IETF ยังไม่ได้ข้อสรุปความปลอดภัยใน HTTP 2.0

by lew
14 November 2013 - 11:52

หลังจากงาน IETF-88 การโต้เถียงประเด็นความปลอดภัยของ HTTP 2.0 ยังคงไม่ได้ข้อสรุป โดยมีแนวทางสำคัญ การเข้ารหัสเท่าที่เป็นไปได้ และการบังคับเข้ารหัสเต็มรูปแบบ

กระบวนการเข้ารหัสเท่าที่เป็นไปได้ (opportunistic encryption) คือการเปิดให้เบราว์เซอร์พยายามเข้ารหัสก่อนเสมอ แม้จะไม่มีใบรับรองดิจิตอลเต็มรูปแบบก็ตาม เบราว์เซอร์ก็ยังยอมรับการเข้ารหัสกับเซิร์ฟเวอร์เหล่านี้ แต่จะแสดงผลกับผู้ใช้ว่ากำลังใช้งานเป็น HTTP และไม่แจ้งผู้ใช้ว่ากำลังเข้ารหัสอยู่

กระบวนการนี้ช่วยลดความเสี่ยงของผู้ใช้ลงจากการถูกดักฟังได้ แต่ไม่สามารถป้องกันผู้ใช้จากการถูกคั่นกลางแบบ man-in-the-middle ได้ นอกจากนี้พรอกซี่ของผู้ให้บริการอินเทอร์เน็ตอาจจะเปลี่ยนหัวการเชื่อมต่อเพื่อปิดการเข้ารหัสได้ โดยแนวคิดสำคัญคือความปลอดภัยนั้นไม่น้อยลงกว่าเดิม

อีกแนวคิดหนึ่งคือการบังคับให้ HTTP 2.0 ต้องเข้ารหัสเป็น HTTPS เสมอ และจะปิดการเข้ารหัสได้ในบางกรณีเท่านั้น (ยังไม่มีรายละเอียด) แนวคิดนี้ตรงไปตรงมา และเบราว์เซอร์เก่าๆ ที่ยังไม่ได้ทำงานบน HTTP 2.0 ก็ยังทำงานร่วมกันได้

ในอีเมลสรุปงาน เขียนโดย Mark Nottingham จาก Akamai มีปัญหากันเมื่อ Nottingham แสดงความเห็นในสรุปงานว่าที่ประชุมน่าจะโน้มเอียงไปทางบังคับใช้ HTTPS เท่านั้น ในเมลลิ่งลิสต์จึงมีการโต้เถียงกันยาวเหยียด และผู้ร่วมในเมลจำนวนหนึ่งก็ยืนยันว่าแนวทางการเข้ารหัสเท่าที่เป็นไปได้ยังไม่ได้ถูกตัดออกไป

ที่มา - The Register, ietf-http-wg

Blognone Jobs Premium