<div dir="ltr"><div><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><a href="http://www.pcworld.com/article/3180689/security/its-time-to-turn-on-https-the-benefits-are-well-worth-the-effort.html">http://www.pcworld.com/article/3180689/security/its-time-to-turn-on-https-the-benefits-are-well-worth-the-effort.html</a><br><br clear="all"><div><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><b><span style="font-size:10pt"></span></b><span style="font-size:10pt"></span><span style="font-family:arial,helvetica,sans-serif"></span><p style="box-sizing:border-box;line-height:1.875rem;margin:0px 0px 16px;padding:0px;font-size:1.125rem;max-width:620px;font-family:"helvetica neue",arial,sans-serif">After Edward Snowden revealed that online communications were being collected en masse by some of the world’s most powerful intelligence agencies, security experts called for encryption of the entire web. Four years later, it looks like we’ve passed the tipping point.</p><p style="box-sizing:border-box;line-height:1.875rem;margin:0px 0px 16px;padding:0px;font-size:1.125rem;max-width:620px;font-family:"helvetica neue",arial,sans-serif">The number of websites supporting HTTPS—HTTP over encrypted SSL/TLS connections—has skyrocketed over the past year. There are many benefits to turning on encryption, so if your website not yet support the technology it’s time to make the move.</p><p style="box-sizing:border-box;line-height:1.875rem;margin:0px 0px 16px;padding:0px;font-size:1.125rem;max-width:620px;font-family:"helvetica neue",arial,sans-serif">Recent telemetry data from <a href="https://www.google.com/transparencyreport/https/metrics/?hl=en" style="box-sizing:border-box;color:rgb(37,167,215);text-decoration-line:none">Google Chrome</a> and <a href="https://twitter.com/letsencrypt/status/786977436109934592" style="box-sizing:border-box;color:rgb(37,167,215);text-decoration-line:none">Mozilla Firefox</a> shows that over 50 percent of web traffic is now encrypted, both on computers and mobile devices. Most of that traffic goes to a few large websites, but even so, it’s a jump of over 10 percentage points since a year ago.</p><aside id="gmail-fsb-2092" class="gmail-fakesidebar gmail-fakesidebar-auto" style="box-sizing:border-box;font-size:1rem;line-height:1.625rem;margin:0px 0px 1rem;overflow-x:auto;max-width:620px;font-family:facitweb,"helvetica neue",helvetica,arial,sans-serif,sans-serif"><a href="http://www.pcworld.com/article/3120445/security/how-the-new-age-of-antivirus-softwate-will-protect-your-pc.html" style="box-sizing:border-box;color:rgb(37,167,215);text-decoration-line:none">[ Further reading: How the new age of antivirus software will protect your PC ]</a></aside><p style="box-sizing:border-box;line-height:1.875rem;margin:0px 0px 16px;padding:0px;font-size:1.125rem;max-width:620px;font-family:"helvetica neue",arial,sans-serif">Meanwhile, a February <a href="https://scotthelme.co.uk/alexa-top-1-million-analysis-feb-2017/" style="box-sizing:border-box;color:rgb(37,167,215);text-decoration-line:none">survey of the world’s top 1 million most visited websites</a> revealed that 20 percent of them supported HTTPS, compared to <a href="https://scotthelme.co.uk/alexa-top-1-million-crawl-aug-2016/" style="box-sizing:border-box;color:rgb(37,167,215);text-decoration-line:none">around 14 percent back in August</a>. That’s an impressive growth rate of over 40 percent in half a year.</p><p style="box-sizing:border-box;line-height:1.875rem;margin:0px 0px 16px;padding:0px;font-size:1.125rem;max-width:620px;font-family:"helvetica neue",arial,sans-serif">There are a number of reasons for the accelerated adoption of HTTPS. Some of the past deployment hurdles are easier to overcome, the costs have come down and there are many incentives to do it now.</p><h2 style="box-sizing:border-box;margin:0px 0px 16px;font-family:facitweb,sans-serif;padding:0px;max-width:620px"><strong style="box-sizing:border-box">Performance impact</strong></h2><p style="box-sizing:border-box;line-height:1.875rem;margin:0px 0px 16px;padding:0px;font-size:1.125rem;max-width:620px;font-family:"helvetica neue",arial,sans-serif">One of the longstanding concerns about HTTPS is its perceived negative impact on server resources and page load times. After all, encryption usually comes with a performance penalty so why would HTTPS be any different?