Chrome und Firefox wollen Verschlüsselung bei HTTP/2 erzwingen

9. März 2015, 08:44
43 Postings

Neues Protokoll eigentlich ohne Zwang zur Verschlüsselung spezifiziert - Große Hersteller verzichten aber auf Klartext

Mit HTTP/2 wurde vor kurzem der Nachfolger für eines der zentralen Protokolle des Internets fertiggestellt. Es soll vor allem eine bessere Performance bringen, auf ein vollständiges Abgehen von nicht verschlüsselter Kommunikation - wie von Sicherheitsexperten gefordert - konnte man sich hingegen nicht einigen. Und so sieht also auch HTTP/2 weiterhin die Kommunikation im Klartext als Möglichkeit vor.

Browserhersteller geben den Weg vor

Und doch dürfte die Zahl verschlüsselter Verbindungen durch den Wechsel auf HTTP/2 massiv zunehmen. Wie Mozilla-Entwickler Daniel Stenberg in einem Blog-Eintrag ausführt, wollen nämlich weder Google noch Mozilla in ihren Browsern HTTP/2 ohne TLS-Verschlüsselung unterstützen.

Auch ohne Standard

Die Konsequenz: Wollen Serverbetreiber Chrome- oder Firefox-Nutzer erreichen, müssen sie bei HTTP/2-Verbindungen auch TLS unterstützen. De fakto könnte der TLS-Support also zumindest im Web zum Standard werden.

Hinter den Kulissen

Zur Frage, wer schlussendlich dafür gesorgt hat, dass der Verschlüsselungszwang nicht fix in der HTTP/2-Spezifikation gelandet ist, will sich Stenberg nicht äußern. Im Entscheidungsfindungsprozess dürften aber mehrere Faktoren eine Rolle gespielt haben. Darunter, dass HTTP/2 nicht nur für das klassische Web genutzt werden soll, sondern auch für schwächere Geräte wie Kühlschränke oder Drucker - all das was unter "Internet der Dinge" zusammengefasst werden kann. Und diese könnten mit der zusätzlichen Belastung durch die Verschlüsselung Schwierigkeiten bekommen - so zumindest die Befürchtung. Andere hatten wiederum darauf verwiesen, dass es im aktuellen Zustand des Zertifikatsystems einige Hürden gebe, die es kleineren Betreibern schwierig mache an ein Zertifikat zu kommen - sei es in Hinblick auf die Privatsphäre oder auch die damit verbundenen Kosten.

Microsoft?

Unklar ist derzeit noch, wie sich andere Browserhersteller angesichts der Entscheidung von Google und Mozilla verhalten werden. So hatte Microsoft ursprünglich angekündigt, HTTP/2 auch ohne Verschlüsselung unterstützen zu wollen. In den aktuellen Testversionen für Windows 10 nimmt der IE allerdings nur HTTP/2-Verbindung mit TLS an. (apo, derStandard.at, 9.3.2015)

  • Auch wenn es der offizielle Standard nicht vorschreibt: HTTP/2-Verbindungen werden wohl fast immer verschlüsselt ablaufen.

    Auch wenn es der offizielle Standard nicht vorschreibt: HTTP/2-Verbindungen werden wohl fast immer verschlüsselt ablaufen.

Share if you care.