Linux E X P R E S

Facebook

HTTP 2.0 může mít šifrování jako výchozí

Bezpečnost

HTTPbis Working Group, která pracuje na návrhu nového protokolu HTTP 2.0, navrhuje ve výchozím stavu šifrovat veškerou komunikaci mezi klientem a serverem. Vytvořila tři návrhy, jak by to mělo vypadat.


Klasický Hypertext Transfer Protocol (HTTP) používaný jako dominantní protokol pro webovou komunikaci není sám o sobě šifrovaný. Je-li třeba komunikaci šifrovat, používá se jako „nadstavba“ SSL, resp. nověji TLS. Pracovní skupina HTTPbis Working Group, která pracuje na návrhu nové verze tohoto protokolu (2.0), připravila tři návrhy, jak realizovat šifrování již přímo v základu protokolu.

První je oportunistické šifrování (tedy takové, které se použije, pokud to lze; jinak se tiše přepne na nešifrovanou komunikaci) bez ověření identity serveru, druhé totéž s ověřením identity. Třetím návrhem je povinné schéma https pro verzi 2.0 (na veřejném Internetu), zatímco pro obyčejné http by se používala starší verze 1.1. Každý z návrhů má své výhody a nevýhody.

Důvody, proč se to všechno dělá, vysvětlil Mark Nottingham, předseda pracovní skupiny: „Ukazuje se, že je silný konsensus na tom, že se zvyšovat používání šifrování na webu, ale menší shoda panuje ohledně toho, jako to dělat.“ Dan Goodin z magazínu Ars Technica však upozorňuje, že návrh neřeší významný problém spočívající ve zranitelnosti certifikačních autorit, které navíc mohou shromažďováním IP adres a jejich propojováním s weby (při OCSP dotazech) narušovat soukromí uživatelů.

Diskuze (1) Nahoru