Browserhersteller: Firefox und Chrome erzwingen HTTP/2-Verschlüsselung
Das neue Protokoll HTTP/2 ist so gut wie fertig, die finale Veröffentlichung sollte demnächst als RFC-Standard erfolgen. Von der zunächst geplanten Zwangsverschlüsselung rückte das Entscheidungsgremium zwar wieder ab, der Mozilla-Angestellte und Curl-Entwickler Daniel Stenberg erwartet(öffnet im neuen Fenster) dank Google und Mozilla dennoch eine sehr starke Verbreitung der Webverschlüsselung.
Denn die Entwicklungsteams von Chrome und Firefox wollen das einfache Versenden von Daten ohne TLS bei der Verwendung von HTTP/2 schlicht nicht unterstützen. Hinzu komme, dass die aktuelle Vorabversion des neuen Microsoft-Browsers ebenfalls noch keine Klartextverbindungen unterstützt, auch wenn der Windows-Hersteller dies angekündigt habe.
Serverbetreiber seien also darauf angewiesen, TLS anzubieten, um die Nutzer von Firefox und Chrome zu erreichen. Der Standard erlaube dieses Verhalten explizit, da sämtliche User-Agents ihre Wahl – mit oder ohne TLS – selbstständig umsetzen könnten. Davon profitieren letztlich auch die Anwender anderer Browser, die HTTP/2 standardkonform einsetzen. Immerhin werden fast alle Server wohl TLS anbieten müssen.
Stenberg ist überzeugt, dass deshalb die Nutzungsrate von HTTPS wohl mit der Umsetzung von HTTP/2 wesentlich steigen werde. Darüber hinaus muss für HTTP/2 mindestens TLS 1.2 verwendet werden(öffnet im neuen Fenster) und eine Kompression sowie Neuaushandlung der Verbindung ist verboten. Der Standard enthält zudem eine Liste von Cipher-Suites, die nicht benutzt werden dürfen. Dadurch steige auch die Sicherheit der verschlüsselten Verbindungen.
Eine Übersicht zu der Argumentation, warum TLS für HTTP/2 letztlich doch nicht verpflichtend geworden ist, bietet Stenberg ebenfalls in seinem Blogeintrag.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.