Abo
  • Services:
Anzeige
HTTP/2 mit TLS sollte eine weite Verbreitung finden.
HTTP/2 mit TLS sollte eine weite Verbreitung finden. (Bild: Moyan Brenn/Golem.de/CC BY 2.0)

Browserhersteller: Firefox und Chrome erzwingen HTTP/2-Verschlüsselung

HTTP/2 mit TLS sollte eine weite Verbreitung finden.
HTTP/2 mit TLS sollte eine weite Verbreitung finden. (Bild: Moyan Brenn/Golem.de/CC BY 2.0)

TLS für HTTP/2-Verbindungen ist nicht verpflichtend, weshalb die Umsetzung entscheidend von den Browserherstellern abhängt. Mozilla und Google stärkten die Webverschlüsselung für alle aber enorm, schreibt einer der Beteiligten.

Anzeige

Das neue Protokoll HTTP/2 ist so gut wie fertig, die finale Veröffentlichung sollte demnächst als RFC-Standard erfolgen. Von der zunächst geplanten Zwangsverschlüsselung rückte das Entscheidungsgremium zwar wieder ab, der Mozilla-Angestellte und Curl-Entwickler Daniel Stenberg erwartet dank Google und Mozilla dennoch eine sehr starke Verbreitung der Webverschlüsselung.

Denn die Entwicklungsteams von Chrome und Firefox wollen das einfache Versenden von Daten ohne TLS bei der Verwendung von HTTP/2 schlicht nicht unterstützen. Hinzu komme, dass die aktuelle Vorabversion des neuen Microsoft-Browsers ebenfalls noch keine Klartextverbindungen unterstützt, auch wenn der Windows-Hersteller dies angekündigt habe.

Serverbetreiber seien also darauf angewiesen, TLS anzubieten, um die Nutzer von Firefox und Chrome zu erreichen. Der Standard erlaube dieses Verhalten explizit, da sämtliche User-Agents ihre Wahl - mit oder ohne TLS - selbstständig umsetzen könnten. Davon profitieren letztlich auch die Anwender anderer Browser, die HTTP/2 standardkonform einsetzen. Immerhin werden fast alle Server wohl TLS anbieten müssen.

Stenberg ist überzeugt, dass deshalb die Nutzungsrate von HTTPS wohl mit der Umsetzung von HTTP/2 wesentlich steigen werde. Darüber hinaus muss für HTTP/2 mindestens TLS 1.2 verwendet werden und eine Kompression sowie Neuaushandlung der Verbindung ist verboten. Der Standard enthält zudem eine Liste von Cipher-Suites, die nicht benutzt werden dürfen. Dadurch steige auch die Sicherheit der verschlüsselten Verbindungen.

Eine Übersicht zu der Argumentation, warum TLS für HTTP/2 letztlich doch nicht verpflichtend geworden ist, bietet Stenberg ebenfalls in seinem Blogeintrag.


eye home zur Startseite
Bachsau 13. Sep 2015

Ja leider. Das dürfte auch der Grund sein für all das. Mozilla spielt ein abgekartetes...

Bachsau 13. Sep 2015

So ist es. TLS-Kompression hat sich in der Vergangenheit als Sicherheitslücke erwiesen...

Bachsau 13. Sep 2015

Ich denke Mozilla will die Leute damit zu "Let's encrypt" zwingen, ihrem eigenen...

Bachsau 13. Sep 2015

Verschlüsselung ist ja gut und richtig. Aber nicht in jedem Fall notwendig. Wir als...

nudel 07. Mär 2015

Ist doch völlig Wurst ob die Seite self signed oder CA-Zertifikate hat. Einfach im Proxy...



Anzeige

Stellenmarkt
  1. Groz-Beckert KG, Albstadt
  2. T-Systems International GmbH, verschiedene Einsatzorte
  3. SIKA DEUTSCHLAND GMBH, Stuttgart
  4. EOS GmbH Electro Optical Systems, Krailling bei München


Anzeige
Spiele-Angebote
  1. (-15%) 25,49€
  2. 19,99€
  3. 4,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Classic Factory

    Elextra, der Elektro-Supersportwagen aus der Schweiz

  2. Docsis 3.1

    AVM arbeitet an 10-GBit/s-Kabelrouter

  3. Upspin

    Google-Angestellte basteln an globalem File-Sharing-System

  4. Apple Park

    Apple bezieht das Raumschiff

  5. Google Cloud Platform

    Tesla-Grafik für maschinelles Lernen verfügbar

  6. Ryzen

    AMDs Achtkern-CPUs sind schneller als erwartet

  7. Deutsche Glasfaser

    Gemeinde erreicht Glasfaser-Quote am letzten Tag

  8. Suchmaschine

    Google macht angepasste Site Search dicht

  9. Hawkspex mobile

    Diese App macht das Smartphone zum Spektrometer

  10. Asus Tinker Board im Test

    Buntes Lotterielos rechnet schnell



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mechanische Tastatur Poker 3 im Test: "Kauf dir endlich Dämpfungsringe!"
Mechanische Tastatur Poker 3 im Test
"Kauf dir endlich Dämpfungsringe!"
  1. Patentantrag Apple denkt über Tastatur mit Siri-, Emoji- und Teilen-Taste nach
  2. Kanex Faltbare Bluetooth-Tastatur für mehrere Geräte gleichzeitig
  3. Surface Ergonomic Keyboard Microsofts Neuauflage der Mantarochen-Tastatur

Hyperloop-Challenge: Der Kompressor macht den Unterschied
Hyperloop-Challenge
Der Kompressor macht den Unterschied
  1. Arrivo Die neuen alten Hyperlooper
  2. SpaceX Die Bayern hyperloopen am schnellsten und weitesten
  3. Hyperloop HTT baut ein Forschungszentrum in Toulouse

Merkels NSA-Vernehmung: Die unerträgliche Uninformiertheit der Kanzlerin
Merkels NSA-Vernehmung
Die unerträgliche Uninformiertheit der Kanzlerin
  1. US-Präsident Zuck it, Trump!
  2. Begnadigung Danke, Chelsea Manning!
  3. Glasfaser Nun hängt die Kabel doch endlich auf!

  1. Re: Erfahrungsbericht aus der echten Praxis...

    amagol | 03:35

  2. Re: Kommt also gar nicht aus der Schweiz ...

    2ge | 03:19

  3. Produktion bei AMG in Affalterbach?

    alpha15 | 02:28

  4. Gibt es schon, nennt sich "SSH" bzw. "SFTP"

    __destruct() | 02:22

  5. Re: 10 Fälle?

    Iomegan | 01:55


  1. 18:05

  2. 16:33

  3. 16:23

  4. 16:12

  5. 15:04

  6. 15:01

  7. 14:16

  8. 13:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel