किन घटनाओं के कारण HTTPS में बड़े पैमाने पर पलायन हुआ?

कई वर्षों से मैं देख रहा हूं कि Google, Facebook, आदि HTTPS के माध्यम से सामग्री की सेवा (और यहां तक ​​कि पुनर्निर्देशित) करना शुरू करते हैं।

असुरक्षित HTTP में पासवर्ड देने वाली साइटों की सेवा 1999 में भी गलत थी, लेकिन इसे 2010 में भी स्वीकार्य माना गया।

लेकिन आजकल भी सार्वजनिक पृष्ठ (जैसे बिंग / गूगल से प्रश्न) HTTPS के माध्यम से परोसे जाते हैं।

किन घटनाओं के कारण HTTPS में बड़े पैमाने पर पलायन हुआ? विकिलिक्स घोटाला, यूएस / यूरोपीय संघ के कानून प्रवर्तन, एसएसएल / टीएसएल हैंडशेक की लागत में कमी के साथ आमतौर पर सर्वर समय की लागत को गिरा दिया, प्रबंधन में आईटी संस्कृति का स्तर बढ़ रहा है?

यहां तक ​​कि https://letsencrypt.org/ जैसी सार्वजनिक कोशिशें भी बहुत पहले शुरू नहीं हुई थीं ...

@briantist जैसा कि मैं भी शौक साइटों को बनाए रखने और सस्ते / सरल SSL / TLS समाधान में रुचि रखते हैं। VPS के लिए (जो कि 5 $ / महीने से शुरू होता है) मैंने हाल ही में ऑपरेशन मोड में (अन्य बॉट उपलब्ध) के साथ एन्क्रिप्ट होने का मूल्यांकन किया । यह मुझे 3 महीने के लिए वैध SAN प्रमाणपत्र प्रदान करता है (और यह नौकरी में है - समाप्ति की तारीख से एक महीने पहले नवीनीकरण किया गया):certbotwebrootcron

certbot certonly -n --expand --webroot \
        -w /srv/www/base/ -d example.com \
        -w /srv/www/blog/ -d blog.example.com

इसमें शामिल होने वाले बहुत सारे कारक हैं:

• वर्चुअल होस्ट के साथ सुरक्षा के लिए ब्राउज़र और सर्वर तकनीक। आपको प्रति सुरक्षित साइट के लिए एक समर्पित आईपी पते की आवश्यकता थी, लेकिन एसएनआई का उपयोग करके ऐसा नहीं है ।
• कम लागत और मुफ्त सुरक्षा प्रमाण पत्र। आइए अब सभी प्रमाणपत्रों के आधे के बारे में मुफ्त में एन्क्रिप्ट करें। दस साल पहले मैं एक वाइल्डकार्ड डोमेन के लिए $ 300 / वर्ष देख रहा था, लेकिन अब यहां तक ​​कि भुगतान किए गए वाइल्डकार्ड प्रमाण पत्र $ 70 या वर्ष के रूप में कम हो सकते हैं।
• HTTPS का ओवरहेड काफी गिर गया। इसके लिए अतिरिक्त सर्वर संसाधनों की आवश्यकता होती थी, लेकिन अब ओवरहेड नगण्य है । यह अक्सर लोड बैलेन्कर्स में भी बनाया जाता है जो HTTP से बैकएंड सर्वर पर बात कर सकता है।
• AdSense जैसे विज्ञापन नेटवर्क ने HTTPS का समर्थन करना शुरू कर दिया। कुछ साल पहले, अधिकांश विज्ञापन नेटवर्क के साथ HTTPS वेबसाइट का मुद्रीकरण करना संभव नहीं था।
• Google HTTPS को एक रैंकिंग कारक के रूप में घोषित करता है।
• फेसबुक और Google जैसी बड़ी कंपनियों ने हर चीज के लिए HTTPS का रुख किया और अभ्यास को सामान्य किया।
• ब्राउज़रों को HTTP असुरक्षित होने के बारे में चेतावनी देना शुरू कर रहे हैं।

Google जैसी बड़ी कंपनियों के लिए जो हमेशा HTTPS को स्थानांतरित करने का जोखिम उठा सकती हैं, मुझे लगता है कि कुछ चीजें थीं जिन्होंने इसे लागू करने के लिए उन्हें धक्का दिया:

• HTTP पर प्रतिस्पर्धी खुफिया डेटा का लीक होना। मेरा मानना ​​है कि Google ने बड़े पैमाने पर HTTPS को स्थानांतरित कर दिया क्योंकि बहुत सारे आईएसपी और प्रतियोगी देख रहे थे कि उपयोगकर्ता HTTP पर क्या खोज रहे थे। खोज इंजन प्रश्नों को लपेटकर रखना Google के लिए एक बड़ी प्रेरणा थी।
• Google और Facebook जैसी मैलवेयर लक्ष्यीकरण साइटों का उदय। HTTPS मैलवेयर के लिए ब्राउज़र अनुरोधों को रोकना और विज्ञापनों या रीडायरेक्ट उपयोगकर्ताओं को इंजेक्ट करना कठिन बनाता है।