</p><div><p style="box-sizing:border-box;line-height:1.875rem;margin:0px 0px 16px;padding:0px;font-size:1.125rem;max-width:620px;font-family:"helvetica neue",arial,sans-serif">As it turns out, thanks to improvements to both server and client software over the years, the impact of TLS (<span class="gmail-st" style="box-sizing:border-box">Transport Layer Security) </span>encryption is negligible at best.</p><p style="box-sizing:border-box;line-height:1.875rem;margin:0px 0px 16px;padding:0px;font-size:1.125rem;max-width:620px;font-family:"helvetica neue",arial,sans-serif"><span class="gmail-message_body" style="box-sizing:border-box">After Google turned on HTTPS for Gmail in 2010, <a href="https://www.imperialviolet.org/2010/06/25/overclocking-ssl.html" style="box-sizing:border-box;color:rgb(37,167,215);text-decoration-line:none">the company observed</a> only an additional 1 percent CPU load on its servers, under 10KB of extra memory per connection and less than 2 percent network overhead. The deployment didn’t require any additional machines or special hardware.</span></p><aside class="gmail-nativo-promo gmail-smartphone gmail-tablet gmail-desktop" style="box-sizing:border-box;margin:0px 0px 16px;overflow:hidden;max-width:620px;font-family:"helvetica neue",arial,sans-serif;font-size:15px"></aside><p style="box-sizing:border-box;line-height:1.875rem;margin:0px 0px 16px;padding:0px;font-size:1.125rem;max-width:620px;font-family:"helvetica neue",arial,sans-serif">Not only is the impact minor on the backend, but <a href="http://www.httpvshttps.com/" style="box-sizing:border-box;color:rgb(37,167,215);text-decoration-line:none">browsing is actually faster</a> for users when HTTPS is turned on. The reason is that modern browsers support HTTP/2, a major revision of the HTTP protocol that brings many performance improvements.</p><p style="box-sizing:border-box;line-height:1.875rem;margin:0px 0px 16px;padding:0px;font-size:1.125rem;max-width:620px;font-family:"helvetica neue",arial,sans-serif">Even though encryption is not a requirement in the official HTTP/2 specification, browser makers have made it mandatory in their implementations. The bottom line is that if you want your users to benefit from the major speed boost in HTTP/2, you need to deploy HTTPS on your website.</p><h2 style="box-sizing:border-box;margin:0px 0px 16px;font-family:facitweb,sans-serif;padding:0px;max-width:620px"><strong style="box-sizing:border-box">It’s always about money</strong></h2><p style="box-sizing:border-box;line-height:1.875rem;margin:0px 0px 16px;padding:0px;font-size:1.125rem;max-width:620px;font-family:"helvetica neue",arial,sans-serif">The cost of obtaining and renewing the digital certificates needed to deploy HTTPS has been a concern in the past, and rightfully so. Many small businesses and non-commercial entities have likely stayed away from HTTPS for this very reason and even larger companies with many websites and domains in their administration might have been worried about the financial impact.</p><p style="box-sizing:border-box;line-height:1.875rem;margin:0px 0px 16px;padding:0px;font-size:1.125rem;max-width:620px;font-family:"helvetica neue",arial,sans-serif">Fortunately, that should no longer be an issue, at least for websites that don’t require extended validation (EV) certificates. The nonprofit Let’s Encrypt certificate authority launched last year provides domain validation (DV) certificates for free through a process that’s completely automated and easy to use.</p><p style="box-sizing:border-box;line-height:1.875rem;margin:0px 0px 16px;padding:0px;font-size:1.125rem;max-width:620px;font-family:"helvetica neue",arial,sans-serif">From a cryptography and security standpoint there is no difference between DV and EV certificates. The only difference is that the latter requires a stricter verification of the organization requesting the certificate and allows the certificate owner’s name to appear in the browser address bar next to the HTTPS visual indicator.