Hangi olaylar HTTPS'ye toplu göçe neden oldu?


40

Birkaç yıl boyunca Google’ın, Facebook’un, vb. İçeriklerin HTTPS üzerinden sunmaya başladığını (ve hatta yönlendirileceğini) görüyorum.

Güvenli olmayan HTTP'de şifreler isteyen sitelere hizmet vermek, 1999'da bile yanlıştı, ancak 2010'da bile kabul edilebilir olarak kabul edildi.

Ancak günümüzde herkese açık sayfalar bile (Bing / Google'dan gelen sorgular gibi) HTTPS aracılığıyla sunuluyor.

Hangi olaylar HTTPS'ye toplu göçe neden oldu? Wikileaks skandalı, ABD / AB kolluk kuvvetleri, genellikle sunucu zamanının maliyetinin düşmesi, yönetimde BT kültür seviyesinin artmasıyla birlikte SSL / TSL anlaşmasının maliyetini düşürdü?

Https://letsencrypt.org/ gibi kamu çabaları bile çok uzun zaman önce başlamıştı ...

@briantist Aynı zamanda hobi sitelerinde bulundum ve ucuz / zahmetsiz SSL / TLS çözümüyle ilgileniyorum. Geçenlerde değerlendirdi (5 $ / ay başlar) VPS için edelim şifrelemek ile certbotde (mevcut diğer botlar) webrootçalışma modunda. Bu bana 3 ay geçerli SAN sertifikası sağlıyor (ve croniş başında - son kullanma tarihinden bir ay önce gerçekleştirilen yenileme):

certbot certonly -n --expand --webroot \
        -w /srv/www/base/ -d example.com \
        -w /srv/www/blog/ -d blog.example.com

2
Bu oldukça geniş, görüşe dayalı bir sorudur, muhtemelen tek bir kesin olandan farklı faktörlerin bir listesine yol açacaktır, bu nedenle başkalarının kolayca düzenleyebilmesi ve katkıda bulunabilmesi için Topluluk Wiki'sine dönüştürülecektir .
dan

6
Her şey SSL ise, "internet" son kullanıcı için daha güvenlidir .
DocRoot

3
Gerçekten de toplu bir göç mü? Soruda not ettiğiniz gibi süreç uzun zaman aldı. Lojistik büyüme eğrisinin en dik kısmını şimdi görüyor olabilir miyiz? Eğer süreç yakın zamanda hızlandırılmış olsaydı, bunu Snowden'e yüklerdim.
kasperd

6
Bu bizim için nihayet yaptı , hiç kimse bir e-ticaret sitesinde "güvenli değil" parlak kırmızı istemiyor ..
user2070057 25:17

3
letsencrypt 2012'de başladı. 2014'ün halka açık, 2015 yılının sonlarında halka açık, 2016 yılında halka açık.
n611x007

Yanıtlar:


48

Buna dahil olan birçok faktör var:

  • Sanal konaklarla güvenlik için tarayıcı ve sunucu teknolojisi. Güvenli site başına özel bir IP adresine ihtiyaç duyuyordunuz, ancak artık SNI kullanırken durum böyle değil .
  • Düşük maliyetli güvenlik sertifikaları. Bazı tek etki alanı davaları için ücretsiz olanları bile vardır . On yıl önce bir joker alan için 300 $ / yıl bakıyordum, ancak şimdi birkaç alan için joker karakterler içeren bir sertifika alabiliyorum, 70 $ / yıl.
  • HTTPS ek yükü önemli ölçüde düştü. Fazladan sunucu kaynakları gerektiriyordu, ancak şimdi genel gider ihmal edilebilir . Hatta çoğu zaman HTTP'yi arka uç sunucularla konuşabilen yük dengeleyiciler içine yerleştirilmiştir.
  • AdSense gibi reklam ağları HTTPS'yi desteklemeye başladı. Birkaç yıl önce, çoğu reklam ağına sahip bir HTTPS web sitesinden para kazanmak mümkün değildi.
  • Google HTTPS’yi bir sıralama faktörü olarak ilan ediyor .
  • Facebook ve Google gibi , HTTPS'ye taşınan her şey için büyük şirketler bu uygulamayı normalleştirdi.
  • Tarayıcılar güvensiz olduğu konusunda uyarmaya başlıyor.

