Quels événements ont provoqué une migration de masse vers HTTPS?

Depuis plusieurs années, je vois que Google, Facebook, etc. commencent à servir (et même à rediriger) du contenu via HTTPS.

Servir des sites qui invitaient des mots de passe dans un protocole HTTP non sécurisé était erroné même en 1999, mais considéré comme acceptable même en 2010.

Mais de nos jours, même les pages publiques (comme les requêtes de Bing / Google) sont servies via HTTPS.

Quels événements ont provoqué une migration de masse vers HTTPS? Scandale Wikileaks, application de la loi américaine et européenne, réduction du coût de la négociation SSL / TSL avec réduction du coût du temps de serveur, augmentation du niveau de culture informatique dans la gestion?

Même des efforts publics comme https://letsencrypt.org/ ont commencé il n'y a pas si longtemps ...

@briantist Comme je gère également des sites de loisirs et que je suis intéressé par une solution SSL / TLS économique / sans effort. Pour VPS (qui commence à 5 $ / mois), j'ai récemment évalué Chiffrons avec certbot(autres bots disponibles) en webrootmode de fonctionnement. Cela me fournit un certificat SAN valide pendant 3 mois (et il s'agit d' cronun renouvellement de contrat effectué un mois avant la date d'expiration):

certbot certonly -n --expand --webroot \
        -w /srv/www/base/ -d example.com \
        -w /srv/www/blog/ -d blog.example.com

Il y a beaucoup de facteurs qui ont été pris en compte, notamment:

• Navigateur et technologie de serveur pour la sécurité avec des hôtes virtuels. Vous aviez besoin d'une adresse IP dédiée par site sécurisé, mais ce n'est plus le cas avec SNI .
• Certificats de sécurité gratuits et à moindre coût. Let's Encrypt publie maintenant environ la moitié de tous les certificats gratuitement. Il y a dix ans, je cherchais 300 $ par an pour un domaine générique, mais à présent, même les certificats génériques payés peuvent s'élever à 70 $ par an.
• Les frais généraux liés à HTTPS ont considérablement diminué. Auparavant, cela nécessitait des ressources supplémentaires sur le serveur, mais la charge est maintenant négligeable . Il est même souvent intégré dans les équilibreurs de charge capables de communiquer HTTP avec les serveurs principaux.
• Les réseaux d'annonces tels que AdSense ont commencé à prendre en charge le protocole HTTPS. Il y a quelques années, il n'était pas possible de monétiser un site Web HTTPS avec la plupart des réseaux de publicité.
• Google annonçant HTTPS comme facteur de classement.
• Les grandes entreprises comme Facebook et Google qui ont migré vers HTTPS pour tout normaliser la pratique.
• Les navigateurs commencent à avertir que HTTP n'est pas sécurisé.

Pour les grandes entreprises telles que Google, qui pourraient toujours se permettre de passer à HTTPS, je pense qu’un certain nombre de facteurs les ont incitées à le mettre en œuvre:

• Fuite de données de veille concurrentielle sur HTTP. Je pense que Google a adopté le protocole HTTPS en grande partie parce qu'un grand nombre de fournisseurs d'accès à Internet et de concurrents examinaient les recherches des utilisateurs via HTTP. Garder les requêtes des moteurs de recherche secrètes était une grande motivation pour Google.
• Hausse des programmes malveillants ciblant des sites tels que Google et Facebook. Le protocole HTTPS empêche les programmes malveillants d'intercepter les requêtes du navigateur et d'injecter des annonces ou de rediriger les utilisateurs.

Il existe également certaines raisons pour lesquelles vous consultez HTTPS plus souvent dans les cas où les deux fonctionnent:

• Google préfère indexer la version HTTPS lorsque la version HTTP fonctionne également
• Beaucoup de gens ont le plugin de navigateur HTTPS Everywhere qui leur permet d'utiliser automatiquement les sites HTTPS lorsqu'ils sont disponibles. Cela signifie que ces utilisateurs créent également de nouveaux liens vers des sites HTTPS.
• De plus en plus de sites sont redirigés vers HTTPS pour des raisons de sécurité et de confidentialité.

Les réponses à ce jour portent sur diverses raisons pour lesquelles le protocole HTTPS devient de plus en plus populaire.

Cependant, deux grands appels de réveil datant d'environ 2010 et 2011 ont montré à quel point HTTPS est important: Firesheep permettant le détournement de session et le gouvernement tunisien interceptant les connexions Facebook pour voler des informations d'identification.

Firesheep était un plugin Firefox d'octobre 2010 créé par Eric Butler, qui permettait à quiconque disposant du plugin installé d'intercepter d'autres requêtes sur des canaux WiFi publics et d'utiliser les cookies de ces requêtes pour emprunter l'identité de ces utilisateurs. C'était gratuit, facile à utiliser et surtout, il n'avait pas besoin de connaissances spécialisées. il vous suffit de cliquer sur un bouton pour récupérer les cookies, puis sur un autre pour démarrer une nouvelle session en utilisant l'un des cookies récoltés.

