即使在1999年,以不安全的HTTP提示输入密码的服务站点也是错误的,但即使在1999年,它仍然可以接受2010年。
但是如今,甚至公共页面(如来自Bing / Google的查询)也通过HTTPS提供服务。
哪些事件导致了大规模迁移到HTTPS? Wikileaks丑闻,美国/欧盟执法机构,降低了SSL / TSL握手的成本,同时服务器时间成本普遍下降,管理方面的IT文化水平不断提高? org /不久前才开始...
@briantist我还维护着业余网站,并对廉价/轻松的SSL / TLS解决方案感兴趣。对于VPS(每月5美元起),我最近评估了让我们在
certbot操作模式下使用webroot(可用的其他自动程序)进行加密。这为我提供了有效的3个月的SAN证书(并且在cron工作中-续约在到期日期前一个月执行):certbot certonly -n --expand --webroot \
-w /srv/www/base/ -d example.com \
-w /srv/www/blog/ -d blog.example.com
#1 楼
其中涉及许多因素,包括:用于虚拟主机安全性的浏览器和服务器技术。您以前每个安全站点都需要专用的IP地址,但是使用SNI不再是这种情况。成本更低且免费的安全证书。现在让我们加密免费颁发所有证书的一半。十年前,我曾为通配符域支付300美元/年的费用,但现在即使是付费通配符证书也可以低至70美元/年。
HTTPS的开销大幅下降。它曾经需要额外的服务器资源,但现在的开销可以忽略不计了。它甚至经常内置在可以与后端服务器进行HTTP通讯的负载平衡器中。
AdSense等广告网络开始支持HTTPS。几年前,不可能通过大多数广告网络通过HTTPS网站获利。
Google宣布将HTTPS列为排名因素。
像Facebook和Google这样的大公司纷纷转向使用HTTPS一切都使这种做法正常化。
浏览器开始警告HTTP不安全。
对于像谷歌这样的大公司来说,他们总是可以负担得起转向HTTPS的工作,我认为其中有两个促使他们实现它的原因:
通过HTTP泄漏竞争情报数据。我认为Google之所以转而使用HTTPS,在很大程度上是因为许多ISP和竞争对手都在研究用户通过HTTP搜索的内容。隐藏搜索引擎查询是Google的一大动机。
针对Google和Facebook等恶意软件的网站兴起。 HTTPS使得恶意软件更难于拦截浏览器请求并注入广告或重定向用户。
还有一些原因使您在两种情况下都能更频繁地使用HTTPS:
当HTTP版本也可以使用时,Google倾向于为HTTPS版本编制索引
许多人都有HTTPS无处不在浏览器插件,如果有的话,他们会自动让他们使用HTTPS网站。这意味着那些用户还创建了指向HTTPS站点的新链接
出于安全和隐私方面的考虑,更多站点都将重定向到HTTPS。
评论
blog.mozilla.org/security/2017/01/20/…
– Niavlys
17年1月25日,0:52
不要忘记HTTP / 2(目前仅针对HTTPS实现),也不要忘记Google对HTTPS网站的排名(略)高于HTTP网站……
–wb9688
17年1月25日在6:30
我建议改变顺序。我认为这是一个隐私问题,由于技术进步,现在可以解决。我不认为人们使用TLS是因为“他们现在可以”。 :)
–马丁(Martijn)
17年1月25日在8:05
一直存在隐私问题,每个人都一直知道。是的,隐私是一些大公司的关注重点,但是对于较小的网站而言,便捷性和成本是更大的因素。我是根据个人经验说的。我一直想保护我的个人网站,但是最近它变得便宜又容易。
–斯蒂芬·奥斯特米勒(Stephen Ostermiller)
17年1月25日在9:24
您拼错了1%的开销。
–迈克尔·汉普顿
17年1月25日在15:53
#2 楼
到目前为止,答案都是关于为什么HTTPS变得越来越流行的各种原因。但是,在2010年和2011年之间有两次主要的唤醒电话表明HTTPS的重要性实际上是:Firesheep允许会话劫持,突尼斯政府拦截Facebook登录以窃取凭据。
Firesheep是Eric Butler创建于2010年10月的Firefox插件,它允许安装了该插件的任何人拦截其他公共WiFi通道上的请求,并使用这些请求中的cookie来冒充发出这些请求的用户。它是免费的,易于使用的,而且最重要的是,它不需要专业知识。您只需单击一个按钮以收获cookie,然后再单击一个按钮以使用任何收获的cookie开始新的会话。
几天之内,出现了具有更大灵活性的模仿者,并且在数周之内,许多主要站点开始支持HTTPS。然后几个月后,又发生了第二件事,通过互联网再次引起了人们的关注。
2010年12月,突尼斯开始了阿拉伯之春。突尼斯政府同该地区许多其他国家一样,试图镇压起义。他们尝试此操作的方法之一是阻止包括Facebook这样的社交媒体。在起义期间,很明显突尼斯的ISP(主要由突尼斯政府控制)正在秘密地将密码收集代码注入Facebook登录页面。当他们注意到发生了什么时,Facebook迅速采取了行动,将整个国家切换到HTTPS,并要求受影响的人确认其身份。
评论
我猜测Firesheep应该是2010,或者是《阿拉伯之春》应该是2011。否则,“几个月后”就没有任何意义了。