Google gibi her zaman HTTPS'ye geçebilecek büyük şirketler için, onları uygulamaya zorlayan birkaç şey olduğunu düşünüyorum:

  • HTTP üzerinden rekabetçi istihbarat verilerinin sızdırılması. Google’ın HTTPS’ye geçtiğini düşünüyorum, çünkü pek çok ISS ve rakip, kullanıcıların HTTP’de aradıklarına bakıyordu. Arama motoru sorgularını tamamlamanın altında tutmak Google için büyük bir motivasyondu.
  • Google ve Facebook gibi siteleri hedefleyen kötü amaçlı yazılımların yükselişi. HTTPS, zararlı yazılımların tarayıcı isteklerini yakalamasını ve reklamları enjekte etmesini veya kullanıcıları yönlendirmesini zorlaştırır.

Her ikisinin de çalıştığı durumlarda HTTPS'yi daha sık görmenizin bazı nedenleri de vardır:

  • Google, HTTP sürümü de çalıştığında HTTPS sürümünü dizine eklemeyi tercih ediyor
  • Çoğu insan, kullanılabilir olduğunda otomatik olarak HTTPS sitelerini kullanan HTTPS Everywhere tarayıcı eklentisine sahiptir. Bu, bu kullanıcıların HTTPS sitelerine yeni bağlantılar oluşturduğu anlamına gelir
  • Güvenlik ve gizlilik endişeleri nedeniyle daha fazla site HTTPS'ye yönlendiriliyor.


7
Şu anda yalnızca HTTPS için uygulanan HTTP / 2'yi unutmayın, ayrıca Google’ın HTTPS sitelerini (biraz) HTTP sitelerden biraz daha yüksek sıraladığını da unutmayın…
wb9688

Sırayla bir değişiklik öneriyorum. Teknik gelişmeler nedeniyle şimdi düzeltilebilecek bir gizlilik sorunu olduğunu düşünüyorum. İnsanları TLS sanmıyorum çünkü 'şimdi yapabilirler'. :)
Martijn

1
Her zaman gizlilik sorunu olmuştur ve herkes bunu hep biliyordu. Evet, mahremiyet birkaç büyük şirket için endişe kaynağıydı, ancak daha küçük web sitelerinin kitlesi için kolaylık ve maliyet daha büyük faktörlerdi. Bunu kişisel deneyimimden söylüyorum. Her zaman kişisel web sitelerimi korumak istemiştim, ancak son zamanlarda yalnızca ucuz ve kolay hale geldi.
Stephen Ostermiller


18

Şimdiye kadar verilen cevaplar, HTTPS'nin neden daha popüler hale geldiğine dair çeşitli itme ve itme nedenlerinden bahsediyor.

Ancak, HTTPS'nin gerçekte ne kadar önemli olduğunu gösteren 2010 ve 2011 yıllarının yaklaşık 2 önemli uyandırma çağrısı var: Oturumun kaçırılmasına izin veren Firesheep ve Facebook oturum açma işleminde kimlik bilgilerini çalmak için Tunus hükümeti.

Firesheep , 2010 yılı ekim ayında Eric Butler tarafından yaratılan ve Firefox eklentisi olan ve herkese açık WiFi kanallarındaki diğer istekleri engelleyen ve bu istekleri yapan kullanıcıları taklit etmek için bu isteklerden gelen çerezleri kullanan herkese izin veren bir Firefox eklentisidir. Ücretsiz, kullanımı kolay ve hepsinden öte, uzmanlık bilgisi gerektirmiyordu. Çerezleri hasat etmek için bir düğmeye, ardından da hasat edilmiş çerezlerden herhangi birini kullanarak yeni bir oturum başlatmak için bir düğmeye tıklamanız yeterlidir.

Birkaç gün içinde daha fazla esnekliğe sahip kopyalar ortaya çıktı ve haftalar içinde birçok büyük site HTTPS'yi desteklemeye başladı. Ardından birkaç ay sonra, İnternet üzerinden bir başka farkındalık dalgası gönderen ikinci bir olay gerçekleşti.

