¿Qué eventos causaron la migración masiva a HTTPS?

40

Durante varios años, veo que Google, Facebook, etc. comienzan a servir (e incluso redirigen a) contenido a través de HTTPS.

Servir a sitios que solicitan contraseñas en HTTP inseguro era incorrecto incluso en 1999, pero se consideró aceptable incluso en 2010.

Pero hoy en día, incluso las páginas públicas (como las consultas de Bing / Google) se sirven a través de HTTPS.

¿Qué eventos causaron la migración masiva a HTTPS? El escándalo de Wikileaks, la aplicación de la ley de EE. UU. Y la UE, el costo reducido del protocolo de enlace SSL / TSL con un costo generalmente reducido del tiempo del servidor, ¿creciendo el nivel de cultura de TI en la administración?

Incluso los esfuerzos públicos como https://letsencrypt.org/ comenzaron hace poco ...

@briantist Como también mantengo sitios de hobby y estoy interesado en una solución SSL / TLS barata / sin esfuerzo. Para VPS (que comienza desde 5 $ / mes), recientemente evalué Let's cifre con certbot(otros bots disponibles) en webrootmodo de operación. Esto me proporciona un certificado SAN válido por 3 meses (y está en el crontrabajo; la renovación se realizó un mes antes de la fecha de vencimiento):

certbot certonly -n --expand --webroot \
        -w /srv/www/base/ -d example.com \
        -w /srv/www/blog/ -d blog.example.com
revs gavenkoa
fuente
2
Esta es una pregunta bastante amplia, basada en la opinión, que probablemente conducirá a una lista de diferentes factores, en lugar de uno único definitivo, por lo que se está convirtiendo en un Wiki de la comunidad para que otros puedan editar y contribuir fácilmente.
dan
66
El "internet" es más seguro para el usuario final si todo es SSL.
DocRoot
3
Sin embargo, ¿es realmente una migración masiva? Como observa en la pregunta, el proceso ha tomado mucho tiempo. ¿Podría ser que ahora estamos viendo la parte más empinada de una curva de crecimiento logístico? Si el proceso se aceleró recientemente, se lo atribuiría a Snowden.
kasperd
66
Esto es lo que finalmente lo hizo por nosotros , nadie quiere un "no seguro" rojo brillante en un sitio de comercio electrónico ..
user2070057
3
letsencrypt comenzó en 2012. anunciado 2014, público beta a finales de 2015, público en 2016.
n611x007

Respuestas:

48

Hay muchos factores que intervienen, incluidos:

  • Tecnología de navegador y servidor para seguridad con hosts virtuales. Solía ​​necesitar una dirección IP dedicada por sitio seguro, pero ese ya no es el caso con SNI .
  • Costo más bajo y certificados de seguridad gratuitos. Let's Encrypt ahora emite aproximadamente la mitad de todos los certificados de forma gratuita. Hace diez años, estaba buscando $ 300 / año para un dominio comodín, pero ahora incluso los certificados comodín pagados pueden ser tan bajos como $ 70 / año.
  • La sobrecarga de HTTPS cayó significativamente. Solía ​​requerir recursos de servidor adicionales, pero ahora la sobrecarga es insignificante . Incluso a menudo está integrado en equilibradores de carga que pueden comunicar HTTP a los servidores de fondo.
  • Las redes publicitarias como AdSense comenzaron a admitir HTTPS. Hace unos años, no era posible monetizar un sitio web HTTPS con la mayoría de las redes publicitarias.
  • Google anuncia HTTPS como factor de clasificación.
  • Grandes empresas como Facebook y Google que se trasladaron a HTTPS para todo normalizaron la práctica.
  • Los navegadores están comenzando a advertir que HTTP es inseguro.

Para las grandes empresas como Google que siempre pueden permitirse el lujo de pasar a HTTPS, creo que hubo un par de cosas que las impulsaron a implementarlo:

  • Fugas de datos de inteligencia competitiva sobre HTTP. Creo que Google se mudó a HTTPS en gran parte porque muchos ISP y competidores estaban mirando lo que los usuarios buscaban a través de HTTP. Mantener las consultas de los motores de búsqueda en secreto fue una gran motivación para Google.
  • Aumento de malware dirigido a sitios como Google y Facebook. HTTPS dificulta que el malware intercepte las solicitudes del navegador e inyecte anuncios o redirija a los usuarios.

