Browserhersteller: Firefox und Chrome erzwingen HTTP/2-Verschlüsselung

TLS für HTTP/2-Verbindungen ist nicht verpflichtend, weshalb die Umsetzung entscheidend von den Browserherstellern abhängt. Mozilla und Google stärkten die Webverschlüsselung für alle aber enorm, schreibt einer der Beteiligten.

Artikel veröffentlicht am ,
HTTP/2 mit TLS sollte eine weite Verbreitung finden.
HTTP/2 mit TLS sollte eine weite Verbreitung finden. (Bild: Moyan Brenn/Golem.de/CC BY 2.0)

Das neue Protokoll HTTP/2 ist so gut wie fertig, die finale Veröffentlichung sollte demnächst als RFC-Standard erfolgen. Von der zunächst geplanten Zwangsverschlüsselung rückte das Entscheidungsgremium zwar wieder ab, der Mozilla-Angestellte und Curl-Entwickler Daniel Stenberg erwartet dank Google und Mozilla dennoch eine sehr starke Verbreitung der Webverschlüsselung.

Stellenmarkt
  1. IT-Leiter Cluster (m/w/d)
    Helios IT Service GmbH, Wiesbaden, Gotha, Meiningen, Erfurt
  2. Senior Software Developer (m/w/d)
    unimed Abrechnungsservice für Kliniken und Chefärzte GmbH, deutschlandweit (Home-Office)
Detailsuche

Denn die Entwicklungsteams von Chrome und Firefox wollen das einfache Versenden von Daten ohne TLS bei der Verwendung von HTTP/2 schlicht nicht unterstützen. Hinzu komme, dass die aktuelle Vorabversion des neuen Microsoft-Browsers ebenfalls noch keine Klartextverbindungen unterstützt, auch wenn der Windows-Hersteller dies angekündigt habe.

Serverbetreiber seien also darauf angewiesen, TLS anzubieten, um die Nutzer von Firefox und Chrome zu erreichen. Der Standard erlaube dieses Verhalten explizit, da sämtliche User-Agents ihre Wahl - mit oder ohne TLS - selbstständig umsetzen könnten. Davon profitieren letztlich auch die Anwender anderer Browser, die HTTP/2 standardkonform einsetzen. Immerhin werden fast alle Server wohl TLS anbieten müssen.

Stenberg ist überzeugt, dass deshalb die Nutzungsrate von HTTPS wohl mit der Umsetzung von HTTP/2 wesentlich steigen werde. Darüber hinaus muss für HTTP/2 mindestens TLS 1.2 verwendet werden und eine Kompression sowie Neuaushandlung der Verbindung ist verboten. Der Standard enthält zudem eine Liste von Cipher-Suites, die nicht benutzt werden dürfen. Dadurch steige auch die Sicherheit der verschlüsselten Verbindungen.

Golem Akademie
  1. Webentwicklung mit React and Typescript: virtueller Fünf-Halbtage-Workshop
    6.–10. Dezember 2021, Virtuell
  2. LDAP Identitätsmanagement Fundamentals: virtueller Drei-Tage-Workshop
    , Virtuell
Weitere IT-Trainings

Eine Übersicht zu der Argumentation, warum TLS für HTTP/2 letztlich doch nicht verpflichtend geworden ist, bietet Stenberg ebenfalls in seinem Blogeintrag.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Bachsau 13. Sep 2015

Ja leider. Das dürfte auch der Grund sein für all das. Mozilla spielt ein abgekartetes...

Bachsau 13. Sep 2015

So ist es. TLS-Kompression hat sich in der Vergangenheit als Sicherheitslücke erwiesen...

Bachsau 13. Sep 2015

Ich denke Mozilla will die Leute damit zu "Let's encrypt" zwingen, ihrem eigenen...

Bachsau 13. Sep 2015

Verschlüsselung ist ja gut und richtig. Aber nicht in jedem Fall notwendig. Wir als...

nudel 07. Mär 2015

Ist doch völlig Wurst ob die Seite self signed oder CA-Zertifikate hat. Einfach im Proxy...



Aktuell auf der Startseite von Golem.de
Wemax Go Pro
Mini-Projektor für Reisen strahlt 120-Zoll-Bild an die Wand

Der Wemax Go Pro setzt auf Lasertechnik von Xiaomi. Der Beamer ist klein und kompakt, soll aber ein großes Bild an die Wand strahlen können.

Wemax Go Pro: Mini-Projektor für Reisen strahlt 120-Zoll-Bild an die Wand
Artikel
  1. Air4: Renault 4 als Flugauto neu interpretiert
    Air4
    Renault 4 als Flugauto neu interpretiert

    Der Air4 ist Renaults Idee, wie ein fliegender Renault 4 aussehen könnte. Mit der Drohne wird das 60jährige Jubiläum des Kultautos gefeiert.

  2. Snapdragon 8cx Gen 3: Geleaktes Qualcomm-SoC erreicht das Niveau von AMD und Intel
    Snapdragon 8cx Gen 3
    Geleaktes Qualcomm-SoC erreicht das Niveau von AMD und Intel

    In Geekbench wurde der Qualcomm Snapdragon 8cx Gen 3 gesichtet. Er kann sich mit Intel- und AMD-CPUs messen, mit Apples M1 aber wohl nicht.

  3. Mica statt Aero: Windows 11 bringt Transparenzeffekte zurück
    Mica statt Aero
    Windows 11 bringt Transparenzeffekte zurück

    Weitere Applikationen werden mit einem bekannten Designelement ausgestattet: Windows 11 implementiert Transparenzeffekte mit Mica.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Black Friday Wochenende • LG UltraGear 34GP950G-B 999€ • SanDisk Ultra 3D 500 GB M.2 44€ • Boxsets (u. a. Game of Thrones Blu-ray 79,97€) • Samsung Galaxy S21 128GB 777€ • Premium-Laptops (u. a. Lenovo Ideapad 5 Pro 16" 829€) • MS Surface Pro7+ 888€ • Astro Gaming Headsets [Werbung]
    •  /