HTTP 2.0 будет только по HTTPS

в 11:10, , рубрики: HTTPS, IT-стандарты, TLS, информационная безопасность, Сетевые технологии, метки: ,

Рабочая группа, которая работает над новой версией стандарта HTTP/2, обсудила несколько вариантов использования шифрования в HTTP/2. Руководитель рабочей группы Марк Ноттингем (Mark Nottingham) обдумал все предложения и сегодня высказал своё мнение на этот счёт.

По мнению Ноттингема, наилучшим способом защиты коммуникаций будет, если протокол HTTP/2 будет поддерживать только URL типа https:// в «открытом» интернете. Адреса типа http:// продолжат использовать предыдущую версию протокола HTTP/1. Естественно, клиенты HTTP/1 тоже сохранят возможность обмениваться данными с защищёнными узлами.

Это довольно смелое решение. Если его утвердят в стандарте, то оно может привести к тотальному внедрению криптографии по всей Сети.

«Обсуждая ситуацию с разработчиками браузеров (которые относятся к числу тех, кто наиболее активно выступают за более активное использование криптографии), у меня сложилось впечатление хорошей поддержки варианта [с обязательным использованием HTTPS], — пишет Ноттингем. — в то время как у них имеются сомнения и разногласия по поводу [других вариантов использования криптографии, которые предлагались членами рабочей группы]».

Таким образом, для продвижения активного использования протокола TLS лучше всего будет вариант, если протокол HTTP/2 будет работать только с URL типа https://, уверен Ноттингем.

В то же время он считает, что нужно ещё обсудить варианты, в которых пользователю следует дать право подключения к незащищённому серверу по HTTP/2. Есть ситуации, когда пользователь хочет сделать осознанный выбор и использовать протокол без шифрования. Однако, для типичного случая — сёрфинга по открытой Сети — такой возможности нельзя допускать.

Теперь членам рабочей группы предстоить решить ряд других проблем, связанных с повсеместным внедрением шифрования, в том числе новые способы работы кэширующих прокси, использование протоколов совершенной прямой секретности (Perfect Forward Security) и т.д. В любом случае, новые исследования в области криптографии ещё могут повлиять на будущий стандарт HTTP/2.

Автор: alizar

Источник


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js