SearchEngines.bg

Това е примерно съобщение за гост. Регистрирайте безплатен акаунт днес, за да станете потребител на SearchEngines.bg! След като влезете, ще можете да участвате в този сайт, като добавите свои собствени теми и публикации, както и да се свържете с други членове чрез вашата лична входяща кутия! Благодарим ви!

HTTP 2.0 ще изисква SSL сертификат ?

cloxy

Super Moderator
Екип
Този месец се пуска за стандартизация HTTP 2.0, нова версия на HTTP протокола, който не е обновяван от 1999г.

Чета чертежите на спецификацията и съм дълбоко потресен. Новият протокол е базиран на SPDY проекта на Google, но по-страшното е, че най-вероятно няма да може да работи без наличието на SSL сертификат. Тоест, ако искаш да използваш HTTP 2.0 и благинките му, трябва да си закупиш и SSL сертификат и сайтът ти да е на https:// адрес.

В сигурността няма нищо лошо, но моите скромни познания показват, че сигурността на SSL сертификатите в текущата им форма е просто една голяма илюзия. Те са уязвими на атаки от вида "man in the middle", защото се разчита на трета страна, която удостоверява сертификата. А централизацията винаги води до подкупи и изтичане на информация, всяко нещо си има цена.

Идва и ерата на квантовите компютри, при които разбиването на един хеш, на който се базират тези сертификати е работа за под 1 наносекунда.

Не съм експерт в специалността, но нещо от вътре ми говори, че има огромна опасност Интернет да завие в грешната посока. Има толкова по-съвременни технологии за криптиране на връзки и размяна на ключове, че да базираме всичко на стара и сбъркана из основи технология за сигурност.

Ще перифразирам: "Имам чувството, че някой се опитва да ме убеди, че телефонът ми е криптиран и не се подслушва с цел да се отпусна и да говоря каквото си искам."

Като изключим сигурността, останалите неща в проекта за HTTP 2.0, като компресия, постоянни връзки... и изобщо всичко идващо от SPDY изглеждат обнадеждаващи. Но откъм сигурност нещата ще се издънят според мен. Дано в последния момент се реши да се премине на някоя по-надеждна технология за сигурност, при която няма да има трета страна и която няма да се разбива лесно от квантовите компютри.

Може да звуча странно, но говорим за протокол, който ще се използва в следващите 10+ години и през това време много неща ще се променят и квантовите модули ще са част от всяка една система.

Какво е вашето мнение? Има доста хора в Интернет, които критикуват протокола и мислят като мен. Има и такива, спрямо които няма съвършена сигурност и по-добре някаква сигурност, отколкото никаква. Аз лично предпочитам да внимавам какво правя в Интернет, отколкото да вярвам на технологии, които утре ще бъдат разбити.
 
Последно редактирано:
Не знам ама тия квантовите ми ги говорят от десетилея и никакви ги няма. Много често като питат учените казват до Х години ще е масов даден продукт, остава само да измислим еди си кой проблем. И после гледаш след 3 пъти повече време никакви ги няма.
 
Писах ти във Г+ относно това.

Напълно сериозно го дискутират и са наистина сериозни. Въпроса е че HTTP 1.0 е някакъв мега-измислен и после се появява 1.1 който "фиксира" няколко различни проблема. От над 20 години 1.1 се използва масово и вече си му личат годинките. SPDY изглежда "готин", но не ми харесва че е създаден от една компания. Преди във IETF някак си различните компании се нагаждат една към друга и пускаха неща които работеха по-универсално. Сега 2.0 е почти copy-paste на SPDY което никак не ми харесва.
 
http://beta.slashdot.org/story/194289

Това е много интересна дискусия по темата.

Ще ми е интересно да чуя мнението на тукашните специалисти по сигурност. Няма ли всичко да стане по-лесно чрез технологии като DNSSEC, DANE ... ?
 
Цялат тази ssl параноя ми идва в повече , а и наскоро видях едно странно творение на register.bg по отношение на DNSSEC и тогава тотално ми се бъгна представата.
 
Аз също не съм експерт по темата, но доколкото знам, когато Google започнаха SPDY, го създадоха като надстройка над дотогавашните дискусии на IETF за HTTP 2.0. Затова на по-късен етап IETF се възползва от работата на Google и взаимства много от SPDY.

Microsoft също разработваха собствена по-бърза версия на HTTP, която пуснаха в production и по-късно напълно премахнаха и приеха SPDY на негово място. Taka, че не е само от една компания.

Относно сертификатите, има такива за $0, $20 и $200 на година. Има разлика в някои от характеристиките на сертификата, доверието в издателя от общността и др.

https е хубаво нещо. Дори да има отрицателни страни и да се опасяваш за сигурността на сертификата, винаги е по-добре от http.
 
https е хубаво нещо. Дори да има отрицателни страни и да се опасяваш за сигурността на сертификата, винаги е по-добре от http.
Аз не разбирам много от тези работи, ама https не беше ли супер бавно? Гадно ще е да вървим към по-бавен интернет ако е така.
 

Горе