Quels événements ont provoqué une migration de masse vers HTTPS?


40

Depuis plusieurs années, je vois que Google, Facebook, etc. commencent à servir (et même à rediriger) du contenu via HTTPS.

Servir des sites qui invitaient des mots de passe dans un protocole HTTP non sécurisé était erroné même en 1999, mais considéré comme acceptable même en 2010.

Mais de nos jours, même les pages publiques (comme les requêtes de Bing / Google) sont servies via HTTPS.

Quels événements ont provoqué une migration de masse vers HTTPS? Scandale Wikileaks, application de la loi américaine et européenne, réduction du coût de la négociation SSL / TSL avec réduction du coût du temps de serveur, augmentation du niveau de culture informatique dans la gestion?

Même des efforts publics comme https://letsencrypt.org/ ont commencé il n'y a pas si longtemps ...

@briantist Comme je gère également des sites de loisirs et que je suis intéressé par une solution SSL / TLS économique / sans effort. Pour VPS (qui commence à 5 $ / mois), j'ai récemment évalué Chiffrons avec certbot(autres bots disponibles) en webrootmode de fonctionnement. Cela me fournit un certificat SAN valide pendant 3 mois (et il s'agit d' cronun renouvellement de contrat effectué un mois avant la date d'expiration):

certbot certonly -n --expand --webroot \
        -w /srv/www/base/ -d example.com \
        -w /srv/www/blog/ -d blog.example.com

2
C'est une question assez large, basée sur l'opinion qui mènera probablement à une liste de différents facteurs, par opposition à un seul et définitif, elle est donc convertie en un wiki de la communauté afin que d'autres puissent facilement l'éditer et y contribuer.
dan

6
"Internet" est plus sûr pour l'utilisateur final si tout est en SSL.
DocRoot

3
Est-ce vraiment une migration de masse cependant? Comme vous le constatez dans la question, le processus a pris beaucoup de temps. Se pourrait-il que nous voyions maintenant la partie la plus abrupte d'une courbe de croissance logistique? Si le processus a été réellement accéléré récemment, je l’attribuerais à Snowden.
Kasperd

6
C'est ce que finalement l' a fait pour nous , personne ne veut un brillant sur un site de commerce électronique rouge « non sécurisé » ..
user2070057

3
letsencrypt a commencé en 2012. annonce 2014, version bêta publique fin 2015, publique en 2016.
n611x007

Réponses:


48

Il y a beaucoup de facteurs qui ont été pris en compte, notamment:

  • Navigateur et technologie de serveur pour la sécurité avec des hôtes virtuels. Vous aviez besoin d'une adresse IP dédiée par site sécurisé, mais ce n'est plus le cas avec SNI .
  • Certificats de sécurité gratuits et à moindre coût. Let's Encrypt publie maintenant environ la moitié de tous les certificats gratuitement. Il y a dix ans, je cherchais 300 $ par an pour un domaine générique, mais à présent, même les certificats génériques payés peuvent s'élever à 70 $ par an.
  • Les frais généraux liés à HTTPS ont considérablement diminué. Auparavant, cela nécessitait des ressources supplémentaires sur le serveur, mais la charge est maintenant négligeable . Il est même souvent intégré dans les équilibreurs de charge capables de communiquer HTTP avec les serveurs principaux.
  • Les réseaux d'annonces tels que AdSense ont commencé à prendre en charge le protocole HTTPS. Il y a quelques années, il n'était pas possible de monétiser un site Web HTTPS avec la plupart des réseaux de publicité.
  • Google annonçant HTTPS comme facteur de classement.
  • Les grandes entreprises comme Facebook et Google qui ont migré vers HTTPS pour tout normaliser la pratique.
  • Les navigateurs commencent à avertir que HTTP n'est pas sécurisé.

Pour les grandes entreprises telles que Google, qui pourraient toujours se permettre de passer à HTTPS, je pense qu’un certain nombre de facteurs les ont incitées à le mettre en œuvre:

  • Fuite de données de veille concurrentielle sur HTTP. Je pense que Google a adopté le protocole HTTPS en grande partie parce qu'un grand nombre de fournisseurs d'accès à Internet et de concurrents examinaient les recherches des utilisateurs via HTTP. Garder les requêtes des moteurs de recherche secrètes était une grande motivation pour Google.
  • Hausse des programmes malveillants ciblant des sites tels que Google et Facebook. Le protocole HTTPS empêche les programmes malveillants d'intercepter les requêtes du navigateur et d'injecter des annonces ou de rediriger les utilisateurs.