Aralık 2010'da Arap Baharı Tunus'ta başladı. Tunus hükümeti , bölgenin diğerleri gibi, isyanı bastırmaya çalıştı. Bunu denedikleri yollardan biri, Facebook da dahil olmak üzere Sosyal Medya’yı engellemekti. İsyan sırasında, büyük oranda Tunus hükümeti tarafından kontrol edilen Tunuslu ISS'lerin, Facebook giriş sayfasına gizlice şifre toplama kodu enjekte ettikleri anlaşıldı. Facebook, tüm ülkeyi HTTPS'ye geçiren ve etkilenenlerin kimliklerini onaylamalarını istemekle yükümlü olduklarını fark ettikten sonra hızla davrandı.


Sanırım Firesheep'in 2010 olması gerektiğini ya da Arap Baharı'nın 2011 olması gerektiğini düşünüyorum. Aksi taktirde "birkaç ay sonra" bit bir anlam ifade etmiyor.
Chris Hayes,

@ChrisHayes ayy, Firesheep, 2011 değil 2010 idi. Ayrıca, Tunus Hükümeti'nin Ocak 2011'e kadar Facebook kimlik bilgilerini çaldığını bilmiyorduk.
Nzall

11

Aurora operasyonu denilen bir şey vardı (iddia edildiği gibi) Çinli krakerler Google'ınki gibi ABD bilgisayarlarına giriyordu.

Google, 2010 yılında Aurora Operasyonu ile halka açıldı. Ürünlerini güvence altına alma çabalarını göstererek zararı değere dönüştürmeye karar verdiler. Böylece kaybedenler yerine lider olarak ortaya çıkıyorlar. Aksi halde çaba göstermeleri gerekiyordu, aksi takdirde anlayanlar tarafından aleni bir şekilde gülüşürlerdi.

Google, bir internet şirketi olduğundan, kullanıcılarına iletişim konusunda güvenlerini yeniden yüklemeleri kritik öneme sahipti . Plan çalıştı ve kullanıcılarının takip etmesi veya yüzleşmesi için gerekli olan diğer birliklerin google'a geçiş yapması gerekiyordu.

2013 yılında Snowden tarafından belirgin bir şekilde Küresel gözetim açıklamaları olarak adlandırılan şey oldu . İnsanlar cesetlere olan güvenlerini kaybetti.

Birçok insanın indie yapmayı ve HTTPS kullanmasını sağladı; Birlikte çalıştığı kişi , survellience'ın pahalı olması gerektiğini açıklayan şifrelemeyi kullanmak için açık çağrılar yaptı .

güçlü şifreleme * kritik derecede yüksek kullanıcı hacmi = pahalı survellience.

2013 yılındaydı. Bu, daha yakın bir zamanda Snowden'ın bunun muhtemelen artık yeterli olmadığını ve sizin için haklarınızı yasal olarak güçlendirmek için çalışan insanlara para harcamanız gerektiğini söyledi, bu yüzden vergi parası survellience endüstrisinden uzaklaşıyor.

Bununla birlikte, ortalama Joe web yöneticisi için HTTPS ile uzun süredir devam eden sorun, bir sertifikanın paraya mal olmasıydı. Ancak HTTPS için paraya ihtiyacınız var. 2015 yılının sonlarında Let's Encrypt beta genel kullanıma açık olduğunda çözüldü . ACME protokolü ile otomatik olarak HTTPS için ücretsiz cer sağlar . ACME bir İnternet taslağıdır ve bu sayede güvenebileceğiniz insanlar anlamına gelir.


5

İnternet üzerinden yapılan iletimlerin şifrelenmesi, bu verileri ele geçiren veya tarayan ve kendilerini gerçek web sayfası olarak düşünerek, kendilerini ortalara yerleştiren zararlı ajanlara karşı daha güvenlidir. Bunun gibi başarılı yakalamalar sadece daha fazla kişiyi takip etmeye teşvik eder.

