Cosa fornirebbe la crittografia TLS HTTP / 2?

1

link

So che una connessione HTTPS fornisce:

  • Autenticità: un sito web che sto visitando è il vero sito web che intendevo visitare.
  • Integrità: i dati inviati tra i due endpoint non vengono alterati
  • Crittografia: i dati inviati tra i due endpoint sono crittografati

La domanda: Ma che ne è del TLS utilizzato nella RFC HTTP / 2? Significa lo stesso? Potremmo finalmente abbandonare il sistema CA se HTTP / 2 fornirebbe solo la connessione tramite TLS?

    
posta thequestionthequestion 04.11.2014 - 21:01
fonte

2 risposte

4

"HTTPS" è "HTTP-entro-SSL" (ora, SSL si evolve con il nome "TLS" ma è la stessa cosa). HTTP / 2 non è niente di speciale qui, tranne che rende TLS in qualche modo obbligatorio; in altre parole, quando (se) HTTP / 2 diventa una cosa reale, tutti i siti che lo utilizzano saranno siti HTTPS.

Dal punto di vista TLS, questi sono solo byte. TLS non sa né importa se i byte trasportati codificano effettivamente le richieste HTTP / 1.1, le richieste HTTP / 2 o qualsiasi altra cosa.

Il "sistema CA" è collegato a TLS, non a HTTP. HTTP / 2 non cambia nulla in questo senso. Ciò che potrebbe "eliminare il sistema CA" sarebbe DANE , e ciò si applicherebbe ugualmente a "normal HTTP" e HTTP / 2 (e non rimuoverebbe realmente tutta la CA, nonostante la propaganda: unirebbe CA con i registrar di domini, il che significherebbe più un cambio di giocatori piuttosto che la rimozione del concetto di CA). / p>     

risposta data 04.11.2014 - 21:15
fonte
1

È la stessa cosa Non siamo in grado di abbandonare le CA perché le CA sono una parte necessaria del sistema di fiducia. Non puoi fidarti di nessun host se non hai qualcuno là fuori che verifica che gli host siano effettivamente chi dicono di essere. Hai bisogno di una base di fiducia in PKI e SSL non funziona bene se non hai infrastrutture per verificare i dettagli degli operatori del sito.

Il punto di HTTP / 2 è migliorare le prestazioni del sistema del web, non qualcosa legato alla sicurezza (oltre alla proposta di consentire ai proxy di agire da intermediari sulla connessione crittografata con il permesso dell'utente senza generare errori di fiducia. prestazioni correlate piuttosto che correlate alla sicurezza.)

    
risposta data 04.11.2014 - 21:45
fonte

Leggi altre domande sui tag