También hay algunas razones por las que ve HTTPS con más frecuencia en los casos en que ambos funcionan:

  • Google prefiere indexar la versión HTTPS cuando la versión HTTP también funciona
  • Muchas personas tienen el complemento de navegador HTTPS Everywhere que automáticamente les hace usar sitios HTTPS cuando están disponibles. Eso significa que esos usuarios también crean nuevos enlaces a sitios HTTPS
  • Más sitios están redirigiendo a HTTPS debido a problemas de seguridad y privacidad.
Stephen Ostermiller
fuente
77
No olvide HTTP / 2, que actualmente solo se implementa para HTTPS, tampoco olvide que Google clasifica los sitios HTTPS (ligeramente) más altos que los sitios HTTP ...
wb9688
Sugiero un cambio de orden. Creo que fue un problema de privacidad, que ahora se puede solucionar debido a los avances técnicos. No creo que la gente TLS porque 'pueden ahora'. :)
Martijn
1
Siempre ha habido un problema de privacidad y todos siempre lo sabían. Sí, la privacidad era la principal preocupación para algunas grandes empresas, pero para la gran cantidad de sitios web más pequeños, la facilidad y el costo fueron factores más importantes. Lo digo por experiencia personal. Siempre quise asegurar mis sitios web personales, pero recientemente se volvió barato y fácil.
Stephen Ostermiller
2
Escribiste mal el 1% de gastos generales .
Michael Hampton
18

Las respuestas hasta ahora hablan sobre varias razones de atracción y empuje de por qué HTTPS se está volviendo cada vez más popular.

Sin embargo, hay 2 llamadas de atención importantes de alrededor de 2010 y 2011 que mostraron cuán importante es realmente HTTPS: Firesheep que permite el secuestro de sesión y el gobierno tunecino que intercepta los inicios de sesión de Facebook para robar credenciales.

Firesheep era un complemento de Firefox de octubre de 2010 creado por Eric Butler, que permitía a cualquier persona con el complemento instalado interceptar otras solicitudes en canales públicos de WiFi y usar las cookies de esas solicitudes para suplantar a los usuarios que hacen esas solicitudes. Era gratuito, fácil de usar y, sobre todo, no necesitaba conocimientos especializados. simplemente haga clic en un botón para recolectar cookies y luego en otro para comenzar una nueva sesión utilizando cualquiera de las cookies recolectadas.

En cuestión de días, aparecieron imitadores con más flexibilidad, y en cuestión de semanas, muchos sitios importantes comenzaron a admitir HTTPS. Luego, unos meses más tarde, ocurrió un segundo evento que envió otra oleada de conciencia a través de Internet.

En diciembre de 2010, comenzó la Primavera Árabe en Túnez. El gobierno tunecino , como muchos otros de la región, trató de reprimir la revuelta. Una de las formas en que lo intentaron fue obstaculizando las redes sociales, incluido Facebook. Durante la revuelta, quedó claro que los ISP tunecinos, que estaban en gran medida controlados por el gobierno tunecino, estaban inyectando secretamente el código de recolección de contraseñas en la página de inicio de sesión de Facebook. Facebook actuó rápidamente en contra de esto una vez que notaron lo que estaba sucediendo, cambiando todo el país a HTTPS y exigiendo a los afectados que confirmaran su identidad.

revs Nzall
fuente
Supongo que el Firesheep uno debería ser 2010, o la Primavera Árabe debería ser 2011. De lo contrario, el bit de "unos meses después" no tiene ningún sentido.
Chris Hayes
@ChrisHayes oops, Firesheep fue 2010, no 2011. Corregido. Además, no sabíamos sobre el gobierno tunecino robando credenciales de Facebook hasta enero de 2011.
Nzall
11

Hubo lo que se denominó Operación Aurora, que (supuestamente) eran crackers chinos que irrumpieron en computadoras de EE. UU. Como Google.

Google hizo pública la Operación Aurora en 2010. Parece que decidieron convertir la pérdida en valor al mostrar los esfuerzos para asegurar sus productos. Entonces, en lugar de perdedores, aparecen como líderes. Necesitaban esfuerzos reales, de lo contrario habrían sido ridiculizados públicamente por aquellos que entienden.

Google es una empresa de Internet, por lo que fue crítico para ellos reinstalar la confianza en sus usuarios sobre la comunicación. El plan funcionó y otros cuerpos necesitaban seguir o enfrentar a sus usuarios migrar a google.

En 2013 sucedió lo que se denominó divulgaciones de vigilancia global prominentemente por Snowden . La gente perdió la confianza en el cuerpo.

Muchas personas consideraron irse indie y usar HTTPS, lo que luego causó la migración reciente. Él y con quién trabajó dio llamadas explícitas para usar el cifrado explicando que la vigilancia debe ser costosa.

cifrado fuerte * volumen críticamente alto de usuarios = vigilancia costosa.

