Hangi olaylar HTTPS'ye toplu göçe neden oldu?

Birkaç yıl boyunca Google’ın, Facebook’un, vb. İçeriklerin HTTPS üzerinden sunmaya başladığını (ve hatta yönlendirileceğini) görüyorum.

Güvenli olmayan HTTP'de şifreler isteyen sitelere hizmet vermek, 1999'da bile yanlıştı, ancak 2010'da bile kabul edilebilir olarak kabul edildi.

Ancak günümüzde herkese açık sayfalar bile (Bing / Google'dan gelen sorgular gibi) HTTPS aracılığıyla sunuluyor.

Hangi olaylar HTTPS'ye toplu göçe neden oldu? Wikileaks skandalı, ABD / AB kolluk kuvvetleri, genellikle sunucu zamanının maliyetinin düşmesi, yönetimde BT kültür seviyesinin artmasıyla birlikte SSL / TSL anlaşmasının maliyetini düşürdü?

Https://letsencrypt.org/ gibi kamu çabaları bile çok uzun zaman önce başlamıştı ...

@briantist Aynı zamanda hobi sitelerinde bulundum ve ucuz / zahmetsiz SSL / TLS çözümüyle ilgileniyorum. Geçenlerde değerlendirdi (5 $ / ay başlar) VPS için edelim şifrelemek ile certbotde (mevcut diğer botlar) webrootçalışma modunda. Bu bana 3 ay geçerli SAN sertifikası sağlıyor (ve croniş başında - son kullanma tarihinden bir ay önce gerçekleştirilen yenileme):

certbot certonly -n --expand --webroot \
        -w /srv/www/base/ -d example.com \
        -w /srv/www/blog/ -d blog.example.com

Buna dahil olan birçok faktör var:

• Sanal konaklarla güvenlik için tarayıcı ve sunucu teknolojisi. Güvenli site başına özel bir IP adresine ihtiyaç duyuyordunuz, ancak artık SNI kullanırken durum böyle değil .
• Düşük maliyetli güvenlik sertifikaları. Bazı tek etki alanı davaları için ücretsiz olanları bile vardır . On yıl önce bir joker alan için 300 $ / yıl bakıyordum, ancak şimdi birkaç alan için joker karakterler içeren bir sertifika alabiliyorum, 70 $ / yıl.
• HTTPS ek yükü önemli ölçüde düştü. Fazladan sunucu kaynakları gerektiriyordu, ancak şimdi genel gider ihmal edilebilir . Hatta çoğu zaman HTTP'yi arka uç sunucularla konuşabilen yük dengeleyiciler içine yerleştirilmiştir.
• AdSense gibi reklam ağları HTTPS'yi desteklemeye başladı. Birkaç yıl önce, çoğu reklam ağına sahip bir HTTPS web sitesinden para kazanmak mümkün değildi.
• Google HTTPS’yi bir sıralama faktörü olarak ilan ediyor .
• Facebook ve Google gibi , HTTPS'ye taşınan her şey için büyük şirketler bu uygulamayı normalleştirdi.
• Tarayıcılar güvensiz olduğu konusunda uyarmaya başlıyor.

Google gibi her zaman HTTPS'ye geçebilecek büyük şirketler için, onları uygulamaya zorlayan birkaç şey olduğunu düşünüyorum:

• HTTP üzerinden rekabetçi istihbarat verilerinin sızdırılması. Google’ın HTTPS’ye geçtiğini düşünüyorum, çünkü pek çok ISS ve rakip, kullanıcıların HTTP’de aradıklarına bakıyordu. Arama motoru sorgularını tamamlamanın altında tutmak Google için büyük bir motivasyondu.
• Google ve Facebook gibi siteleri hedefleyen kötü amaçlı yazılımların yükselişi. HTTPS, zararlı yazılımların tarayıcı isteklerini yakalamasını ve reklamları enjekte etmesini veya kullanıcıları yönlendirmesini zorlaştırır.

Her ikisinin de çalıştığı durumlarda HTTPS'yi daha sık görmenizin bazı nedenleri de vardır:

• Google, HTTP sürümü de çalıştığında HTTPS sürümünü dizine eklemeyi tercih ediyor
• Çoğu insan, kullanılabilir olduğunda otomatik olarak HTTPS sitelerini kullanan HTTPS Everywhere tarayıcı eklentisine sahiptir. Bu, bu kullanıcıların HTTPS sitelerine yeni bağlantılar oluşturduğu anlamına gelir
• Güvenlik ve gizlilik endişeleri nedeniyle daha fazla site HTTPS'ye yönlendiriliyor.

Şimdiye kadar verilen cevaplar, HTTPS'nin neden daha popüler hale geldiğine dair çeşitli itme ve itme nedenlerinden bahsediyor.

Ancak, HTTPS'nin gerçekte ne kadar önemli olduğunu gösteren 2010 ve 2011 yıllarının yaklaşık 2 önemli uyandırma çağrısı var: Oturumun kaçırılmasına izin veren Firesheep ve Facebook oturum açma işleminde kimlik bilgilerini çalmak için Tunus hükümeti.

Firesheep , 2010 yılı ekim ayında Eric Butler tarafından yaratılan ve Firefox eklentisi olan ve herkese açık WiFi kanallarındaki diğer istekleri engelleyen ve bu istekleri yapan kullanıcıları taklit etmek için bu isteklerden gelen çerezleri kullanan herkese izin veren bir Firefox eklentisidir. Ücretsiz, kullanımı kolay ve hepsinden öte, uzmanlık bilgisi gerektirmiyordu. Çerezleri hasat etmek için bir düğmeye, ardından da hasat edilmiş çerezlerden herhangi birini kullanarak yeni bir oturum başlatmak için bir düğmeye tıklamanız yeterlidir.