Quelques jours plus tard, des copies avec plus de flexibilité sont apparues et quelques semaines plus tard, de nombreux sites majeurs ont commencé à prendre en charge le protocole HTTPS. Quelques mois plus tard, un deuxième événement a eu lieu qui a provoqué une nouvelle vague de sensibilisation via Internet.

En décembre 2010, le printemps arabe a débuté en Tunisie. Le gouvernement tunisien , comme beaucoup d'autres de la région, a tenté de réprimer la révolte. L'un des moyens utilisés pour cela consistait à entraver les médias sociaux, y compris Facebook. Au cours de la révolte, il est devenu évident que les FAI tunisiens, largement contrôlés par le gouvernement tunisien, introduisaient secrètement un code de collecte de mots de passe sur la page de connexion de Facebook. Facebook a rapidement réagi contre cette situation une fois qu'ils ont constaté ce qui se passait, basculant le pays entier vers le protocole HTTPS et obligeant les personnes concernées à confirmer leur identité.

Il y a eu ce qu'on a appelé l' opération Aurora, qui était (prétendument) comme des pirates chinois qui s'introduisent dans les ordinateurs américains tels que ceux de Google.

Google a annoncé publiquement l'opération Aurora en 2010. Il semble qu'ils aient décidé de convertir la perte en valeur en montrant leurs efforts pour sécuriser leurs produits. Ainsi, au lieu de perdants, ils se présentent comme des leaders. Ils avaient besoin d'efforts réels sinon ils auraient été ridiculisés publiquement par ceux qui comprennent.

Google est une société Internet. Il était donc crucial pour eux de rétablir la confiance de leurs utilisateurs en ce qui concerne la communication. Le plan fonctionnait et les autres corps devaient suivre ou faire face à la migration de leurs utilisateurs vers Google.

En 2013 ce qui allait être appelé informations de surveillance mondiale en évidence par Snowden passé . Les gens ont perdu confiance dans les corps.

Beaucoup de gens ont décidé de passer au mode indé et d’utiliser HTTPS, ce qui a ensuite provoqué la migration récente. Avec qui il a travaillé, il a explicitement appelé à utiliser le chiffrement, expliquant que la survie doit être coûteuse.

chiffrement fort * nombre d'utilisateurs extrêmement élevé = coût de survie élevé.

C'était en 2013. Cela dit, plus récemment, Snowden a déclaré que ce n'est probablement plus suffisant et que vous devriez également dépenser de l'argent pour les personnes qui travaillent au renforcement juridique de vos droits, de sorte que l'argent des taxes disparaisse du secteur de la survie.

Néanmoins, pour le webmaster moyen Joe, le problème de longue date avec HTTPS était que l’obtention d’un certificat coûtait de l’argent. Mais vous avez besoin de certificats pour HTTPS. Il a été résolu fin 2015 lorsque la version bêta de Let's Encrypt est devenue disponible pour le grand public. Il vous donne des certificats gratuits pour HTTPS automatiquement via le protocole ACME . ACME est un brouillon Internet, ce qui signifie pour les gens que vous pouvez en quelque sorte vous y fier.

Le cryptage des transmissions sur Internet est plus sécurisé contre les agents néfastes qui interceptent ou scannent ces données et s’insèrent au milieu, vous faisant croire que c’est la véritable page Web. Des conversations interceptées comme celle-ci ne font qu'encourager davantage de personnes à suivre.

Maintenant qu’elle est plus abordable et que la technologie est plus accessible, il est plus facile de pousser tout le monde à faire des choses plus sûres qui nous protègent tous. Etre plus sécurisé réduit les coûts et les dépenses des personnes affectées par des violations de données.

Lorsque le travail requis pour casser le cryptage devient difficile et coûteux, le niveau d’activité sera réduit et réservé à ceux qui souhaitent investir le temps et l’argent nécessaires. Comme des serrures sur les portes de votre maison, il empêchera la plupart des gens de sortir et permettra à la police de se concentrer sur les activités criminelles de haut niveau.

Une autre chose que je n'ai pas vue mentionnée, le 29 septembre 2014, CloudFlare (un CDN de procuration très populaire car la plupart des sites de taille moyenne peuvent les utiliser efficacement avec de simples modifications DNS), a annoncé l'offre de SSL gratuit pour tous les sites. ils proxy .

Essentiellement, toute personne mandatée par leur intermédiaire pourrait automatiquement et immédiatement accéder à leur site https://, ce qui a fonctionné; aucun changement nécessaire sur les backends, rien à payer ou à renouveler.

Pour moi personnellement et pour beaucoup d'autres personnes dans le même bateau, c'est la balance pour moi. Mes sites sont tous des sites personnels / de loisirs pour lesquels j'aurais aimé utiliser SSL, mais je ne pouvais pas justifier le coût et le temps de maintenance. Souvent, le coût consistait davantage à utiliser un plan d'hébergement plus coûteux (ou à commencer à payer au lieu d'utiliser des options gratuites) par opposition au coût du cert lui-même.