Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
HTTPS jednak obowiązkowy w HTTP/2 ?
Niedawno pisaliśmy o już finalnym standardzie HTTP/2, który przynosi przede wszystkim rewolucję w wydajności. Od strony bezpieczeństwa nie ma tu wielu zmian, choć jak opisuje jeden z Mozilla hackerów – mimo że użycie TLS nie jest obowiązkowe w specyfikacji (dopuszczony jest HTTP/2 over TCP lub TLS), to zarówno twórcy Chrome jak i Firefoxa umożliwiają połączenia HTTP/2 tylko po TLS. Microsoft jak zwykle się wyłamał, i ogłosił że będzie wspierał HTTP/2 również po TCP, ale preview IE w Windows 10 pokazuje coś innego (tj. również tylko TLS).
Czy zatem TLS będzie realnie obowiązkowy w HTTP/2 ? Miałoby to sporo plusów (szczególnie że wymagany jest TLS v1.2+), choć również pewne minusy takie jak:
- potencjalne problemy wydajnościowe na niewielkich urządzeniach które serwują strony (np. małe domowe routery),
- konieczność wykupienia odpowiednich certyfikatów sygnowanych przez zaufane CA. Dla tych ostatnich może to być biznes dziesięciolecia ;-),
- czy potencjalne problemy z serwerami typu proxy-cache (żeby działać poprawnie musiałyby realizować MiTM).
Więcej o samym TLS w HTTP/2 na blogu Daniela Stenberg-a.
–ms
Hm, chyba mam alternatywę dla małych domowych ruterów: po prostu używaj HTTP/1.1.
Jakoś nie sądzę, żeby zostało szybko wyłączone w przeglądarkach.
Ale to wiesz – potencjalny showstopper do wdrożenia tej technologii na nowych modelach…
Od dawna twierdze ze administratorzy serwerow powinni wymuszac ruch po SSLu bez znaczenia czy strona „jest wazna” czy nie… Powinni wymuszac ruch szyfrowany najnowszymi standardami. Nie jestem profesjonalista a mimo to bylem w stanie na moim serwerze wymusic ruch wylacznie po https z uzyciem TLS 1.2 forward secrecy i ustawic szyfry tak ze laczna ocena na ssllabs.com to A+ i 4 x 100 punktow. Odcinam duza czesc przegladarek (starsze IE i Opere ktora do tej pory nie zdecydowala sie wprowadzic obslugi TLS 1.2 z tego co wiem) i wiekszosc crawlerow, ktore TLS 1.2 nie obsluguja (reszte wycinam w inny sposob ;)). Uwazam ze jesli administratorzy nie wymusza najnowszego krypto – przegladarki (takie jak Opera) nie rusza dupska do przodu i beda gnusniec uzywajac przestarzalych standardow.
Zyjemy w XXI wieku. Male urzadzenia maja prawie tyle mocy co Chuck Norris…
Serwery proxy ewoluuja, albo zostana zastapione innym rozwiazaniem.
Jedyny „problem” jaki widze to certyfikaty SSL. Jesli potrzebujesz tylko certyfikat dla domeny glownej i moze jednej subdomeny – StartSSL. Problem z glowy – za darmo. Natomiast jesli potrzebujesz EV Cert no to niestety bedziesz musial juz sie troche napocic (sa pewne formalnosci) i zaplacic… Na StartSSL np. EV cert to $200 na 2 lata. Niszowe strony, ktore uzywaja adresow typu no-ip nadal beda uzywaly Self Signed certyfikatow. Nic strasznego.
Pozdrawiam.
Andrzej
Co do certyfikatów https://letsencrypt.org/
Stara Opera jest martwa, a nowa obsługuje TLS 1.2