Марк Ноттингем (Mark Nottingham), руководитель рабочей группы по развитию новой версии протокола HTTP в организации IETF (Internet Engineering Task Force), выступил с предложением перейти в стандарте HTTP/2.0 к практике обязательного использования шифрования канала связи для всех соединений. Участники заседания комитета IETF, состоявшегося в Ванкувере, пришли к обоюдному согласию в вопросе необходимости усиления шифрования трафика в Web. Тем не менее, конкретный метод реализации пока окончательно не утверждён.
Наиболее перспективным считается вариант привязки HTTP/2.0 к URI HTTPS, при котором использование HTTP/2.0 станет возможным только при обращении к ресурсам по «https://», а при использовании URI «http://» будет допустим только протокол HTTP/1. В качестве альтернативных вариантов также рассматриваются два предложения по применению шифрования для «http://» при использовании протокола HTTP/2.0. Первый вариант данного предложения подразумевает использование упрощённой схемы «TLS Relaxed», с шифрованием потока данных, но без аутентификации сервера. Второй вариант отличается от первого выполнением аутентификации сервера, т.е. аналогичен применению методов HTTPS для «http://».
Обсуждение вопроса с представителями производителей web-браузеров выявило общее согласие с вариантом HTTPS для HTTP/2.0 и наличие возражений и опасений для варианта с шифрованием без аутентификации. Среди доводов в пользу использования только HTTPS для HTTP/2.0 называются простота реализации, не требующая определения новых механизмов и изменения текста текущего черновика спецификации. Применение шифрования для «http://» может ввести в заблуждение пользователей и нарушает привычный уклад. Для управлением перебросом на HTTPS может применяться механизм HSTS (HTTP Strict Transport Security). Кроме того, реализовав вариант с HTTPS ничто не мешает при необходимости в будущем обеспечить поддержку дополнительной схемы с шифрованием без аутентификации.
Добавил
X86 15 Ноября 2013