web-dev-qa-db-fra.com

Quels événements ont provoqué une migration de masse vers HTTPS?

Depuis plusieurs années, je vois que Google, Facebook, etc. commencent à servir (et même à rediriger) du contenu via HTTPS.

Servir des sites qui invitaient des mots de passe dans un protocole HTTP non sécurisé était erroné même en 1999, mais considéré comme acceptable même en 2010.

Mais aujourd'hui, même les pages publiques (comme les requêtes de Bing/Google) sont servies via HTTPS.

Quels événements ont provoqué une migration de masse vers HTTPS? Scandale Wikileaks, application de la loi américaine et européenne, réduction du coût de la négociation SSL/TSL avec réduction du coût du temps de serveur, augmentation du niveau de culture informatique dans la gestion?

Même des efforts publics comme https://letsencrypt.org/ ont commencé il n'y a pas si longtemps ...

@ briantist Comme je gère également des sites de loisirs et que je suis intéressé par une solution SSL/TLS économique/sans effort. Pour VPS (qui commence à 5 $/mois), j’ai récemment évalué Chiffrons avec certbot (autres bots disponibles) en mode de fonctionnement webroot. Cela me fournit un certificat valide SAN pendant 3 mois (et il s'agit de cron travail - renouvellement effectué un mois avant la date d'expiration):

certbot certonly -n --expand --webroot \
        -w /srv/www/base/ -d example.com \
        -w /srv/www/blog/ -d blog.example.com
httpssecurity
40
gavenkoa

Il y a beaucoup de facteurs qui ont été pris en compte, notamment:

  • Navigateur et technologie de serveur pour la sécurité avec des hôtes virtuels. Vous aviez besoin d'une adresse IP dédiée par site sécurisé, mais ce n'est plus le cas avec SNI .
  • Certificats de sécurité à moindre coût. Il y a même gratuits disponibles pour certains cas à domaine unique. Il y a dix ans, je cherchais 300 $ par an pour un domaine générique, mais je peux maintenant obtenir un certificat comprenant des caractères génériques pour plusieurs domaines pour 70 $ par an.
  • Les frais généraux liés à HTTPS ont considérablement diminué. Auparavant, cela exigeait des ressources supplémentaires sur le serveur, mais maintenant la surcharge est négligeable . Il est même souvent intégré dans les équilibreurs de charge capables de communiquer HTTP avec les serveurs principaux.
  • Réseaux publicitaires tels que AdSense ont commencé à prendre en charge HTTPS. Il y a quelques années, il n'était pas possible de monétiser un site Web HTTPS avec la plupart des réseaux de publicité.
  • Google annonce HTTPS comme facteur de classement.
  • Les grandes entreprises comme Facebook et Google qui ont migré vers HTTPS pour tout normaliser la pratique.
  • Navigateurs commencent à avertir que HTTP n'est pas sécurisé.

Pour les grandes entreprises telles que Google, qui pourraient toujours se permettre de passer à HTTPS, je pense qu’un certain nombre de facteurs les ont poussées à le mettre en œuvre:

  • Fuite de données de veille concurrentielle sur HTTP. Je pense que Google a adopté la technologie HTTPS en grande partie parce que de nombreux fournisseurs de services Internet et concurrents se penchaient sur les recherches des utilisateurs via HTTP. Garder les requêtes des moteurs de recherche secrètes était une grande motivation pour Google.
  • Hausse des programmes malveillants ciblant des sites tels que Google et Facebook. Le protocole HTTPS empêche les programmes malveillants d'intercepter les requêtes du navigateur et d'injecter des annonces ou de rediriger les utilisateurs.

Il existe également certaines raisons pour lesquelles vous consultez HTTPS plus souvent dans les cas où les deux fonctionnent:

  • Google préfère pour indexer la version HTTPS lorsque la version HTTP fonctionne également
  • Beaucoup de gens ont le plugin de navigateur HTTPS Everywhere qui leur permet d'utiliser automatiquement les sites HTTPS lorsqu'ils sont disponibles. Cela signifie que ces utilisateurs créent également de nouveaux liens vers des sites HTTPS.
  • De plus en plus de sites sont redirigés vers HTTPS pour des raisons de sécurité et de confidentialité.
48
Stephen Ostermiller

Les réponses à ce jour portent sur diverses raisons d'attraction et de répression pour lesquelles HTTPS devient de plus en plus populaire.

Cependant, deux grands appels de réveil datant d'environ 2010 et 2011 ont montré à quel point HTTPS est important: Firesheep permettant le détournement de session et le gouvernement tunisien interceptant les connexions Facebook pour voler des informations d'identification.

Firesheep était un plugin Firefox d'octobre 2010 créé par Eric Butler, qui permettait à quiconque possédant le plugin installé d'intercepter d'autres requêtes sur des canaux WiFi publics et d'utiliser les cookies de ces requêtes pour emprunter l'identité de ces utilisateurs. C'était gratuit, facile à utiliser et surtout, il n'avait pas besoin de connaissances spécialisées. il vous suffit de cliquer sur un bouton pour récupérer les cookies, puis sur un autre pour démarrer une nouvelle session en utilisant l'un des cookies récoltés.

