Информационные технологииStfw.Ru 🔍
🕛

В HTTP/2.0 предлагается использовать HTTPS для всех соединений

На прошедшей конференции в Ванкувере представители IETF и разработчики веб-браузеров решили усилить шифрование продуктов.На прошедшей конференции в Ванкувере представители IETF и разработчик
На прошедшей конференции в Ванкувере представители IETF и разработчики веб-браузеров решили усилить шифрование продуктов.


Руководитель рабочей группы по развитию новой версии HTTP в организации Internet Engineering Task Force (IETF) Марк Ноттингем (Mark Nottingham) предложил использовать в стандарте HTTP/2.0 обязательное шифрование канала связи для всех соединений. Все участники заседания комитета организации, прошедшего в Ванкувере, пришли к согласию относительно реализации усиления шифрования в Web, хотя конкретный метод до сих пор не утвержден.

Одним из наиболее перспективных способов считается привязка HTTP/2.0 к  "https://"-адресам. Таким образом, использовать HTTP/2.0 удастся только при обращении к ресурсу по “https://”. Использование стандартного “http://” будет возможно только через HTTP/1. Альтернатива – использование двух других вариантов шифрования при обращении через “http://”. Первый вариант предлагает использовать упрощенную схему «TLS Relaxed», которая будет шифровать поток данных, но не потребует аутентификации сервера. Второй вариант предполагает аутентификацию сервера и будет аналогичен применению HTTPS-методов для стандартного “http://”.

Представители производителей браузеров согласились с IETF в использовании HTTPS для HTTP/2.0, но внесли ряд возражений в использование шифрования без аутентификации. Использование шифрованного соединения в HTTP/2.0 просто в реализации, не требует определения новых механизмов и изменения текста черновика спецификации. Применение шифровки для стандартного “http://” наверняка введет пользователей в заблуждение и нарушит привычный уклад. Чтобы понизить защиту в HTTP/2.0, вероятно, будут применять механизм HSTS (HTTP Strict Transport Security). Помимо этого, реализация варианта с HTTPS не помешает в будущем разработать и обеспечить поддержку дополнительной схемы шифрования без аутентификации.

Также по теме:
Обзор безопасности, новые вирусы, уязвимости в сети. Взлом и защита компьютера, хакерские атаки.