- PVSM.RU - https://www.pvsm.ru -
Рабочая группа, которая работает над новой версией стандарта HTTP/2, обсудила несколько вариантов использования шифрования в HTTP/2. Руководитель рабочей группы Марк Ноттингем (Mark Nottingham) обдумал все предложения и сегодня высказал своё мнение [1] на этот счёт.
По мнению Ноттингема, наилучшим способом защиты коммуникаций будет, если протокол HTTP/2 будет поддерживать только URL типа https:// в «открытом» интернете. Адреса типа http:// продолжат использовать предыдущую версию протокола HTTP/1. Естественно, клиенты HTTP/1 тоже сохранят возможность обмениваться данными с защищёнными узлами.
Это довольно смелое решение. Если его утвердят в стандарте, то оно может привести к тотальному внедрению криптографии по всей Сети.
«Обсуждая ситуацию с разработчиками браузеров (которые относятся к числу тех, кто наиболее активно выступают за более активное использование криптографии), у меня сложилось впечатление хорошей поддержки варианта [с обязательным использованием HTTPS], — пишет Ноттингем. — в то время как у них имеются сомнения и разногласия по поводу [других вариантов использования криптографии, которые предлагались членами рабочей группы]».
Таким образом, для продвижения активного использования протокола TLS лучше всего будет вариант, если протокол HTTP/2 будет работать только с URL типа https://, уверен Ноттингем.
В то же время он считает, что нужно ещё обсудить варианты, в которых пользователю следует дать право подключения к незащищённому серверу по HTTP/2. Есть ситуации, когда пользователь хочет сделать осознанный выбор и использовать протокол без шифрования. Однако, для типичного случая — сёрфинга по открытой Сети — такой возможности нельзя допускать.
Теперь членам рабочей группы предстоить решить ряд других проблем, связанных с повсеместным внедрением шифрования, в том числе новые способы работы кэширующих прокси, использование протоколов совершенной прямой секретности (Perfect Forward Security) и т.д. В любом случае, новые исследования в области криптографии ещё могут повлиять на будущий стандарт HTTP/2.
Автор: alizar
Источник [2]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/48226
Ссылки в тексте:
[1] высказал своё мнение: http://lists.w3.org/Archives/Public/ietf-http-wg/2013OctDec/0625.html
[2] Источник: http://habrahabr.ru/post/201990/
Нажмите здесь для печати.