TLS ” НТТР/2

шынайы мақала http://daniel.haxx.se/blog/2015/03/06/tls-in-http2/

TLS ” НТТР/2

SSL хаттамасы құлыпМен жазған қолдау http2 түсіндірді құжат және мен жасады бірнеше келіссөздер туралы http/2. Алдым да көп TLS қауымдастығы http/2-бұл, менің қарастыру және олардың кейбіреулері осында.

TLS міндетті емес

НТТР/2 Ерекшелігі, мақұлданғанжәне, міне, сол болмақ ресми құжат RFC кез-келген күні, тілі жоқ, деп хабарлайды астында мандатын пайдалану хаттаманың TLS қорғау үшін хаттама. Керісінше, алыпсатарлық анық түсіндіреді, қалай пайдалануға болады, оның мәтіндік форматта (қарапайым хаттамасы (TCP), сондай-ақ пайдалана отырып, TLS. TLS міндетті емес үшін http/2.

Хаттама TLS міндетті болып табылады және күшіне

Әзірге спец емес мәжбүрлемейді іске асыру хаттамасы http/2 пайдалана отырып, TLS, бірақ жасауға мүмкіндік береді, ол неғұрлым айқын мәтінмен хаттама TCP, өкілдері ретінде Firefox және Chrome үшін команда ниет білдірді ниет, тек іске асыру хаттамасы http/2 пайдалана отырып, TLS. Бұл хаттама http:// URL-мекенжайы болып табылады жалғыз мүмкіндік беретін хаттама http/2 үшін браузер. Интернет Шот адамдар айтқан, олар мүдделі, сондай-ақ қолдау үшін жаңа хаттама TLS хаттамасы жоқ, бірақ олар шығарды, бірінші тестілік нұсқасын бөлігі ретінде Windows 10 Нұсқасы әзірлеушілер үшін, сондай-ақ браузер ғана қолдайды хаттама http/2 пайдалана отырып, TLS. Бұл жазу кезінде осы баптың онда емес, браузер шығарылды жұртшылық үшін, бұл анық мәтінмен бойынша http/2. Көпшілігі қолда бар серверлер айтуға ғана хаттама http/2 пайдалана отырып, TLS.

Арасындағы айырмашылық, бұл Ерекшелік мүмкіндік береді және қандай браузерлер береді кілті осында, браузерлері, және басқа да барлық агенттеріне пайдаланушының барлық рұқсат күтілгеннен әрбір таңдау өз таңдаған жолында алға.

Егер сіз реализуете және развертываем арналған сервер http/2, Сіз едәуір дәрежеде болуы тиіс, бұл үшін https алу үшін пайдаланушылар. Сіздің ясный іске асыру мәтін емес, сыналған…

Жарамды ескерту болады деп браузерлер тек http/2 пайдаланушы агенттері мен осындай бірнеше без шолғышты іске асыру, іске хаттамасы бойынша TLS нұсқасы хаттаманың, бірақ мен әлі сенемін браузерлер’ әсер бұл айтарлықтай.

Строже TLS хаттамасы

Қашан көреді сөйлеу http/2 пайдалана отырып, TLS, арнайы мандат хаттама TLS строже талаптар қарағанда , клиенттердің көпшілігі бұрын-соңды зорлық-зомбылық үшін әдеттегі http 1.1 TLS арқылы.

Ол былай дейді TLS хаттамасы 1.2 немесе одан кейінгі нұсқасы болып табылады. Ол тыйым салады сығу және қайта келісу. Ол несиелер жеткілікті егжей-тегжейлі “ең нашар рұқсат етілген мөлшерінің” кілттің және шифр. Хаттама http/2 болады, жай ғана қауіпсіз пайдалану TLS хаттамасы.

Тағы бір мәселе, бұл жерде мынада: протокол http/2 арқылы TLS пайдалануды талап етеді ALPN ол болып табылады салыстырмалы жаңа кеңейту TLS, RFC бойынша 7301, ол бізге келісуге жаңа нұсқа http жоғалтпай уақытымызды немесе желілік пакеттерді екі жаққа.

