หลังจากงาน IETF-88 การโต้เถียงประเด็นความปลอดภัยของ HTTP 2.0 ยังคงไม่ได้ข้อสรุป โดยมีแนวทางสำคัญ การเข้ารหัสเท่าที่เป็นไปได้ และการบังคับเข้ารหัสเต็มรูปแบบ
กระบวนการเข้ารหัสเท่าที่เป็นไปได้ (opportunistic encryption) คือการเปิดให้เบราว์เซอร์พยายามเข้ารหัสก่อนเสมอ แม้จะไม่มีใบรับรองดิจิตอลเต็มรูปแบบก็ตาม เบราว์เซอร์ก็ยังยอมรับการเข้ารหัสกับเซิร์ฟเวอร์เหล ่านี้ แต่จะแสดงผลกับผู้ใช้ว่ากำลังใช้งานเป็น HTTP และไม่แจ้งผู้ใช้ว่ากำลังเข้ารหัสอยู่
กระบวนการนี้ช่วยลดความเสี่ยงของผู้ใช้ลงจากการถูกดั กฟังได้ แต่ไม่สามารถป้องกันผู้ใช้จากการถูกคั่นกลางแบบ man-in-the-middle ได้ นอกจากนี้พรอกซี่ของผู้ให้บริการอินเทอร์เน็ตอาจจะเป ลี่ยนหัวการเชื่อมต่อเพื่อปิดการเข้ารหัสได้ โดยแนวคิดสำคัญคือความปลอดภัยนั้นไม่น้อยลงกว่าเดิม
อีกแนวคิดหนึ่งคือการบังคับให้ HTTP 2.0 ต้องเข้ารหัสเป็น HTTPS เสมอ และจะปิดการเข้ารหัสได้ในบางกรณีเท่านั้น (ยังไม่มีรายละเอียด) แนวคิดนี้ตรงไปตรงมา และเบราว์เซอร์เก่าๆ ที่ยังไม่ได้ทำงานบน HTTP 2.0 ก็ยังทำงานร่วมกันได้
ในอีเมลสรุปงาน เขียนโดย Mark Nottingham จาก Akamai มีปัญหากันเมื่อ Nottingham แสดงความเห็นในสรุปงานว่าที่ประชุมน่าจะโน้มเอียงไปท างบังคับใช้ HTTPS เท่านั้น ในเมลลิ่งลิสต์จึงมีการโต้เถียงกันยาวเหยียด และผู้ร่วมในเมลจำนวนหนึ่งก็ยืนยันว่าแนวทางการเข้าร หัสเท่าที่เป็นไปได้ยังไม่ได้ถูกตัดออกไป
ที่มา - The Register, ietf-http-wg
IETF, HTTP, Open Standard, Security




อ่านต่อ...