Birkaç gün içinde daha fazla esnekliğe sahip kopyalar ortaya çıktı ve haftalar içinde birçok büyük site HTTPS'yi desteklemeye başladı. Ardından birkaç ay sonra, İnternet üzerinden bir başka farkındalık dalgası gönderen ikinci bir olay gerçekleşti.

Aralık 2010'da Arap Baharı Tunus'ta başladı. Tunus hükümeti , bölgenin diğerleri gibi, isyanı bastırmaya çalıştı. Bunu denedikleri yollardan biri, Facebook da dahil olmak üzere Sosyal Medya’yı engellemekti. İsyan sırasında, büyük oranda Tunus hükümeti tarafından kontrol edilen Tunuslu ISS'lerin, Facebook giriş sayfasına gizlice şifre toplama kodu enjekte ettikleri anlaşıldı. Facebook, tüm ülkeyi HTTPS'ye geçiren ve etkilenenlerin kimliklerini onaylamalarını istemekle yükümlü olduklarını fark ettikten sonra hızla davrandı.

Aurora operasyonu denilen bir şey vardı (iddia edildiği gibi) Çinli krakerler Google'ınki gibi ABD bilgisayarlarına giriyordu.

Google, 2010 yılında Aurora Operasyonu ile halka açıldı. Ürünlerini güvence altına alma çabalarını göstererek zararı değere dönüştürmeye karar verdiler. Böylece kaybedenler yerine lider olarak ortaya çıkıyorlar. Aksi halde çaba göstermeleri gerekiyordu, aksi takdirde anlayanlar tarafından aleni bir şekilde gülüşürlerdi.

Google, bir internet şirketi olduğundan, kullanıcılarına iletişim konusunda güvenlerini yeniden yüklemeleri kritik öneme sahipti . Plan çalıştı ve kullanıcılarının takip etmesi veya yüzleşmesi için gerekli olan diğer birliklerin google'a geçiş yapması gerekiyordu.

2013 yılında Snowden tarafından belirgin bir şekilde Küresel gözetim açıklamaları olarak adlandırılan şey oldu . İnsanlar cesetlere olan güvenlerini kaybetti.

Birçok insanın indie yapmayı ve HTTPS kullanmasını sağladı; Birlikte çalıştığı kişi , survellience'ın pahalı olması gerektiğini açıklayan şifrelemeyi kullanmak için açık çağrılar yaptı .

güçlü şifreleme * kritik derecede yüksek kullanıcı hacmi = pahalı survellience.

2013 yılındaydı. Bu, daha yakın bir zamanda Snowden'ın bunun muhtemelen artık yeterli olmadığını ve sizin için haklarınızı yasal olarak güçlendirmek için çalışan insanlara para harcamanız gerektiğini söyledi, bu yüzden vergi parası survellience endüstrisinden uzaklaşıyor.

Bununla birlikte, ortalama Joe web yöneticisi için HTTPS ile uzun süredir devam eden sorun, bir sertifikanın paraya mal olmasıydı. Ancak HTTPS için paraya ihtiyacınız var. 2015 yılının sonlarında Let's Encrypt beta genel kullanıma açık olduğunda çözüldü . ACME protokolü ile otomatik olarak HTTPS için ücretsiz cer sağlar . ACME bir İnternet taslağıdır ve bu sayede güvenebileceğiniz insanlar anlamına gelir.

İnternet üzerinden yapılan iletimlerin şifrelenmesi, bu verileri ele geçiren veya tarayan ve kendilerini gerçek web sayfası olarak düşünerek, kendilerini ortalara yerleştiren zararlı ajanlara karşı daha güvenlidir. Bunun gibi başarılı yakalamalar sadece daha fazla kişiyi takip etmeye teşvik eder.

Artık daha uygun fiyatlı ve teknoloji daha erişilebilir olduğundan, herkesi hepimizi koruyan daha güvenli şeyler yapması için zorlamak kolaydır. Daha güvenli olmak, veri pantolonundan etkilenenlerin maliyetlerini ve masraflarını azaltır.

Şifrelemeyi bozma ile ilgili çalışmalar zor ve pahalı olduğunda, faaliyet seviyesini düşük tutacak ve yalnızca ilgili zamana ve paraya yatırım yapmaya istekli olanlarla sınırlı kalacaktır. Evinizin kapılarındaki kilitler gibi, çoğu insanı dışarıda tutar ve daha üst düzey suç faaliyetlerine konsantre olmak için polisi serbest bırakır.

Bahsetmediğim bir şey daha, 29 Eylül 2014'te CloudFlare (çok popüler bir CDN, çünkü orta ölçekli büyüklükteki sitelerin çoğu bunları basit DNS değişiklikleriyle ücretsiz olarak kullanabilir), tüm siteler için ücretsiz SSL teklifini açıkladı onlar vekil .

Temel olarak, içinden proxy kullanan herkes kendi sitelerini otomatik olarak ve hemen vurabilir https://ve işe yaradı; arka uçlarda değişiklik yapılması gerekmiyor, para ödeyecek veya yenilenecek bir şey yok.

Şahsen ve aynı gemideki diğer birçok insan için, bu benim için ölçeklendirilir. Sitelerimin tümü, SSL için kullanmak istediğim ancak maliyet ve bakım süresini haklı çıkaramadığım kişisel / hobi siteler. Genellikle, maliyet, sertifikanın maliyetinin aksine daha pahalı bir barındırma planı kullanmak (ya da ücretsiz seçenekleri kullanmak yerine ödeme yapmaya başlamak) zorunda kalmaktan ibaretti.