En quelques jours, des copies avec plus de flexibilité sont apparues et en quelques semaines, de nombreux sites majeurs ont commencé à prendre en charge le protocole HTTPS. Quelques mois plus tard, un deuxième événement a eu lieu qui a suscité une nouvelle vague de sensibilisation via Internet.

En décembre 2010, le printemps arabe a débuté en Tunisie. Le gouvernement tunisien, comme beaucoup d'autres de la région, a essayé de réprimer la révolte. Ils ont notamment tenté de le faire en empêchant les médias sociaux, y compris Facebook. Au cours de la révolte, il est devenu évident que les FAI tunisiens, largement contrôlés par le gouvernement tunisien, introduisaient secrètement un code de collecte de mots de passe sur la page de connexion de Facebook. Facebook a rapidement réagi contre cette situation une fois qu'ils ont constaté ce qui se passait, basculant le pays entier vers le protocole HTTPS et obligeant les personnes concernées à confirmer leur identité.

18
Nzall

Il y avait ce qui allait s'appeler Opération Aurora qui était (prétendument) de pirates chinois qui s'introduisaient dans les ordinateurs américains tels que ceux de Google.

Google a annoncé publiquement l'opération Aurora en 2010. Il semble qu'ils aient décidé de convertir la perte en valeur en montrant leurs efforts pour sécuriser leurs produits. Ainsi, au lieu de perdants, ils se présentent comme des leaders. Ils avaient besoin d'efforts réels sinon ils auraient été ridiculisés publiquement par ceux qui comprennent.

Google est une société Internet. Il était donc essentiel pour eux de rétablir la confiance de leurs utilisateurs à propos de la communication. Le plan fonctionnait et les autres corps devaient suivre ou faire face à la migration de leurs utilisateurs vers Google.

En 2013 , ce qui fut appelé par la suite Informations de surveillance globale de manière très visible par Snowden se produisit . Les gens ont perdu confiance dans les corps.

Beaucoup de gens ont décidé de passer au mode indé et d’utiliser HTTPS, ce qui a ensuite provoqué la migration récente. Avec qui il a travaillé , il a explicitement appelé à utiliser le cryptage pour expliquer que la survie doit être coûteuse.

chiffrement fort * nombre d'utilisateurs extrêmement élevé = coût de survie élevé.

C'était en 2013. Cela dit, plus récemment, Snowden a déclaré que cela ne suffisait probablement plus et que vous devriez également dépenser de l'argent pour les personnes qui travaillent au renforcement juridique de vos droits, de sorte que l'argent des taxes disparaisse du secteur de la survie.

Néanmoins, pour le webmaster moyen Joe, le problème de longue date avec HTTPS était que l’obtention d’un certificat coûtait de l’argent. Mais vous avez besoin de certificats pour HTTPS. Il a été résolu fin 2015 lorsque Let's Encrypt beta est devenu disponible pour le grand public. Il vous donne automatiquement des certificats gratuits pour HTTPS via le protocole ACME . ACME est un brouillon Internet, ce qui signifie pour les gens que vous pouvez en quelque sorte vous y fier.

11
n611x007

Le cryptage des transmissions sur Internet est plus sécurisé contre les agents néfastes interceptant ou scannant ces données et s’insérant au milieu, vous faisant croire que c’est la véritable page Web. Des conversations interceptées comme celle-ci ne font qu'encourager davantage de personnes à suivre.

Maintenant qu’elle est plus abordable et que la technologie est plus accessible, il est plus facile d’inciter tout le monde à faire des choses plus sûres qui nous protègent tous. Etre plus sécurisé réduit les coûts et les dépenses des personnes affectées par des violations de données.

Lorsque le travail requis pour casser le cryptage devient difficile et coûteux, le niveau d’activité sera réduit et réservé à ceux qui souhaitent investir du temps et de l’argent. Comme les serrures des portes de votre maison, il empêchera la plupart des gens de sortir et permettra à la police de se concentrer sur les activités criminelles de haut niveau.

5
Rob

Une autre chose que je n'ai pas vue mentionnée, le 29 septembre 2014, CloudFlare (un CDN de procuration très populaire car la plupart des sites de taille moyenne peuvent les utiliser efficacement avec de simples modifications DNS), a annoncé l'offre de free SSL pour tous les sites qu'ils proxy) .

Essentiellement, toute personne exerçant une procuration par leur intermédiaire pourrait automatiquement et immédiatement accéder à leur site avec https:// et tout se passait bien; aucun changement nécessaire sur les backends, rien à payer ou à renouveler.

Pour moi personnellement et pour beaucoup d'autres personnes dans le même bateau, c'est la balance pour moi. Mes sites sont tous des sites personnels/de loisirs pour lesquels j'aurais aimé utiliser SSL, mais je ne pouvais pas justifier le coût et le temps de maintenance. Souvent, le coût consistait davantage à utiliser un plan d'hébergement plus coûteux (ou à commencer à payer au lieu d'utiliser des options gratuites) par opposition au coût du cert lui-même.

4
briantist