</p><p style="box-sizing:border-box;line-height:1.875rem;margin:0px 0px 16px;padding:0px;font-size:1.125rem;max-width:620px;font-family:"helvetica neue",arial,sans-serif">In addition to Let’s Encrypt, some content delivery networks and cloud services providers, including CloudFlare and Amazon, offer free TLS certificates to their customers. Websites hosted on the WordPress.com platform also get HTTPS by default and free certificates even if they use custom domains.</p><h2 style="box-sizing:border-box;margin:0px 0px 16px;font-family:facitweb,sans-serif;padding:0px;max-width:620px"><strong style="box-sizing:border-box">There’s nothing worse than bad implementation</strong></h2><p style="box-sizing:border-box;line-height:1.875rem;margin:0px 0px 16px;padding:0px;font-size:1.125rem;max-width:620px;font-family:"helvetica neue",arial,sans-serif">Deploying HTTPS used to be fraught with peril. Due to poor documentation, continued support for weak algorithms in crypto libraries and new attacks constantly being discovered, there used to be a high chance for server administrators to end up with vulnerable HTTPS deployments. And bad HTTPS is worse than no HTTPS, because it gives a false sense of security to users.</p><p style="box-sizing:border-box;line-height:1.875rem;margin:0px 0px 16px;padding:0px;font-size:1.125rem;max-width:620px;font-family:"helvetica neue",arial,sans-serif">Some of those problems are being resolved. Now there are websites like <a href="https://www.ssllabs.com/" style="box-sizing:border-box;color:rgb(37,167,215);text-decoration-line:none">Qualys SSL Labs</a> that provide free documentation on TLS best practices, as well as <a href="https://www.ssllabs.com/ssltest/" style="box-sizing:border-box;color:rgb(37,167,215);text-decoration-line:none">testing tools</a> to discover misconfigurations and weaknesses in existing deployments. Meanwhile, other websites provide <a href="https://istlsfastyet.com/" style="box-sizing:border-box;color:rgb(37,167,215);text-decoration-line:none">resources on TLS performance optimizations</a>.</p><p style="box-sizing:border-box;line-height:1.875rem;margin:0px 0px 16px;padding:0px;font-size:1.125rem;max-width:620px;font-family:"helvetica neue",arial,sans-serif"><strong style="box-sizing:border-box">Mixed content can be a source of headaches</strong></p><p style="box-sizing:border-box;line-height:1.875rem;margin:0px 0px 16px;padding:0px;font-size:1.125rem;max-width:620px;font-family:"helvetica neue",arial,sans-serif">Pulling in external resources like images, videos and JavaScript code over unencrypted connections into an HTTPS website will trigger security alerts in users’ browsers. And because many websites depend on external content for their functionality—commenting systems, web analytics, advertising etc. <span style="font-family:"helvetica neue",arial,sans-serif">—the mixed content issue has kept many of them from migrating to HTTPS.</span></p><p style="box-sizing:border-box;line-height:1.875rem;margin:0px 0px 16px;padding:0px;font-size:1.125rem;max-width:620px;font-family:"helvetica neue",arial,sans-serif">The good news is that a large number of third-party services, including ad networks, have added HTTPS support in recent years. The proof that this is not as bad a problem as it used to be is that <a href="https://securethe.news/" style="box-sizing:border-box;color:rgb(37,167,215);text-decoration-line:none">many online media websites</a> have already switched to HTTPS, even though such websites are highly dependent on advertising revenue.</p><p style="box-sizing:border-box;line-height:1.875rem;margin:0px 0px 16px;padding:0px;font-size:1.125rem;max-width:620px;font-family:"helvetica neue",arial,sans-serif">Webmasters can use the Content Security Policy (CSP) header to discover insecure resources on their webpages and either rewrite their origin on the fly or block them. The HTTP Strict Transport Security (HSTS) can also be used to avoid mixed content issues, as explained by security researcher Scott Helme in <a href="https://scotthelme.co.uk/migrating-from-http-to-https-ease-the-pain-with-csp-and-hsts/" style="box-sizing:border-box;color:rgb(37,167,215);text-decoration-line:none">a blog post</a>.