In der Planungsphase für HTTP/2 wurde immer wieder die Forderung nach ein verpflichtenden Verschlüsselung aller Datenverbindungen aufgestellt. Daraus wurde schlussendlich nichts, mit RFC7540 steht seit einem Monat die fertige Spezifikation zur Verfügung, die ohne eine solche Vorschrift auskommt.

Einheit

Und doch scheint Verschlüsselung nun zum De-facto-Standard zu werden – und zwar über die Hintertür. Wie Mark Nottingham, Mitglied der IETF HTTP Working Group, in einem Blog-Eintrag zusammenfasst, haben sich nämlich mittlerweile alle großen Browserhersteller dafür entschlossen, HTTP/2-Verbindungen ausschließlich in Verbindung mit TLS-Verschlüsselung zuzulassen.

Nachzieher

Bei Google und Mozilla hatte man sich schon länger auf eine solche Position festgelegt, nun folgen auch Apple und Microsoft. Eine kleine Ausnahme gibt es dabei derzeit noch bei Mozilla, das mit dem Laden von HTTP-URLs über TLS experimentiert. Angesichts dessen, das andere Unternehmen wie Google strikt dagegen sind, darf aber bezweifelt werden, dass sich dieser Ansatz durchsetzt.

Realität

Für Serverbetreiber bedeutet dies: Wollen sie die Vorteile von HTTP/2 nutzen, müssen sie auch Verschlüsselung unterstützen. Gegen eine fixe Aufnahme in den Standard hatten Gegner unter anderem mit dem Hinweis auf die Welt jenseits von Smartphones und Desktops verwiesen. Im Embedded-Bereich oder beim Internet der Dinge sei oft sehr schwache Hardware im Einsatz, für die verschlüsselte Verbindungen noch einen relevanten Unterschied in der Belastung ausmachen. (apo, 19.6.2015)