Il existe également certaines raisons pour lesquelles vous consultez HTTPS plus souvent dans les cas où les deux fonctionnent:

  • Google préfère indexer la version HTTPS lorsque la version HTTP fonctionne également
  • Beaucoup de gens ont le plugin de navigateur HTTPS Everywhere qui leur permet d'utiliser automatiquement les sites HTTPS lorsqu'ils sont disponibles. Cela signifie que ces utilisateurs créent également de nouveaux liens vers des sites HTTPS.
  • De plus en plus de sites sont redirigés vers HTTPS pour des raisons de sécurité et de confidentialité.


7
N'oubliez pas HTTP / 2, qui n'est actuellement implémenté que pour HTTPS, n'oubliez pas également que Google classe les sites HTTPS (légèrement) plus élevés que les sites HTTP…
wb9688

Je suggère un changement dans l'ordre. Je pense que c'était un problème de confidentialité, qui est maintenant réparable à cause des progrès techniques. Je ne pense pas que les gens TLS parce qu'ils peuvent maintenant. :)
Martijn

1
Il y a toujours eu un problème de confidentialité et tout le monde l'a toujours su. Oui, la protection de la vie privée était la principale préoccupation de quelques grandes entreprises, mais la facilité et le coût étaient des facteurs plus importants pour la masse de petits sites Web. Je le dis par expérience personnelle. J'ai toujours voulu sécuriser mes sites Web personnels, mais ces derniers temps, c'est devenu assez facile et pas cher.
Stephen Ostermiller

2
Vous avez mal orthographié 1% de frais généraux .
Michael Hampton

18

Les réponses à ce jour portent sur diverses raisons pour lesquelles le protocole HTTPS devient de plus en plus populaire.

Cependant, deux grands appels de réveil datant d'environ 2010 et 2011 ont montré à quel point HTTPS est important: Firesheep permettant le détournement de session et le gouvernement tunisien interceptant les connexions Facebook pour voler des informations d'identification.

Firesheep était un plugin Firefox d'octobre 2010 créé par Eric Butler, qui permettait à quiconque disposant du plugin installé d'intercepter d'autres requêtes sur des canaux WiFi publics et d'utiliser les cookies de ces requêtes pour emprunter l'identité de ces utilisateurs. C'était gratuit, facile à utiliser et surtout, il n'avait pas besoin de connaissances spécialisées. il vous suffit de cliquer sur un bouton pour récupérer les cookies, puis sur un autre pour démarrer une nouvelle session en utilisant l'un des cookies récoltés.

Quelques jours plus tard, des copies avec plus de flexibilité sont apparues et quelques semaines plus tard, de nombreux sites majeurs ont commencé à prendre en charge le protocole HTTPS. Quelques mois plus tard, un deuxième événement a eu lieu qui a provoqué une nouvelle vague de sensibilisation via Internet.

En décembre 2010, le printemps arabe a débuté en Tunisie. Le gouvernement tunisien , comme beaucoup d'autres de la région, a tenté de réprimer la révolte. L'un des moyens utilisés pour cela consistait à entraver les médias sociaux, y compris Facebook. Au cours de la révolte, il est devenu évident que les FAI tunisiens, largement contrôlés par le gouvernement tunisien, introduisaient secrètement un code de collecte de mots de passe sur la page de connexion de Facebook. Facebook a rapidement réagi contre cette situation une fois qu'ils ont constaté ce qui se passait, basculant le pays entier vers le protocole HTTPS et obligeant les personnes concernées à confirmer leur identité.


Je suppose que celui de Firesheep devrait être 2010, ou que le Printemps arabe devrait être 2011. Sinon, le mot "quelques mois plus tard" n'a aucun sens.
Chris Hayes

@ChrisHayes oups, Firesheep était 2010, pas 2011. Fixe. Nous ne savions pas non plus que le gouvernement tunisien aurait volé des identifiants Facebook avant janvier 2011.
Nzall le

11

Il y a eu ce qu'on a appelé l' opération Aurora, qui était (prétendument) comme des pirates chinois qui s'introduisent dans les ordinateurs américains tels que ceux de Google.

Google a annoncé publiquement l'opération Aurora en 2010. Il semble qu'ils aient décidé de convertir la perte en valeur en montrant leurs efforts pour sécuriser leurs produits. Ainsi, au lieu de perdants, ils se présentent comme des leaders. Ils avaient besoin d'efforts réels sinon ils auraient été ridiculisés publiquement par ceux qui comprennent.

Google est une société Internet. Il était donc crucial pour eux de rétablir la confiance de leurs utilisateurs en ce qui concerne la communication. Le plan fonctionnait et les autres corps devaient suivre ou faire face à la migration de leurs utilisateurs vers Google.

En 2013 ce qui allait être appelé informations de surveillance mondiale en évidence par Snowden passé . Les gens ont perdu confiance dans les corps.

