HTTPSへの大量移行の原因となったイベントは何ですか？

数年の間、Google、FacebookなどがHTTPS経由でコンテンツの提供を開始（さらにリダイレクト）していることがわかりました。

安全でないHTTPでパスワードを要求するサイトにサービスを提供することは1999年でも間違っていましたが、2010年でも受け入れられると考えていました。

しかし、今日では公開ページ（Bing / Googleからのクエリなど）でもHTTPS経由で提供されます。

HTTPSへの大量移行の原因となったイベントは何ですか？ウィキリークスのスキャンダル、米国/ EUの法執行機関、SSL / TSLハンドシェイクのコストを削減し、一般的にサーバー時間のコストを削減し、管理のIT文化レベルを上げましたか？

https://letsencrypt.org/のような公共の取り組みでさえ、さほど昔ではありませんでした...

@briantist私も趣味のサイトを管理しており、安価で楽なSSL / TLSソリューションに興味があります。VPS（月額5ドルから開始）については、最近、操作モードで（他のボットが利用可能）で暗号化しようと評価しました。これにより、3か月間有効なSAN証明書が提供されます（有効期限が切れる1か月前に更新が実行されます）。certbotwebrootcron

certbot certonly -n --expand --webroot \
        -w /srv/www/base/ -d example.com \
        -w /srv/www/blog/ -d blog.example.com

次のような多くの要因が入りました。

• 仮想ホストを使用したセキュリティのためのブラウザおよびサーバー技術。以前は安全なサイトごとに専用IPアドレスが必要でしたが、SNIを使用することはもうありません。
• 低コストで無料のセキュリティ証明書。 Let's Encryptは、すべての証明書の約半分を無料で発行するようになりました。10年前、私はワイルドカードドメインで年間300ドルを探していましたが、現在では、支払われたワイルドカード証明書でさえ、わずか70ドル/年になります。
• HTTPSのオーバーヘッドが大幅に減少しました。以前は余分なサーバーリソースが必要でしたが、現在ではオーバーヘッドは無視できます。HTTPをバックエンドサーバーと通信できるロードバランサーに組み込まれることもよくあります。
• AdSenseなどの広告ネットワークはHTTPSのサポートを開始しました。数年前、ほとんどの広告ネットワークでHTTPS Webサイトを収益化することはできませんでした。
• Googleがランキング要素としてHTTPSを発表しました。
• FacebookやGoogleのような大企業がすべてを実践するためにHTTPSに移行しました。
• ブラウザは、HTTPが安全でないことを警告し始めています。

常にHTTPSに移行する余裕があるGoogleのような大企業の場合、それらを実装することを後押ししたものがいくつかあったと思います。

• HTTPを介した競合インテリジェンスデータの漏洩。非常に多くのISPや競合他社が、ユーザーがHTTPで検索しているものを見ていたため、GoogleがHTTPSに移行したことが大きいと思います。検索エンジンのクエリをラップで管理することは、Googleの大きな動機でした。
• GoogleやFacebookなどのサイトを標的とするマルウェアの増加。HTTPSを使用すると、マルウェアがブラウザのリクエストを傍受し、広告を挿入したり、ユーザーをリダイレクトしたりすることが難しくなります。

また、両方が機能する場合にHTTPSが頻繁に表示される理由もいくつかあります。

• Googleは、HTTPバージョンも機能する場合、HTTPSバージョンをインデックスに登録することを好みます
• 多くの人は、利用可能な場合にHTTPSサイトを使用するHTTPS Everywhereブラウザープラグインを持っています。つまり、これらのユーザーはHTTPSサイトへの新しいリンクも作成します
• セキュリティとプライバシーの問題から、より多くのサイトがHTTPSにリダイレクトしています。

これまでの回答では、HTTPSがますます一般的になっている理由に関するさまざまなプルおよびプッシュの理由について説明しています。

ただし、2010年と2011年頃から、HTTPSの実際の重要性を示す2つの大きなウェイクアップコールがあります。セッションハイジャックを許可するFiresheepと、Facebookログインをインターセプトして資格情報を盗むFiresheepです。

Firesheepは2010年10月にEric Butlerによって作成されたFirefoxプラグインで、プラグインをインストールした人は誰でもパブリックWiFiチャネル上の他のリクエストをインターセプトし、それらのリクエストからのCookieを使用してそれらのリクエストを行うユーザーになりすますことができました。無料で使いやすく、何より専門的な知識は必要ありませんでした。ボタンをクリックしてCookieを収集し、次に別のボタンをクリックして、収集したCookieのいずれかを使用して新しいセッションを開始します。

