Depuis plusieurs années, je vois que Google, Facebook, etc. commencent à servir (et même à rediriger) du contenu via HTTPS.
Servir des sites qui invitaient des mots de passe dans un protocole HTTP non sécurisé était erroné même en 1999, mais considéré comme acceptable même en 2010.
Mais de nos jours, même les pages publiques (comme les requêtes de Bing / Google) sont servies via HTTPS.
Quels événements ont provoqué une migration de masse vers HTTPS? Scandale Wikileaks, application de la loi américaine et européenne, réduction du coût de la négociation SSL / TSL avec réduction du coût du temps de serveur, augmentation du niveau de culture informatique dans la gestion?
Même des efforts publics comme https://letsencrypt.org/ ont commencé il n'y a pas si longtemps ...
@briantist Comme je gère également des sites de loisirs et que je suis intéressé par une solution SSL / TLS économique / sans effort. Pour VPS (qui commence à 5 $ / mois), j'ai récemment évalué Chiffrons avec certbot
(autres bots disponibles) en webroot
mode de fonctionnement. Cela me fournit un certificat SAN valide pendant 3 mois (et il s'agit d' cron
un renouvellement de contrat effectué un mois avant la date d'expiration):
certbot certonly -n --expand --webroot \
-w /srv/www/base/ -d example.com \
-w /srv/www/blog/ -d blog.example.com
Réponses:
Il y a beaucoup de facteurs qui ont été pris en compte, notamment:
Pour les grandes entreprises telles que Google, qui pourraient toujours se permettre de passer à HTTPS, je pense qu’un certain nombre de facteurs les ont incitées à le mettre en œuvre:
Il existe également certaines raisons pour lesquelles vous consultez HTTPS plus souvent dans les cas où les deux fonctionnent:
la source
Les réponses à ce jour portent sur diverses raisons pour lesquelles le protocole HTTPS devient de plus en plus populaire.
Cependant, deux grands appels de réveil datant d'environ 2010 et 2011 ont montré à quel point HTTPS est important: Firesheep permettant le détournement de session et le gouvernement tunisien interceptant les connexions Facebook pour voler des informations d'identification.
Firesheep était un plugin Firefox d'octobre 2010 créé par Eric Butler, qui permettait à quiconque disposant du plugin installé d'intercepter d'autres requêtes sur des canaux WiFi publics et d'utiliser les cookies de ces requêtes pour emprunter l'identité de ces utilisateurs. C'était gratuit, facile à utiliser et surtout, il n'avait pas besoin de connaissances spécialisées. il vous suffit de cliquer sur un bouton pour récupérer les cookies, puis sur un autre pour démarrer une nouvelle session en utilisant l'un des cookies récoltés.
Quelques jours plus tard, des copies avec plus de flexibilité sont apparues et quelques semaines plus tard, de nombreux sites majeurs ont commencé à prendre en charge le protocole HTTPS. Quelques mois plus tard, un deuxième événement a eu lieu qui a provoqué une nouvelle vague de sensibilisation via Internet.
En décembre 2010, le printemps arabe a débuté en Tunisie. Le gouvernement tunisien , comme beaucoup d'autres de la région, a tenté de réprimer la révolte. L'un des moyens utilisés pour cela consistait à entraver les médias sociaux, y compris Facebook. Au cours de la révolte, il est devenu évident que les FAI tunisiens, largement contrôlés par le gouvernement tunisien, introduisaient secrètement un code de collecte de mots de passe sur la page de connexion de Facebook. Facebook a rapidement réagi contre cette situation une fois qu'ils ont constaté ce qui se passait, basculant le pays entier vers le protocole HTTPS et obligeant les personnes concernées à confirmer leur identité.
la source
Il y a eu ce qu'on a appelé l' opération Aurora, qui était (prétendument) comme des pirates chinois qui s'introduisent dans les ordinateurs américains tels que ceux de Google.
