Mi rendo conto che ci sono domande simili su questo argomento, tuttavia, penso che questo sia sufficientemente diverso / focalizzato per non essere un duplicato. Spero che non sembri un pezzo di soapbox.
HTTP / 2 impone efficacemente TLS, poiché non esiste un'implementazione di browser mainstream che supporti h2c.
Sebbene gli obiettivi del movimento "SSL ovunque" siano ragionevoli, non sono convinto. Sono preoccupato che, in pratica, renderà il web meno sicuro creando l'illusione della sicurezza.
In molte parti del mondo occidentale, la larghezza di banda esiste in quantità sufficienti perché il caching locale sia trascurato come preoccupazione, non è certamente universale - infatti, la connettività affidabile è un problema in alcune località, e un proxy di caching è un soluzione accattivante.
Esistono già proxy TLS che possono essere utilizzati per attenuarli, a condizione che qualcuno sia disposto a installare una CA radice per accettare il contenuto firmato. Alcuni desktop aziendali lo fanno come parte di una build standard. Forzare TLS sugli utenti web incoraggerà questa pratica.
Ci saranno anche casi in cui, invece di installare una CA radice, gli utenti saranno abituati ad accettare certificati autofirmati o sospetti, potenzialmente a un livello tale da diventare automatici anche per i siti che in realtà non dovrebbero avere questo problema.
C'è un impatto psicologico nel diffondere il messaggio che "questo sito è sicuro" - predispone gli utenti a pensare che se possono vedere un lucchetto / un segno di spunta verde / qualsiasi cosa poi non devono preoccuparsi di quali informazioni stanno condividendo, e perché - i siti legittimi possono essere hackerati, quelli meno affidabili possono ottenere certificati SSL, e se non c'è almeno un'intelligence intelligence o un cartello della criminalità organizzata che ha una copia di un vero certificato CA radice, allora io Sono una teiera.
Spero che tu possa convincermi che ho torto; ci sono forti motivi tecnici per i browser che richiedono TLS per http2?
Ripensamento Pur apprezzando appieno le preoccupazioni sollevate dalla NSA e dal GCHQ per essere scoperti a spiare le popolari piattaforme di posta elettronica e social media basate sul web, mi rammarica che le piattaforme gestite da società multinazionali siano considerate più affidabili - alcune, se non tutte, di esse, sono raccolta di informazioni di intelligence - rimarchiate e giustificate da pubblicità mirata.