数日のうちに、より柔軟な模倣が登場し、数週間のうちに、多くの主要なサイトがHTTPSのサポートを開始しました。それから数か月後、2番目のイベントが発生し、インターネットを介して別の認識の波紋が送られました。

2010年12月、アラブの春はチュニジアで始まりました。チュニジア政府は、地域の他の多くのように、反乱を抑制しようとしました。彼らがこれを試みた方法の1つは、Facebookを含むソーシャルメディアを妨害することでした。反乱の間、チュニジア政府によって大部分が管理されていたチュニジアのISPが、パスワード収集コードをFacebookログインページに密かに注入していることが明らかになりました。Facebookは、何が起こっているかに気づくとすぐにこれに対応し、国全体をHTTPSに切り替え、影響を受ける人に身元の確認を求めました。

Googleのようなアメリカのコンピューターに侵入する中国のクラッカーであるとされる（おそらく）Operation Auroraと呼ばれるようになったものがありました。

Googleは2010年にOperation Auroraで公開されました。製品を保護する取り組みを示すことで、損失を価値に変換することにしたようです。敗者の代わりに彼らはリーダーとして現れます。そうでなければ、彼らは理解する人々によって公然と笑されたであろう本当の努力を必要としていました。

Googleはインターネット企業であるため、通信に関するユーザーへの信頼を再インストールすることが重要でした。計画は機能し、他の部隊はユーザーをフォローするか、ユーザーに直面する必要があり、Googleに移行しました。

2013年、Snowdenによる目立ったグローバル監視開示と呼ばれるようになったことが起こりました。人々は軍団への信頼を失いました。

多くの人々がインディーズに行き、HTTPSを使用することを検討し、それが最近の移行を引き起こしました。彼と一緒に仕事をした人は、暗号化を使用するように明示的に呼びかけ、生存率には費用がかかることを説明しました。

強力な暗号化*非常に大量のユーザー=高価な生存。

それは2013年でした。最近、スノーデンはこれではもう十分ではないだろうと言ったので、あなたのために法的にあなたの権利を強化するために働く人々にもお金を使うべきです。

それにもかかわらず、Avarage Joeのウェブマスターにとって、HTTPSの長年の問題は、証明書の取得にお金がかかることでした。ただし、HTTPSには証明書が必要です。Let's Encryptベータ版が一般に公開された2015年後半に解決されました。ACMEプロトコルを介してHTTPS用の無料の証明書を自動的に提供します。ACMEはインターネットドラフトであり、人々にとってはそれを頼りにできるということです。

インターネットを介した送信の暗号化は、このデータを傍受またはスキャンし、中間に自分自身を挿入する悪意のあるエージェントに対してより安全です。このようなインターセプトが成功しても、他のユーザーがフォローするように促すだけです。

より手頃な価格で、テクノロジーがよりアクセスしやすくなった今、誰もが私たち全員を保護するより安全なことをするようにプッシュするのは簡単です。より安全であると、データ侵害の影響を受ける人のコストと費用が削減されます。

暗号化の解除に関連する作業が困難で高価になると、アクティビティのレベルが低くなり、関連する時間とお金を投資しようとする人だけに制限されます。あなたの家のドアの鍵のように、それはほとんどの人を締め出し、より高いレベルの犯罪行為に集中するために警察を解放します。

私が言及しなかったもう1つのこと、2014年9月29日、CloudFlare（中規模のほとんどのサイトは簡単なDNS変更で無料で効果的に使用できるため、非常に人気のあるプロキシCDN）は、すべてのサイトに無料のSSLを提供することを発表しました彼らはプロキシします。

基本的に、それらを介してプロキシする誰もが自動的に即座にサイトにアクセスでき、それが機能しhttps://ました。バックエンドでの変更は不要で、支払いも更新も必要ありません。

私にとっても、同じボートに乗っている他の多くの人にとっても、これは私にとってスケールのヒントです。私のサイトは基本的に個人用/趣味用のサイトで、SSLを使用したいと思っていましたが、コストとメンテナンス時間を正当化できませんでした。多くの場合、コストは、証明書自体のコストとは対照的に、より高価なホスティングプランを使用する（または無料オプションを使用する代わりに支払いを開始する）ことに関するものでした。