HTTPS es más seguro, entonces, ¿por qué la Web no lo usa?

1. Se necesita poco (muy poco) esfuerzo adicional para implementar HTTPS.

2. Mucha gente no lo sabe. ¡Sorpresa!

3. Si el certificado que usa para implementarlo no está certificado por una buena autoridad certificadora, entonces el navegador bloquea su sitio web. Ahora, los certificados de la mayoría de las buenas autoridades certificadoras son un poco caros. Puede que no sean demasiado caros, pero la gente parece preocuparse mucho por este pequeño costo.

4. Para los sitios web pequeños, no tiene sentido invertir mucho en seguridad ya que las posibilidades de que sean pirateadas son pocas. Las grandes empresas ya los están utilizando.

5. A medida que aumenta el conocimiento sobre los programas de espionaje del gobierno y otras amenazas relacionadas con la privacidad en las personas, más webmasters están invirtiendo en seguridad e implementando tales capas de seguridad.

De acuerdo con la mayoría de las cosas que dice Chetan Bhasin. Algunas cosas más:

La seguridad no es necesaria en todas partes. Los sitios web públicos que solo tienen contenido de marketing son mejores sin una capa segura.

Si bien es un pequeño esfuerzo habilitar HTTP en un sitio web simple, en muchos casos se complica. Por ejemplo, si posee muchos dominios y sirve el mismo contenido en todos los dominios (o subdominios para el caso), la administración de certificados puede no ser trivial.

SSL agrega su propia sobrecarga dulce a la comunicación y el sitio web se vuelve más lento. Puede abrir la herramienta de desarrollo del navegador (F12), ir a la pestaña ‘red’ y verificar cuánto tiempo adicional se necesita para cada solicitud en la negociación SSL y el apretón de manos. El tiempo empleado por el cifrado / descifrado es adicional.

Si una página se sirve a través de HTTPS, todos los recursos (CSS, JS, Imágenes, etc.) en la página también deben venir a través de HTTPS. Entonces, si un sitio web incluye recursos de terceros (un caso muy común), todos ellos deben implementar HTTPS.

Es solo cuestión de tiempo.

Los certificados SSL aseguran que la información que va de su computadora al sitio web esté encriptada entre los dos y, por lo tanto, no sea hackeada fácilmente. Como iniciativa para hacer una web más segura, el 8 de septiembre de 2016, Google anunció que Chrome comenzaría a etiquetar explícitamente las conexiones HTTP como “No seguras”. La idea es que entonces sepas que la información se transmite por Internet sin cifrar.

A partir de enero de 2017, Chrome marcará páginas HTTP (es decir, páginas sin un certificado SLL) que recopilan contraseñas o tarjetas de crédito como no seguras, como parte de un plan a largo plazo para marcar todos los sitios HTTP como no seguros.

En el futuro, esto será mucho más explícito con cualquier sitio que carezca de un certificado SSL etiquetado como “NO SEGURO”.

Básicamente, Google les está dando a todos tiempo para ponerse al día antes de que esto suceda, pero no mucho tiempo.

Si tiene páginas que solicitan contraseñas, su sitio se etiquetará explícitamente como NO SEGURO a partir del 1 de enero de 2017.

Finalmente, todos los sitios sin certificados SSL también tendrán el etiquetado explícito.

Sin duda, esto tendrá un profundo impacto en la experiencia del usuario. Nadie quiere ir a un sitio etiquetado como no seguro.

Porque el uso de HTTPS conlleva un costo adicional en el alojamiento y el gasto innecesario no tiene sentido. por ejemplo, si usa Facebook, Twitter u otros sitios de redes sociales, banca en línea, pasarelas de pago, etc. HTTPS tiene mucho sentido porque la seguridad es el principal problema allí. Mientras que, por otro lado, si está leyendo wikipedia, o está aprendiendo guitarra o algo donde la seguridad no es tan importante, ¿por qué usar HTTPS innecesariamente y si es su interés personal usar HTTPS, puede usar una aplicación llamada HTTPS en todas partes que esté disponible? para Firefox y probablemente también para Chrome, lo que te hace navegar por sitios web de forma segura.

Inicialmente, cuando se creó Internet, se basaba en un modelo de “Vecino de confianza”, lo que significa que sus direcciones IP cercanas son de confianza. Por lo tanto, cualquier tráfico que ingrese y pase por cualquier lugar ahora será “confiable” de forma predeterminada.
Cada vez que alguien solicita datos, debe pasar por varios servidores intermedios antes de llegar al servidor de destino.
El concepto de HTTPS ahora tiene dos propósitos.

1. Para cifrar los datos que viajan entre el cliente y el servidor
2. Para autenticar el servidor verificando su identidad.

Entonces, cuando acceda a icicibank.com, verá un símbolo verde en su navegador Chrome.
Cuando vea un letrero verde, muestra que el servidor al que está intentando acceder es, de hecho, solo el servidor del banco. Por lo tanto, cualquier intento de realizar un ataque de phishing se anulará, ya que no tienen el mismo certificado que icicibank emitido por una autoridad de certificación que realiza una verificación completa de backgroubd antes de emitir un certificado SSL.
Ahora no todos los servidores requieren HTTPS, por lo tanto, no se implementa en todos los servidores.