充发出这些请求的用户。它是免费的,易于使用的,而且最重要的是,它不需要专业知识。您只需单击一个按钮以收获cookie,然后单击另一个按钮以使用任何收获的cookie来开始新的会话。

在几天之内,出现了具有更大灵活性的模仿者,并且在数周之内,许多主要站点开始支持HTTPS。几个月后,又发生了第二件事,该事件通过互联网发出了另一波意识。

2010年12月,阿拉伯之春在突尼斯开始。在突尼斯政府,像该地区的许多人一样,试图压制反抗。他们尝试此操作的方法之一是阻止社交媒体(包括Facebook)。在起义期间,很明显突尼斯的ISP(主要由突尼斯政府控制)正在秘密地将密码收集代码注入Facebook登录页面。一旦他们注意到发生了什么,Facebook便迅速采取行动,将整个国家切换到HTTPS,并要求受影响的人确认其身份。


我猜是Firesheep应该是2010,或者是《阿拉伯之春》应该是2011。否则,“几个月后”就没有任何意义了。
克里斯·海斯

@ChrisHayes糟糕,Firesheep是2010年,而不是2011年。已修复。此外,直到2011
。– Nzall

11

有一种被称为“极光行动”的行动(据说)是中国黑客入侵像谷歌一样的美国计算机。

Google于2010年通过Operation Aurora上市。似乎他们决定通过展示其产品保护措施来将损失转化为价值。因此,他们不是失败者而是领导者。他们需要真正的努力,否则他们会被那些理解的人公开嘲笑。

Google是一家互联网公司,因此对于他们重新建立用户对通信的信任至关重要。该计划奏效了,需要跟随或面对他们的用户的其他军团迁移到Google。

2013年,斯诺登(Snowden)出人意料地将其称为“ 全球监视披露”。人们对军团失去了信任。

许多人考虑独立使用HTTPS,然后导致最近的迁移。他和与他一起工作的人明确要求使用加密,这说明保守性需要昂贵。

强大的加密*大量用户=昂贵的附加费用。

那是2013年。也就是说,斯诺登最近告诉我们,这可能还不够,您也应该花钱在合法地为您维护权利的工作人员上,这样税收钱就不会用于环保行业。

但是,对于普通的Joe网站管理员而言,HTTPS的长期问题是获取证书会花费金钱。但是您需要HTTPS的证书。到2015年底,“ 让我们加密(Let's Encrypt)”测试版向公众开放后,该问题得以解决。它通过ACME协议自动为您提供HTTPS的免费证书。ACME是Internet草案,对人们来说意味着您可以依靠它。


5

通过Internet加密传输更加安全,以防止恶意代理截取或扫描此数据并将其插入中间,使您误以为它们是真实的网页。诸如此类的成功拦截只会鼓励更多人和其他人跟随。

如今,它变得更加负担得起,技术更易于使用,它更容易推动所有人进行更安全的保护我们所有人的工作。更高的安全性可以减少那些受数据繁忙困扰的人们的成本和支出。

当涉及破坏加密的工作变得困难和昂贵时,它将使活动水平降低,并且仅限于那些愿意花费时间和金钱的人。就像您家门上的锁一样,它可以将大多数人拒之门外,并使警察解放出来,专注于更高级别的犯罪活动。


4

我没看到的另一件事是,在2014年9月29日,CloudFlare(一种非常受欢迎的代理CDN,因为大多数中等大小的站点都可以通过简单的DNS更改有效地免费使用它们),宣布为所有站点提供免费SSL他们代理

本质上,通过它们进行代理的任何人都可以自动并立即访问他们的站点,https://并且该站点可以正常工作;无需在后端进行任何更改,无需付费或续订。

对于我个人和同一条船上的许多其他人来说,这对我来说是小菜一碟。我的网站基本上都是我想使用SSL的个人/爱好网站,但无法证明成本和维护时间合理。与证书本身的成本相反,费用通常更多地是必须使用更昂贵的托管计划(或开始付费而不是使用免费选项)。


请参阅我的问题更新。有关详细信息,请参阅的“让我们在Lighttpd上加密”博客文章blog.defun.work/post-72b3f008-e28e-11e6-bad9-485b39c42d0f.html
Givenkoa

@gavenkoa很酷,但是如果我要安装VPS并且正在维护操作系统,那已经远远超出了我想花费的精力(这些天,我的意思是;我曾经运行过网络托管)。到那时,即使我手动更新证书,我也不会有任何问题(尽管如果没有必要,我当然不会)。我现在通常会使用共享托管,或者就我当前的站点而言,将使用通过CloudFlare代理的github页面。但是,如果您已经拥有可以运行它的环境,那么certbot似乎很棒。
briantist

我已经阅读了旧文章scotthelme.co.uk/tls-conundrum-and-leaving-cloudflare不知道他们是否仍然允许今天的中间人攻击,但是他们的SSL保护过去存在问题(乞讨2014)...
gentnkoa

对于github子域,它们支持HTTPS:github.com/blog/2186-https-for-github-pages(2016年8月)。
gotnkoa

1
@gavenkoa我知道这些问题,尽管CF对配置选项及其含义很开放。如果要使用它们,还应该知道细节。我不会确切地称它们为问题,但是无论如何这都超出了这个问题的范围。他们提供的是一种一键(通常)零努力的免费方法,可以将网站切换到https,因此即使将http从CF配置为后端到浏览器和搜索引擎,它看起来也一样,我相信这是小型网站转换的重要来源。
briantist
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.