Poiché HTTP / 2 sta iniziando a essere adottato da sempre più siti ogni giorno. Ci sono vantaggi per la sicurezza o rischi noti relativi a HTTP / 2?
RFC 7540 Sezione 10 è una sezione relativa alla sicurezza che documenta una serie di considerazioni sulla sicurezza durante l'implementazione e / o usando HTTP / 2. In breve:
- 10.1. Server Authority
- 10.2. Cross-Protocol Attacks
- 10.3. Intermediary Encapsulation Attacks
- 10.4. Cacheability of Pushed Responses
- 10.5. Denial-of-Service Considerations
- 10.5.1. Limits on Header Block Size
- 10.5.2. CONNECT Issues
- 10.6. Use of Compression
- 10.7. Use of Padding
- 10.8. Privacy Considerations
La maggior parte delle normali considerazioni sulla sicurezza per HTTP / 1 sono ancora valide, poiché HTTP / 2 ha lo stesso livello di applicazione semantico di HTTP / 1.
Da un punto di vista crittografico, HTTP / 2 richiede il supporto di almeno TLS1.2, il che significa che il canale di comunicazione verrà crittografato utilizzando crittografi AEAD, cioè crypto all'avanguardia.