</p><p style="box-sizing:border-box;line-height:1.875rem;margin:0px 0px 16px;padding:0px;font-size:1.125rem;max-width:620px;font-family:"helvetica neue",arial,sans-serif">Other possibilities include using a service like CloudFlare, which acts as front proxy between users and the web server that actually hosts the website. CloudFlare encrypts the web traffic between end users and its proxy server, even if the connection between the proxy and the hosting web servers remains unencrypted. This secures only half of the connection, but it’s still better than nothing and will prevent traffic interception and manipulation close to the user.</p><h2 style="box-sizing:border-box;margin:0px 0px 16px;font-family:facitweb,sans-serif;padding:0px;max-width:620px"><strong style="box-sizing:border-box">HTTPS adds security and trust</strong></h2><p style="box-sizing:border-box;line-height:1.875rem;margin:0px 0px 16px;padding:0px;font-size:1.125rem;max-width:620px;font-family:"helvetica neue",arial,sans-serif">One of the major benefits of HTTPS is that it protects users against man-in-the-middle (MitM) attacks that can be launched from compromised or insecure networks.</p><p style="box-sizing:border-box;line-height:1.875rem;margin:0px 0px 16px;padding:0px;font-size:1.125rem;max-width:620px;font-family:"helvetica neue",arial,sans-serif">Hackers use such techniques to steal sensitive information from or to inject malicious content into web traffic. MitM attacks can also be done higher up in the internet infrastructure, for example at the country level—<a href="http://www.pcworld.com/article/2908912/chinas-great-cannon-ddos-tool-enforces-internet-censorship.html" style="box-sizing:border-box;color:rgb(37,167,215);text-decoration-line:none">the great firewall of China</a>—or even at the continental level, as with the NSA’s surveillance activities.</p><p style="box-sizing:border-box;line-height:1.875rem;margin:0px 0px 16px;padding:0px;font-size:1.125rem;max-width:620px;font-family:"helvetica neue",arial,sans-serif">Furthermore, some Wi-Fi hotspot operators and even some ISPs use MitM techniques to inject ads or various messages into users’ unencrypted web traffic. HTTPS can prevent this—even if this content is not malicious in nature, users might associate it with the website they’re visiting, which could hurt the website’s reputation.</p><h2 style="box-sizing:border-box;margin:0px 0px 16px;font-family:facitweb,sans-serif;padding:0px;max-width:620px"><strong style="box-sizing:border-box">Not having HTTPS comes with penalties</strong></h2><p style="box-sizing:border-box;line-height:1.875rem;margin:0px 0px 16px;padding:0px;font-size:1.125rem;max-width:620px;font-family:"helvetica neue",arial,sans-serif">Google <a href="https://security.googleblog.com/2014/08/https-as-ranking-signal_6.html" style="box-sizing:border-box;color:rgb(37,167,215);text-decoration-line:none">started to use HTTPS as a search ranking signal</a> in 2014, meaning that websites available over HTTPS get an advantage in search results over those that don’t encrypt their connections. While the impact of this ranking signal is currently small, Google plans to strengthen it over time to encourage HTTPS adoption.</p><p style="box-sizing:border-box;line-height:1.875rem;margin:0px 0px 16px;padding:0px;font-size:1.125rem;max-width:620px;font-family:"helvetica neue",arial,sans-serif">Browser makers are also pushing for HTTPS quite aggressively. The latest versions of Chrome and Firefox display warnings if users attempt to enter passwords or credit card details into forms loaded on non-HTTPS pages.</p><p style="box-sizing:border-box;line-height:1.875rem;margin:0px 0px 16px;padding:0px;font-size:1.125rem;max-width:620px;font-family:"helvetica neue",arial,sans-serif">In Chrome, websites that don’t use HTTPS are prevented from accessing features like geolocation, device motion and orientation or the application cache. The Chrome developers plan to go even further and <a href="https://developers.google.com/web/updates/2016/10/avoid-not-secure-warn" style="box-sizing:border-box;color:rgb(37,167,215);text-decoration-line:none">eventually display a Not Secure indicator</a> in the address bar for all non-encrypted websites.