Open Source im professionellen Einsatz

HTTP 2: Sicher per Default

14.11.2013

Eine W3C-Arbeitsgruppe werkelt derzeit am Nachfolgeprotokoll von HTTP, das HTTP 2 heißen soll. In puncto Sicherheit zeichnet sich die Einigung auf eine standardmäßige Verschlüsselung ab.

209

Zur Zeit beschäftigt sich die W3C-Arbeitsgruppe mit drei Vorschlägen: Während die ersten beiden (A und B) den bisherigen Einsatz von HTTP mit Server Authentifizierung vorsehen, aber für eine schwache (A) respektive starke (B) Verschlüsselung plädieren, fordert Vorschlag C eine ausschließliche Nutzung von HTTPS im offenen Internet. Diese solle natürlich abwärtskompatibel sein, so dass ältere Browser weiterhin "http://" und "https://" verwenden können.

Mark Nottingham stellte nun in einer Mail fest, dass sich ein Konsens hin zur Lösung C abzeichne, weil es der geradlinigere Ansatz sei. Hierzu müssten keine neuen Mechanismen spezifiziert werden und HSTS schütze vor (ungewollten) Downgrades von HTTPS auf HTTP. Auch die Browser-Anbieter würden sich eher für einen Ansatz mit starker Verschlüsselung erwärmen, erklärt Nottingham. Trotzdem können Nutzer auch mit HTTP 2 weiterhin "http://"-URIs verwenden, sie müssen dies aber explizit einstellen.

Das sei aber noch nicht das Ende der Security-Anstrengungen: Proxy-Caching müsse überarbeitet werden, wenn TLS weite Verbreitung findet. Auch TLS selbst solle gestärkt werden, etwa durch die Implementierung von PFS (Perfect Forward Security). Zugleich arbeite man mit der IETF zusammen, um die Sicherheit von HTTP zu gewährleisten.

Ähnliche Artikel

comments powered by Disqus

Ausgabe 01/2015

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.