Era 2013. Dicho esto, más recientemente Snowden dijo que probablemente esto ya no sea suficiente y que también debe gastar dinero en personas que trabajan para fortalecer legalmente sus derechos para usted, por lo que el dinero de los impuestos desaparece de la industria de la vigilancia.

Sin embargo, para el webmaster de Avarage Joe, el problema de larga data con HTTPS fue que obtener un certificado costaba dinero. Pero necesitas certs para HTTPS. Se resolvió a finales de 2015 cuando Let's Encrypt beta estuvo disponible para el público en general. Le proporciona certificados gratuitos para HTTPS automáticamente a través del protocolo ACME . ACME es un borrador de Internet que significa para las personas en las que puede confiar.

n611x007
fuente
5

Cifrar las transmisiones a través de Internet es más seguro contra los agentes nefastos que interceptan o escanean estos datos y se insertan en el medio, haciéndote creer que son la página web real. Las intercepciones exitosas como esta solo animan a más y otros a seguir.

Ahora que es más asequible y la tecnología más accesible, es más fácil presionar para que todos hagan cosas más seguras que nos protejan a todos. Estar más seguro reduce los costos y gastos de las personas afectadas por la violación de datos.

Cuando el trabajo involucrado en romper el cifrado se vuelve difícil y costoso, mantendrá el nivel de actividad bajo y restringido solo a aquellos dispuestos a invertir el tiempo y el dinero involucrados. Al igual que las cerraduras de las puertas de su casa, mantendrá a la mayoría de las personas fuera y liberará a la policía para que se concentre en actividades delictivas de alto nivel.

Robar
fuente
4

Otra cosa que no vi mencionó, el 29 de septiembre de 2014, CloudFlare (un CDN proxy muy popular porque la mayoría de los sitios de tamaño moderado puede usarlos de forma efectiva de forma gratuita con simples cambios de DNS), anunció la oferta de SSL gratis para todos los sitios ellos apoyan .

Esencialmente, cualquier persona que los atraviese podría acceder automáticamente e inmediatamente a su sitio https://y simplemente funcionaría; No se necesitan cambios en el backends, nada que pagar o renovar.

Para mí personalmente y para muchas otras personas en el mismo bote, esto es lo mejor para mí. Mis sitios son básicamente sitios personales / de pasatiempos para los que me hubiera gustado usar SSL, pero no podía justificar el costo y el tiempo de mantenimiento. A menudo, el costo era más tener que usar un plan de alojamiento más caro (o comenzar a pagar en lugar de usar opciones gratuitas) en lugar del costo del certificado en sí.

briantista
fuente
Ver mi actualización a la pregunta. Los detalles están disponibles en mi configuración Let's Encrypt en la publicación de blog Lighttpd blog.defun.work/post-72b3f008-e28e-11e6-bad9-485b39c42d0f.html
gavenkoa
@gavenkoa, eso es genial, pero si estoy en el punto en que tengo un VPS y mantengo el sistema operativo, eso ya va mucho más allá de la cantidad de esfuerzo que quiero gastar (en estos días, quiero decir; solía ejecutar un alojamiento web). En ese momento, no tendría ningún problema incluso si estuviera actualizando manualmente los certificados (aunque ciertamente no lo haría si no tuviera que hacerlo). Normalmente usaría hosting compartido hoy en día, o en el caso de mi sitio actual, páginas de github con proxy a través de CloudFlare. Pero sí, certbot parece genial si ya tienes el entorno donde puedes ejecutarlo.
briantist
He leído el artículo anterior scotthelme.co.uk/tls-conundrum-and-leaving-cloudflare No sé si todavía permiten el ataque de hombre en el medio para las ofertas de hoy, pero sus protecciones SSL tienen problemas en el pasado ( rogando 2014) ...
gavenkoa
Y para los subdominios de github admiten HTTPS: github.com/blog/2186-https-for-github-pages (agosto de 2016).
gavenkoa
1
@gavenkoa Soy consciente de esas preocupaciones, aunque CF es bastante abierto sobre las opciones de configuración y lo que significan; Si uno quiere usarlos, también debe conocer los detalles. No los llamaría exactamente problemas, pero en cualquier caso eso está un poco más allá del alcance de esta pregunta. Su oferta fue una forma gratuita de un clic (a menudo) sin esfuerzo, para cambiar un sitio a https, por lo que incluso con la configuración de http desde CF a su backend, a los navegadores y motores de búsqueda, se ve igual y creo fue una gran fuente de conversiones de sitios pequeños.
briantist