</p><p style="box-sizing:border-box;line-height:1.875rem;margin:0px 0px 16px;padding:0px;font-size:1.125rem;max-width:620px;font-family:"helvetica neue",arial,sans-serif"><strong style="box-sizing:border-box">Look to the future</strong></p><p style="box-sizing:border-box;line-height:1.875rem;margin:0px 0px 16px;padding:0px;font-size:1.125rem;max-width:620px;font-family:"helvetica neue",arial,sans-serif">“As a community I feel we’ve done a lot of good in this area, explaining why everybody should use HTTPS,” said Ivan Ristic, former head of the Qualys SSL Labs and author of the <em style="box-sizing:border-box">Bulletproof SSL and TLS </em>book. “Especially browsers, with their indicators and constant improvements, are compelling companies to switch.”</p></div><div><p style="box-sizing:border-box;line-height:1.875rem;margin:0px 0px 16px;padding:0px;font-size:1.125rem;max-width:620px;font-family:"helvetica neue",arial,sans-serif">According to Ristic, some adoption hurdles remain, such as having to deal with legacy systems or third-party services that don’t support HTTPS yet. However, he feels that there are now more incentives, as well as pressure from the general public to support encryption, making the effort worth it.</p><p style="box-sizing:border-box;line-height:1.875rem;margin:0px 0px 16px;padding:0px;font-size:1.125rem;max-width:620px;font-family:"helvetica neue",arial,sans-serif">“I feel that, as more sites migrate, it’s getting easier,” he said.</p><p style="box-sizing:border-box;line-height:1.875rem;margin:0px 0px 16px;padding:0px;font-size:1.125rem;max-width:620px;font-family:"helvetica neue",arial,sans-serif">The upcoming TLS 1.3 specification, which while still a draft has already been implemented and turned on by default in the latest versions of Chrome and Firefox, will make HTTPS deployment even easier. This new version of the protocol removes support for old and insecure cryptographic algorithms, making it much harder to end up with vulnerable configurations. It also brings significant speed improvements due to a simplified handshake mechanism.</p><p style="box-sizing:border-box;line-height:1.875rem;margin:0px 0px 16px;padding:0px;font-size:1.125rem;max-width:620px;font-family:"helvetica neue",arial,sans-serif">It’s worth keeping in mind, though, that since HTTPS is now easy to deploy, it can also be easily abused, so it’s also important to educate users about what the technology offers and what it doesn’t.</p><p style="box-sizing:border-box;line-height:1.875rem;margin:0px 0px 16px;padding:0px;font-size:1.125rem;max-width:620px;font-family:"helvetica neue",arial,sans-serif">People tend to have a greater degree of confidence in a website when they see the green padlock that indicates the presence of HTTPS in the browser. Since certificates are now easily obtainable, a lot of attackers are taking advantage of this misplaced trust and are setting up malicious HTTPS websites.</p><p style="box-sizing:border-box;line-height:1.875rem;margin:0px 0px 16px;padding:0px;font-size:1.125rem;max-width:620px;font-family:"helvetica neue",arial,sans-serif">“When it comes to the issue of trust, one of the things we have to be clear about is that the presence of a padlock and HTTPS don’t really mean anything about the reliability of a website and doesn’t even say anything about who is running it,” web security expert and trainer Troy Hunt said.</p><p style="box-sizing:border-box;line-height:1.875rem;margin:0px 0px 16px;padding:0px;font-size:1.125rem;max-width:620px;font-family:"helvetica neue",arial,sans-serif">Organizations will have to deal with the abuse of HTTPS too and they’ll likely start inspecting such traffic on their local networks, if they aren’t already, because encrypted connections could hide malware.</p><div><br></div><div class="end-note" style="box-sizing:border-box;font-size:1.125rem;font-style:italic;line-height:1.875rem;padding:0px;font-family:"helvetica neue",arial,sans-serif"></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div>
</div>