ऐसे कुछ कारण भी हैं जो आप HTTPS को उन मामलों में अधिक बार देख रहे हैं जहां दोनों काम करते हैं:

• जब एचटीटीपी संस्करण भी काम करता है तो Google HTTPS संस्करण को अनुक्रमित करना पसंद कर रहा है
• कई लोगों के पास HTTPS एवरीवेयर ब्राउज़र प्लगइन होता है जो उपलब्ध होने पर स्वचालित रूप से उन्हें HTTPS साइटों का उपयोग करता है। इसका मतलब है कि वे उपयोगकर्ता HTTPS साइटों के लिए नए लिंक भी बनाते हैं
• सुरक्षा और गोपनीयता की चिंताओं के कारण अधिक साइटें HTTPS पर पुनर्निर्देशित हो रही हैं।

इस प्रकार उत्तर अब तक विभिन्न पुल और पुश कारणों के बारे में बात करते हैं कि HTTPS अधिक से अधिक लोकप्रिय क्यों हो रहा है।

हालाँकि, 2010 और 2011 के आसपास 2 प्रमुख वेक-अप कॉल हैं, जो यह दर्शाते हैं कि वास्तव में HTTPS कितना महत्वपूर्ण है: Firesheep सत्र अपहरण की अनुमति देता है, और ट्यूनीशियाई सरकार क्रेडेंशियल्स चोरी करने के लिए फेसबुक लॉगिन को रोकती है।

Firesheep अक्टूबर 2010 से एक Firefox प्लगइन एरिक बटलर, जो प्लगइन के साथ किसी को भी सार्वजनिक वाईफ़ाई चैनलों पर अवरोधन अन्य अनुरोध करने के लिए स्थापित किया है और उन अनुरोधों बनाने उपयोगकर्ताओं को प्रतिरूपित करने के लिए उन अनुरोधों से कुकीज़ का उपयोग की अनुमति दी द्वारा बनाई गई थी। यह मुफ्त, उपयोग करने में आसान और सभी से ऊपर था, इसके लिए विशेषज्ञ ज्ञान की आवश्यकता नहीं थी। आप कुकीज़ को काटने के लिए एक बटन पर क्लिक करते हैं, और फिर किसी भी कटे हुए कुकीज़ का उपयोग करके एक नया सत्र शुरू करने के लिए।

दिनों के भीतर, अधिक लचीलेपन वाले कॉपीकैट्स दिखाई दिए, और हफ्तों के भीतर, कई प्रमुख साइटों ने एचटीटीपीएस का समर्थन करना शुरू कर दिया। फिर कुछ महीनों बाद, एक दूसरी घटना हुई जिसने इंटरनेट के माध्यम से जागरूकता का एक और लहर भेजा।

दिसंबर 2010 में, ट्यूनीशिया में अरब स्प्रिंग शुरू हुआ। ट्यूनीशियाई सरकार इस क्षेत्र के कई अन्य लोगों की तरह, विद्रोह को दबाने की कोशिश की। फेसबुक पर सोशल मीडिया में बाधा डालने के द्वारा उन्होंने ऐसा करने का एक तरीका अपनाया। विद्रोह के दौरान, यह स्पष्ट हो गया कि ट्यूनीशियाई आईएसपी, जो काफी हद तक ट्यूनीशियाई सरकार द्वारा नियंत्रित थे, चुपके से फेसबुक लॉग इन पेज में पासवर्ड कटाई कोड को इंजेक्ट कर रहे थे। फेसबुक ने तेजी से इसके खिलाफ कार्रवाई की, जब उन्होंने देखा कि क्या हो रहा था, पूरे देश को HTTPS में बदल दिया और प्रभावित लोगों को उनकी पहचान की पुष्टि करने की आवश्यकता थी।

वहाँ जो ऑपरेशन ऑरोरा कहा जाने लगा था, जो (कथित तौर पर) चीनी पटाखे थे जो गूगल जैसे यूएसए के कंप्यूटरों में टूट रहे थे।

Google 2010 में ऑपरेशन ऑरोरा के साथ सार्वजनिक हुआ। ऐसा लगता है कि उन्होंने अपने उत्पादों को सुरक्षित करने के प्रयासों को दिखाते हुए नुकसान को मूल्य में बदलने का फैसला किया। इसलिए हारने वालों के बजाय वे नेता के रूप में दिखाई देते हैं। उन्हें वास्तविक प्रयासों की आवश्यकता थी अन्यथा वे सार्वजनिक रूप से उन लोगों का उपहास करते थे जो समझते हैं।

Google एक इंटरनेट कंपनी है, इसलिए संचार के बारे में अपने उपयोगकर्ताओं में विश्वास बहाल करने के लिए उनके लिए यह महत्वपूर्ण था । इस योजना ने काम किया और अन्य वाहकों को अपने उपयोगकर्ताओं का अनुसरण करने या उनका सामना करने की आवश्यकता होती है, जो Google पर जाते हैं।