Beaucoup de gens ont décidé de passer au mode indé et d’utiliser HTTPS, ce qui a ensuite provoqué la migration récente. Avec qui il a travaillé, il a explicitement appelé à utiliser le chiffrement, expliquant que la survie doit être coûteuse.

chiffrement fort * nombre d'utilisateurs extrêmement élevé = coût de survie élevé.

C'était en 2013. Cela dit, plus récemment, Snowden a déclaré que ce n'est probablement plus suffisant et que vous devriez également dépenser de l'argent pour les personnes qui travaillent au renforcement juridique de vos droits, de sorte que l'argent des taxes disparaisse du secteur de la survie.

Néanmoins, pour le webmaster moyen Joe, le problème de longue date avec HTTPS était que l’obtention d’un certificat coûtait de l’argent. Mais vous avez besoin de certificats pour HTTPS. Il a été résolu fin 2015 lorsque la version bêta de Let's Encrypt est devenue disponible pour le grand public. Il vous donne des certificats gratuits pour HTTPS automatiquement via le protocole ACME . ACME est un brouillon Internet, ce qui signifie pour les gens que vous pouvez en quelque sorte vous y fier.


5

Le cryptage des transmissions sur Internet est plus sécurisé contre les agents néfastes qui interceptent ou scannent ces données et s’insèrent au milieu, vous faisant croire que c’est la véritable page Web. Des conversations interceptées comme celle-ci ne font qu'encourager davantage de personnes à suivre.

Maintenant qu’elle est plus abordable et que la technologie est plus accessible, il est plus facile de pousser tout le monde à faire des choses plus sûres qui nous protègent tous. Etre plus sécurisé réduit les coûts et les dépenses des personnes affectées par des violations de données.

Lorsque le travail requis pour casser le cryptage devient difficile et coûteux, le niveau d’activité sera réduit et réservé à ceux qui souhaitent investir le temps et l’argent nécessaires. Comme des serrures sur les portes de votre maison, il empêchera la plupart des gens de sortir et permettra à la police de se concentrer sur les activités criminelles de haut niveau.


4

Une autre chose que je n'ai pas vue mentionnée, le 29 septembre 2014, CloudFlare (un CDN de procuration très populaire car la plupart des sites de taille moyenne peuvent les utiliser efficacement avec de simples modifications DNS), a annoncé l'offre de SSL gratuit pour tous les sites. ils proxy .

Essentiellement, toute personne mandatée par leur intermédiaire pourrait automatiquement et immédiatement accéder à leur site https://, ce qui a fonctionné; aucun changement nécessaire sur les backends, rien à payer ou à renouveler.

Pour moi personnellement et pour beaucoup d'autres personnes dans le même bateau, c'est la balance pour moi. Mes sites sont tous des sites personnels / de loisirs pour lesquels j'aurais aimé utiliser SSL, mais je ne pouvais pas justifier le coût et le temps de maintenance. Souvent, le coût consistait davantage à utiliser un plan d'hébergement plus coûteux (ou à commencer à payer au lieu d'utiliser des options gratuites) par opposition au coût du cert lui-même.


Voir ma mise à jour à la question. Les détails sont disponibles dans mon paramètre Encryptons
nous

@ gavenkoa c'est cool, mais si je suis sur le point d'avoir un VPS et que je maintiens le système d'exploitation, c'est déjà bien au-delà de l'effort que je veux dépenser (ces jours-ci, je veux dire; hébergeur). À ce stade, je n'aurais aucun problème même si je mettais manuellement à jour les certificats (bien que je ne le ferais certainement pas si je n'avais pas à le faire). De nos jours, j'utilise en général un hébergement partagé ou, dans le cas de mon site actuel, des pages github soumises à un proxy via CloudFlare. Mais oui, certbot semble génial si vous avez déjà l'environnement dans lequel vous pouvez l'exécuter.
Briantist

J'ai lu le vieil article scotthelme.co.uk/tls-conundrum-and-leaving-cloudflare Je ne sais pas s'ils autorisent toujours les attaques man-in-the-middle pour les offres d'aujourd'hui mais leurs protections SSL ont des problèmes dans le passé ( mendicité 2014) ...
gavenkoa

Et pour les sous-domaines github, ils prennent en charge HTTPS: github.com/blog/2186-https-for-github-pages (août 2016).
Gavenkoa

1
@gavenkoa Je suis au courant de ces préoccupations, même si CF est assez ouverte sur les options de configuration et leur signification. si on veut les utiliser, il faut aussi être au courant des détails. Je ne les appellerais pas exactement comme des problèmes, mais dans tous les cas, cela dépasse un peu le cadre de cette question. Leur offre consistait en un clic (souvent) sans effort, de manière gratuite pour passer d’un site à https. Même avec la configuration de http à partir de CF sur votre backend, pour les navigateurs et les moteurs de recherche, cela a le même aspect et je crois. c'était une source importante de conversions de petits sites.
Briantist
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.