Новости IT, хостинга
  Android, Apple, Facebook, Google, Linux, Microsoft, Samsung, Twitter, Интернет, Россия, браузеры, обновление ПО, онлайн-сервисы, операционные системы, планшеты, рынок ИТ, сделки, смартфоны, социальные сети, уязвимости  
  новостей: 10385
  комментариев: 3198

В протоколе HTTP/2.0 предложено перейти к обязательному использованию HTTPS для всех соединений


Марк Ноттингем (Mark Nottingham), руководитель рабочей группы по развитию новой версии протокола HTTP в организации IETF (Internet Engineering Task Force), выступил с предложением перейти в стандарте HTTP/2.0 к практике обязательного использования шифрования канала связи для всех соединений. Участники заседания комитета IETF, состоявшегося в Ванкувере, пришли к обоюдному согласию в вопросе необходимости усиления шифрования трафика в Web. Тем не менее, конкретный метод реализации пока окончательно не утверждён.

Наиболее перспективным считается вариант привязки HTTP/2.0 к URI HTTPS, при котором использование HTTP/2.0 станет возможным только при обращении к ресурсам по "https://", а при использовании URI "http://" будет допустим только протокол HTTP/1. В качестве альтернативных вариантов также рассматриваются два предложения по применению шифрования для "http://" при использовании протокола HTTP/2.0. Первый вариант данного предложения подразумевает использование упрощённой схемы "TLS Relaxed", с шифрованием потока данных, но без аутентификации сервера. Второй вариант отличается от первого выполнением аутентификации сервера, т.е. аналогичен применению методов HTTPS для "http://".

Обсуждение вопроса с представителями производителей web-браузеров выявило общее согласие с вариантом HTTPS для HTTP/2.0 и наличие возражений и опасений для варианта с шифрованием без аутентификации. Среди доводов в пользу использования только HTTPS для HTTP/2.0 называются простота реализации, не требующая определения новых механизмов и изменения текста текущего черновика спецификации. Применение шифрования для "http://" может ввести в заблуждение пользователей и нарушает привычный уклад. Для управления перебросом на HTTPS может применяться механизм HSTS (HTTP Strict Transport Security). Кроме того, реализовав вариант с HTTPS ничто не мешает при необходимости в будущем обеспечить поддержку дополнительной схемы с шифрованием без аутентификации.


Источник: opennet.ru

  15 ноября 2013 635
Версия для печати

← предыдущая новость следующая новость →

Мой комментарий
Ваше имя*:
Email:
Комментарий*:
Зарегистрироваться автоматически: Вы будете зарегистрированы на сайте автоматически при добавлении комментария. Обязательно заполните поле Email для этого.
Сумма чисел 6 и 19*:            


Хостеры (2472)
HostDB (35)
Софт (2640)
Железо (993)
Интернет (1435)
Статистика и аналитика (3324)




Отправить сообщение администратору

Сумма чисел 39 и 0*:


Яндекс цитирования
сообщить о неточности