Хаттама TLS-тек көтермелейді көп https

Өйткені браузерлер айтуға ғана хаттама http/2 арқылы TLS (әзірше), сайттар келетін хаттама http/2 қосулы болуы керек бұл арқылы https алу үшін пайдаланушылар. Ол жұмсақ қысым сайттар үшін ұсынуға тиісті https протоколы. Ол итеріп, барлық адамдардың толассыз хаттама TLS шифрланған қосылыс.

Бұл (https) – бұл мүлдем болып саналады жақсы нәрсе, маған кім қамқорлық пайдаланушылары туралы және құқық пайдаланушылардың құпиялылық құқығы құтылу үшін жаппай бақылау.

Неге міндетті хаттамасы бойынша TLS?

Сол себепті тап ерекшелікте ретінде міндетті, себебі жай ғана-напросто ешқашан болған жоқ консенсус, бұл-жақсы идея үшін хаттама. Жеткілікті үлкен бөлігі жұмыс тобының өкілдері қарсы идеялар міндетті пайдалану TLS үшін http/2. Хаттама TLS міндетті емес болады, онда нүктесі болды міндетті TLS және біз үлгермей тап басқа стенд-нүкте.

Ал упоминаю бұл туралы пікірталас адамдармен дереу келесі сұрақ бар…

Жоқ, бірақ, неге міндетті емес хаттама бойынша TLS?

Себептері неге қарсы болады хаттаманы TLS үшін http/2 көп. Маған мекен-жайы сол, мен естіген ең жиі, ол менің ойымша, көрсетеді маңыздылығын дәлелдер желтоқсандағы кім бермегенін.

1. Тілек тексеруге http трафик

ЗазеркальеБар қағанның “қажеттілігі” тексеруге немесе ұстап қалудан http-трафикті әр түрлі себептер бойынша. Түрмелерде, мектептерде, анти-вирус, Пис-қорғау талаптарын, ішкі заңнамасының қандай ескерілмеген болатын. Абсолюттік талаптар кэш заттар прокси да жиі жиынтығында осы кодекспен, сіз ешқашан аласыз салу лайықты желісі ұшақпен немесе спутниктік байланыспен және т. б. жоқ кэштеу жасалуы тиіс бастап перехватывает.

Әрине, MITMing прокси, ол аяқтау SSL трафик тіпті сирек бұл күндері http/2 алмаймын көп туралы айтуға пайдалануды шектеу мұндай механизмдері.

2. Балалар туралы ойлап көрші

кішкентай-үлкен-итШағын құрылғылар алмайды өңдеуге қосымша хаттама TLS ауыртпалығы“. Не қосымша жүктемені процессор, ол бірге жеткізіледі TLS немесе серт Менеджмент миллиард принтеров/тоңазытқыш/маршрутизаторлар және т. б. Сертификаттар жарамсыз болып табылады және тұрақты түрде жаңартылып тұруы тиіс далалық жағдайда.

Әрине, онда болады аз қолайлы өнімділігін жүйесін талап етіледі хаттама TLS лайықты және әрқашан табылады жүйесі, олар төменде осы шектен.

3. Сертификаттар тым қымбат болып табылады

Баға сертификаттар серверлер үшін жиі тарихи тәрбиеленуде ретінде сапасын қайта қарастыруды сұрайды қарсы пайдалану TLS тіпті шын мәнінде, бұл хаттама http/2 байланысты, және менің ойымша, ол бір кездері аргумент, әсіресе күшті қарсы хаттаманы TLS ” http/2. Бірнеше Кас қазір ұсынады нөлдік құны немесе өте жақын нөлге құны сертификаттары бұл күндері келе жатқан күш –letsencrypt.com, мүмкіндігі бар, ол айналады жақсы, сондықтан алыс болашақта.