Google a annoncé publiquement l'opération Aurora en 2010. Il semble qu'ils aient décidé de convertir la perte en valeur en montrant leurs efforts pour sécuriser leurs produits. Ainsi, au lieu de perdants, ils se présentent comme des leaders. Ils avaient besoin d'efforts réels sinon ils auraient été ridiculisés publiquement par ceux qui comprennent.
Google est une société Internet. Il était donc crucial pour eux de rétablir la confiance de leurs utilisateurs en ce qui concerne la communication. Le plan fonctionnait et les autres corps devaient suivre ou faire face à la migration de leurs utilisateurs vers Google.
En 2013 ce qui allait être appelé informations de surveillance mondiale en évidence par Snowden passé . Les gens ont perdu confiance dans les corps.
Beaucoup de gens ont décidé de passer au mode indé et d’utiliser HTTPS, ce qui a ensuite provoqué la migration récente. Avec qui il a travaillé, il a explicitement appelé à utiliser le chiffrement, expliquant que la survie doit être coûteuse.
chiffrement fort * nombre d'utilisateurs extrêmement élevé = coût de survie élevé.
C'était en 2013. Cela dit, plus récemment, Snowden a déclaré que ce n'est probablement plus suffisant et que vous devriez également dépenser de l'argent pour les personnes qui travaillent au renforcement juridique de vos droits, de sorte que l'argent des taxes disparaisse du secteur de la survie.
Néanmoins, pour le webmaster moyen Joe, le problème de longue date avec HTTPS était que l’obtention d’un certificat coûtait de l’argent. Mais vous avez besoin de certificats pour HTTPS. Il a été résolu fin 2015 lorsque la version bêta de Let's Encrypt est devenue disponible pour le grand public. Il vous donne des certificats gratuits pour HTTPS automatiquement via le protocole ACME . ACME est un brouillon Internet, ce qui signifie pour les gens que vous pouvez en quelque sorte vous y fier.
la source
Le cryptage des transmissions sur Internet est plus sécurisé contre les agents néfastes qui interceptent ou scannent ces données et s’insèrent au milieu, vous faisant croire que c’est la véritable page Web. Des conversations interceptées comme celle-ci ne font qu'encourager davantage de personnes à suivre.
Maintenant qu’elle est plus abordable et que la technologie est plus accessible, il est plus facile de pousser tout le monde à faire des choses plus sûres qui nous protègent tous. Etre plus sécurisé réduit les coûts et les dépenses des personnes affectées par des violations de données.
Lorsque le travail requis pour casser le cryptage devient difficile et coûteux, le niveau d’activité sera réduit et réservé à ceux qui souhaitent investir le temps et l’argent nécessaires. Comme des serrures sur les portes de votre maison, il empêchera la plupart des gens de sortir et permettra à la police de se concentrer sur les activités criminelles de haut niveau.
la source
Une autre chose que je n'ai pas vue mentionnée, le 29 septembre 2014, CloudFlare (un CDN de procuration très populaire car la plupart des sites de taille moyenne peuvent les utiliser efficacement avec de simples modifications DNS), a annoncé l'offre de SSL gratuit pour tous les sites. ils proxy .
Essentiellement, toute personne mandatée par leur intermédiaire pourrait automatiquement et immédiatement accéder à leur site
https://
, ce qui a fonctionné; aucun changement nécessaire sur les backends, rien à payer ou à renouveler.Pour moi personnellement et pour beaucoup d'autres personnes dans le même bateau, c'est la balance pour moi. Mes sites sont tous des sites personnels / de loisirs pour lesquels j'aurais aimé utiliser SSL, mais je ne pouvais pas justifier le coût et le temps de maintenance. Souvent, le coût consistait davantage à utiliser un plan d'hébergement plus coûteux (ou à commencer à payer au lieu d'utiliser des options gratuites) par opposition au coût du cert lui-même.
la source