Perché le specifiche HTTP / 2 non richiedono TLS?

Non esiste un motivo tecnico per limitare HTTP / 2 a TLS. La comunicazione senza TLS ha il suo uso tecnico, indipendentemente dal traffico non criptato o dal traffico crittografato con altri mezzi (VPN, ecc.).

Limitare HTTP / 2 a TLS nello standard legherebbe l'uso del protocollo HTTP / 2 all'uso di TLS solo per ragioni politiche (*). Solitamente tali legami per motivi non tecnici vengono evitati: se si cerca ad esempio l'RFC per HTTP / 1.1, mantengono esplicitamente aperto il livello di trasporto, ovvero riconosco che HTTP / 1.1 è solitamente utilizzato su TCP / IP ma potrebbe essere utilizzato in aggiunta ad altri protocolli (RFC2616, sezione 1.4).

Quindi, mentre si potrebbe pensare che ci siano state alcune malvagie pressioni, penso che la maggioranza abbia semplicemente trovato che le norme dovrebbero essere un luogo per i dettagli tecnici ma non per le dichiarazioni politiche (*).

Un interessante thread di mailing in questo contesto è La crittografia obbligatoria è teatro sulla mailing list IETF HTTP WG nel 2013 che evidenzia la diversità di opinioni tra gli utenti tecnici. Ed è anche visibile da questo thread che questo non è un lobbismo da alcuni ISP o simili ma che ci sono motivi tecnici per non legare troppo HTTP / 2 a TLS, perché TLS è noto per non essere la soluzione ottimale per la diversità di autenticazione , crittografia e problemi di privacy: in alcuni casi si desidera avere una protezione migliore di TLS in grado di offrire e in altri casi non è necessaria la protezione, ma il sovraccarico di TLS è fastidioso.

(*) Per rendere più chiaro ciò che considero politico: è meno geopolitica o politica aziendale, ma soprattutto opinioni personali influenzate da queste politiche più ampie. Ciò porta ad argomenti basati sulla visione personale di come il mondo dovrebbe funzionare e non sulla base di ragioni tecniche. A volte questi argomenti politici sono persino ciechi rispetto agli argomenti tecnici perché non rientrano nella visione personale del mondo. Ciò include l'argomentazione secondo cui tutti i casi d'uso richiedono la privacy (che TLS non offre in ogni caso), che i piccoli sistemi senza grandi risorse dovrebbero semplicemente crescere o non usare HTTP, che il caching è una cosa non importante che non deve essere considerata (es. abbiamo molta larghezza di banda e non importa se altri no) ecc.

La crittografia obbligatoria presenta almeno una cosa che la comunicazione non crittografata non ha. La comunicazione veramente crittografata (almeno http su SSL) è impossibile da memorizzare nella cache e richiede più larghezza di banda. Richiedere SSL / TLS limiterebbe il caso in cui le informazioni non sensibili vengano memorizzate nella cache da qualche server proxy intermedio.

Anche la crittografia ha un costo. Aggiunge un po 'di sovraccarico e aggiunge un po' di potenza di elaborazione. Ma allora anche molte funzionalità di qualsiasi protocollo. Quindi è una buona domanda chiedere perché la crittografia è speciale ed è opzionale.

Ci sono anche altre preoccupazioni, ma penso che coinvolga molto ciò che è apprezzato. Stephen chiama questo "politico", ma questo sembra una semplificazione eccessiva rispetto a un argomento standard. Politico può significare molte cose. A volte significa interessi contrastanti. A volte significa "geopolitico", a volte si tratta di ideologia politica. E a volte significa ... Non so nemmeno cosa. Gettare tutto ciò in un secchio mi sembra un po 'riduttivo.