Artık daha uygun fiyatlı ve teknoloji daha erişilebilir olduğundan, herkesi hepimizi koruyan daha güvenli şeyler yapması için zorlamak kolaydır. Daha güvenli olmak, veri pantolonundan etkilenenlerin maliyetlerini ve masraflarını azaltır.

Şifrelemeyi bozma ile ilgili çalışmalar zor ve pahalı olduğunda, faaliyet seviyesini düşük tutacak ve yalnızca ilgili zamana ve paraya yatırım yapmaya istekli olanlarla sınırlı kalacaktır. Evinizin kapılarındaki kilitler gibi, çoğu insanı dışarıda tutar ve daha üst düzey suç faaliyetlerine konsantre olmak için polisi serbest bırakır.


4

Bahsetmediğim bir şey daha, 29 Eylül 2014'te CloudFlare (çok popüler bir CDN, çünkü orta ölçekli büyüklükteki sitelerin çoğu bunları basit DNS değişiklikleriyle ücretsiz olarak kullanabilir), tüm siteler için ücretsiz SSL teklifini açıkladı onlar vekil .

Temel olarak, içinden proxy kullanan herkes kendi sitelerini otomatik olarak ve hemen vurabilir https://ve işe yaradı; arka uçlarda değişiklik yapılması gerekmiyor, para ödeyecek veya yenilenecek bir şey yok.

Şahsen ve aynı gemideki diğer birçok insan için, bu benim için ölçeklendirilir. Sitelerimin tümü, SSL için kullanmak istediğim ancak maliyet ve bakım süresini haklı çıkaramadığım kişisel / hobi siteler. Genellikle, maliyet, sertifikanın maliyetinin aksine daha pahalı bir barındırma planı kullanmak (ya da ücretsiz seçenekleri kullanmak yerine ödeme yapmaya başlamak) zorunda kalmaktan ibaretti.


Soru güncellememe bakın. Detaylar benim mevcuttur Lighttpd üzerinde edelim Şifrele Ayarı sonrası blog blog.defun.work/post-72b3f008-e28e-11e6-bad9-485b39c42d0f.html
gavenkoa

@gavenkoa bu harika, ama eğer bir VPS'ye sahip olduğum bir noktaysam ve işletim sistemimi koruyorsam, bu zaten harcamak istediğim çabanın ötesinde bir şeydir (bu günlerde, demek istediğim; web barındırma). Bu noktada, (eğer mecbur olmasaydım kesinlikle olmazdıysa) cerleri manuel olarak güncellememe rağmen hiçbir sorun yaşamadım. Genelde bugünlerde paylaşılan barındırma kullanıyordum ya da mevcut sitemde, CloudFlare aracılığıyla proxy'lenen proxy sayfaları kullanıyordum. Ancak, evet certbot, onu yönetebileceğiniz bir ortama zaten sahipseniz harika görünüyor.
Britanyalı

Scotthelme.co.uk/tls-conundrum-and-leaving-cloudflare adlı eski makaleyi okudum Bugün teklifler için hala ortadaki adam saldırısına izin verip vermediklerini bilmiyorum ama SSL korumalarının geçmişte sorunları var (bilmiyorum) yalvarıyor 2014) ...
gavenkoa

Ve github alt alanları için HTTPS'yi destekliyorlar: github.com/blog/2186-https-for-github-pages (Ağu 2016).
gavenkoa

1
@gavenkoa Bu endişelerin farkındayım, ancak CF yapılandırma seçenekleri ve ne anlama geldiği konusunda oldukça açık; eğer biri onları kullanmak isterse, detaylardan da haberdar olmak gerekir. Onlara tam olarak sorun demem ama her durumda bu sorunun kapsamı dışında kalıyor. Teklifleri, tek bir tıklamayla (genellikle) sıfır çabalı, bir siteyi https’e geçirmenin ücretsiz bir yoluydu, böylece http’in CF’den arka uçunuza, tarayıcılara ve arama motorlarına yapılandırmasıyla bile aynı görünüyor ve inanıyorum. büyük bir küçük site dönüşüm kaynağıydı.
Britanist
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.