–克里斯·海斯(Chris Hayes)
17年1月26日在1:03
@ChrisHayes糟糕,Firesheep是2010年,而不是2011年。已修复。此外,直到2011年1月,我们才知道突尼斯政府窃取了Facebook凭据。
– Nzall
17年1月26日在8:03
#3 楼
所谓的“极光行动”就是(据称)中国的黑客入侵了像Google这样的美国计算机。谷歌于2010年在“极光行动”中公开上市。他们的产品。因此,他们不是失败者而是领导者。他们需要真正的努力,否则他们将被那些理解的人公开嘲笑。该计划奏效了,其他公司也需要跟随他们或面对他们的用户迁移到google。
2013年,斯诺登(Snowden)突出地进行了所谓的“全球监视披露”。人们对军团失去了信任。
许多人考虑独立使用HTTPS,这导致了最近的迁移。他和与他一起工作的人明确要求使用加密技术,这说明保守性需要昂贵。
强加密*大量用户=昂贵的保守性。
那是2013年。告诉我们,这可能还不够,您还应该花钱在合法地为您维护权利的工作上,这样税金就不会用于监视行业。
对于普通的Joe网站管理员来说, HTTPS长期存在的问题是获得证书会花费金钱。但是您需要HTTPS的证书。到2015年底,“让我们加密(Let's Encrypt)”测试版向公众开放后,该问题得以解决。它通过ACME协议自动为您提供HTTPS的免费证书。 ACME是Internet草案,对人们来说意味着您可以依靠它。
#4 楼
互联网上的传输加密更加安全,以防止恶意代理截取或扫描此数据并将其插入中间,使您误以为它们是真实的网页。诸如此类的成功拦截只会鼓励更多人和其他人跟随。现在,它更负担得起,技术更易于使用,它更容易推动所有人进行更安全的保护我们所有人的事情。更高的安全性可以降低那些受数据消耗严重影响的人们的成本和支出。
当破坏加密的工作变得困难和昂贵时,它将使活动水平下降,并且仅限于那些愿意投资的人。所涉及的时间和金钱。就像您家门上的锁一样,它可以将大多数人拒之门外,并使警察解放出来,专注于更高级别的犯罪活动。
#5 楼
我没有提到的另一件事是,2014年9月29日,CloudFlare(一种非常受欢迎的代理CDN,因为大多数中等大小的站点都可以通过简单的DNS更改有效地免费使用它们),宣布为所有站点提供免费SSL他们代理。本质上,通过它们进行代理的任何人都可以立即通过
https://自动访问他们的站点,并且该站点可以正常工作;无需在后端进行任何更改,无需支付任何费用或进行续订。我的网站基本上都是我希望使用SSL的个人/爱好网站,但无法证明成本和维护时间合理。与证书本身的成本相比,费用通常更多地是必须使用更昂贵的托管计划(或开始付费而不是使用免费选项)。评论
看到我的更新问题。有关详细信息,请参阅我的“让我们在Lighttpd上加密”博客文章blog.defun.work/post-72b3f008-e28e-11e6-bad9-485b39c42d0f.html
– gavenkoa
17年1月27日在12:58
@gavenkoa很酷,但是如果我要安装VPS并且正在维护操作系统,那已经远远超出了我想花费的精力(这些天,我的意思是;我曾经运行过网络托管)。到那时,即使我手动更新证书也没有问题(尽管如果没有必要,我当然不会)。我现在通常会使用共享托管,或者就我当前的站点而言,将使用通过CloudFlare代理的github页面。但是,是的,如果您已经拥有可以运行它的环境,那么certbot似乎很棒。
–briantist
17年1月27日在14:47
我已经阅读了旧文章scotthelme.co.uk/tls-conundrum-and-leaving-cloudflare不知道他们是否仍允许今天的中间人攻击,但是他们的SSL保护过去有问题(乞讨2014)...
– gavenkoa
17年1月27日在15:50
对于github子域,它们支持HTTPS:github.com/blog/2186-https-for-github-pages(2016年8月)。
– gavenkoa
17年1月27日在15:54
@gavenkoa我知道这些问题,尽管CF对配置选项及其含义很开放。如果要使用它们,还应该知道细节。我不会确切地称它们为问题,但是无论如何这都超出了这个问题的范围。他们提供的是一键(通常)零努力的免费方法,可以将网站切换到https,因此即使将http从CF配置为后端到浏览器和搜索引擎,它看起来也一样,我相信这是小型网站转换的重要来源。
–briantist
17年1月27日在16:06
评论
这是一个非常广泛的,基于意见的问题,很可能会导致列出一系列不同的因素,而不是一个确定的因素,因此该问题已被转换为社区Wiki,以便其他人可以轻松地进行编辑和贡献。如果所有内容均为SSL,则“互联网”对于最终用户而言将更为安全。
真的是大规模迁移吗?正如您在问题中指出的那样,该过程花费了很长时间。难道我们刚刚看到了逻辑增长曲线中最陡峭的部分?如果最近确实加快了这一进程,我可以将其归因于斯诺登。
这就是最终为我们完成的工作,没有人希望在电子商务网站上出现鲜红色的“不安全”信息。.
letsencrypt于2012年开始。于2014年宣布,于2015年末公开测试版,于2016年公开发布。