кучи ақшаЖақында біреу, тіпті, қағанның хаттамаға https еркіндігін шектейді пайдаланушылар, өйткені қажет беруі үшін жеке ақпаратты алыс (деді) алу үшін сертификат сіздің сервер. Бұл баға емес, ол дайын болды төлеуге шамасы. Алайда, бұл жай ғана дұрыс емес үшін қарапайым түрдегі сертификаттар. Тексеру үшін домен (ДВ) сертификаттар сіз, әдетте, тек дәлелдеуге тура келеді, сіз басқармасы “” домен сұрақ кейбір түрі. Әдетте, қабілетті бола алатын пошта үшін нақты қабылдағыштың шегінде домен.

4. ЦС жүйесі сломана

Хаттама TLS бүгін талап етеді жүйесін, PKI, бар сенімдісертификаттау орталықтары , қол қояды сертификаттар және бұл әкеледі жағдай қазіргі заманғы барлық браузерлер сенім бірнеше жүздеген Кас дұрыс. Меніңше, көп адамдар қуаныштымыз және ойымызша, бұл толық шешу. Бір бөлігі бар, Интернеттің, ол жақтайды даниялық (технологиясы dnssec) шешу үшін бөлігінің проблемалар, ал қалған жұмыс істейді, бірте-бірте жапсырманың,ашықтығы сертификаты және хаттамасы ocsp үшін оны сосать аз.

өтінемін, маған сеніңіз

Менің жеке сенім ерекшелігі отвергая TLS, соның негізінде ол жеткілікті жақсы немесе идеалды емес-әлсіз аргумент. Хаттама TLS және https болып табылады ең жақсы тәсілі қазіргі уақытта біз қорғалған веб-сайттар. Едім қайтарам, оны көруге жақсарту мүлдем басқаша, бірақ сенбеймін басқармасы хаттамаларының анық мәтін, біз жобаладық және жаңбырдан кейінгі ұрпақ, қорғалған арналар хаттамаға, бұл жақсы идея, және менің ойымша, бұл ұзақ уақытты қажет етеді (егер жалпы), әлі көреміз хаттама TLS ауыстыру.

Кім қарсы болды міндетті пайдалану TLS?

Иә, көптеген адамдар мені сұрайды, бірақ мен воздержусь от атау беру нақты адамдардың немесе компаниялардың мұнда, өйткені жоқ жоспарларын түсуін пікірталас туралы, оларға егжей-тегжейлі және ұстанды осы жолда мен портреті олардың дәлелдері. Сіз оларды өз бетінше, егер сіз жай ғана сіз және сіз белгілі жасауға негізделген болжамдар, тіпті осылай.

Бұл туралы оппортунистік.

Мәтін туралы TLS ” http/2 болуы мүмкін емес толық ескертусіз. Көп жұмыс істеу қиын, бұл күндері не болып жатқан айналасындағы енгізу және көз оппортунистік қауіпсіздік үшін пайдаланылатын хаттама. Ол сондай-ақ болды … http/2 жоба біраз уақыт, бірақ перемещен, базалық ерекшелікте аты оңайлату және бұл жасалуы мүмкін, кез келген жағдайда, емес, бір бөлігі бола отырып, спецификации. Сонымен қатар, алыс емес, барлық сенеді оппортунистік қауіпсіздік жақсы идея болып табылады. Қарсыластары жиі бекітеді, ол кедергі қабылдау “Реал” https сайттар үшін. Мен бұған сенбеймін, бірақ мен сыйлаймын, пікір бұл болжам да пайдаланушылар болады ретінде жақсы меніңше, олар осылайша өздерін!

Оппортунистік қауіпсіздік үшін http уақытта көздедік тыс бойынша http/2 Spec клиенттерге жаңғырту қарапайым TCP-қосылу үшін орнына бәрін “түпнұсқалығын тексеру хаттамасы бойынша TLS” қосылыстар. Иә, ол әрдайым болуы тиіс сызылған: оппортунистическими қауіпсіздік, онда болуы мүмкін емес “замочек” символы немесе ештеңе болжауға еді, біріктіру болып табылады “қауіпсіз”.

Firefox қолдайды оппортунистік қауіпсіздігі үшін, http және оләдепкі бойынша қосылады, Firefox 37.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>