2013 में स्नोडेन द्वारा प्रमुख रूप से ग्लोबल सर्विलांस के खुलासे को क्या कहा गया । लोगों की लाशों पर से भरोसा उठ गया।

बहुत से लोगों ने इंडी जाने और HTTPS का उपयोग करने पर विचार किया, जो तब हालिया प्रवास का कारण बना। उसने और जिसने वह काम किया था, ने स्पष्ट रूप से एन्क्रिप्शन का उपयोग करने के लिए स्पष्ट रूप से कॉल किया था जिसमें बताया गया था कि survellience महंगा होना चाहिए।

मजबूत एन्क्रिप्शन * उपयोगकर्ताओं की गंभीर रूप से उच्च मात्रा = महंगी वृद्धि।

यह 2013 था। उन्होंने कहा, हाल ही में स्नोडेन ने बताया कि यह संभवतः कोई भी अधिक नहीं है और आपको उन लोगों पर पैसा खर्च करना चाहिए जो आपके लिए कानूनी रूप से अपने अधिकारों को मजबूत करने का काम करते हैं, इसलिए, कर का पैसा survellience उद्योग से दूर चला जाता है।

फिर भी, जोए वेबमास्टर के लिए HTTPS के साथ लंबे समय से चल रहा मुद्दा यह था कि एक प्रमाणपत्र के लिए पैसे खर्च करने पड़ते थे। लेकिन आपको HTTPS के लिए certs की आवश्यकता है। यह 2015 के अंत में हल किया गया था जब लेट्स एनक्रिप्ट क्रिएट आम जनता के लिए उपलब्ध हो गया था। यह आपको एसीटीई प्रोटोकॉल के माध्यम से स्वचालित रूप से HTTPS के लिए मुफ्त सिर्ट प्रदान करता है । एसीएमई एक इंटरनेट ड्राफ्ट है, जिसका मतलब है कि लोग इस पर भरोसा कर सकते हैं।

इस डेटा को इंटरसेप्ट करने या स्कैन करने और खुद को बीच में डालने के खिलाफ, इंटरनेट पर प्रसारण को एन्क्रिप्ट करना अधिक सुरक्षित है, आपको यह सोचकर कि वे असली वेब पेज हैं। इस तरह के सफल साक्षात्कार केवल और अधिक और अन्य लोगों को अनुसरण करने के लिए प्रोत्साहित करते हैं।

अब चूंकि यह अधिक सस्ती है, और तकनीक अधिक सुलभ है, इसलिए सभी को अधिक सुरक्षित चीजें करने के लिए धक्का देना आसान है जो हम सभी की रक्षा करता है। अधिक सुरक्षित होने से डेटा ब्रीच से प्रभावित लोगों की लागत और खर्च कम हो जाता है।

जब एन्क्रिप्शन को तोड़ने में शामिल काम मुश्किल और महंगा हो जाता है, तो यह गतिविधि के स्तर को नीचे रखेगा और केवल उन लोगों को प्रतिबंधित करेगा जो समय और धन शामिल करने के इच्छुक हैं। अपने घर के दरवाजों पर ताले की तरह, यह अधिकांश लोगों को बाहर रखेगा और पुलिस को उच्च स्तरीय आपराधिक गतिविधि पर ध्यान केंद्रित करने के लिए मुक्त करेगा।

एक अन्य चीज़ जिसका मैंने उल्लेख नहीं किया, 29 सितंबर, 2014 को, CloudFlare (एक बहुत ही लोकप्रिय प्रॉक्सी CDN, क्योंकि मध्यम आकार की अधिकांश साइटें प्रभावी रूप से सरल DNS परिवर्तनों के साथ मुफ्त में उनका उपयोग कर सकती हैं), सभी साइटों के लिए मुफ्त SSL की पेशकश की घोषणा की वे प्रॉक्सी करते हैं ।

अनिवार्य रूप से, उनके माध्यम से निकटता से कोई भी स्वचालित रूप से अपनी साइट को तुरंत हिट कर सकता है https://और यह काम कर रहा है; बैकएंड पर किसी भी बदलाव की आवश्यकता नहीं है, कुछ भी भुगतान या नवीनीकरण के लिए नहीं।

मेरे लिए व्यक्तिगत रूप से और एक ही नाव में कई अन्य लोगों के लिए, यह मेरे लिए पैमाना है। मेरी साइटें मूल रूप से व्यक्तिगत / शौक वाली साइटें हैं, जिन्हें मैं SSL के लिए उपयोग करना पसंद करूंगा, लेकिन लागत और रखरखाव समय को सही नहीं ठहरा सकता। अक्सर लागत एक अधिक महंगी होस्टिंग योजना का उपयोग करने के बारे में अधिक थी (या मुफ्त विकल्पों का उपयोग करने के बजाय भुगतान करना शुरू कर दिया) स्वयं प्रमाण पत्र की लागत के विपरीत।