Recommended Posts

CloudFlare Blog: HTTP/2 is here! Goodbye SPDY? Not quite yet

 

Här kan man jämföra HTTP/1.1 med HTTP/2: https://www.cloudflare.com/http2/

 

För mig var HTTP/2 69 % snabbare första gången, och 92 % snabbare andra gången.

 

Mer om HTTP/2: https://www.cloudflare.com/http2/what-is-http2/

 

HTTP/2-användningen är nu 2,5 %: https://w3techs.com/technologies/comparison/ce-http2,ce-spdy

Länk till inlägg
Dela på andra webbplatser
  • 5 months later...
  • Svar 53
  • Created
  • Senaste svar

I går aktiverade Wikimedia HTTP/2 för sina sidor. I februari 2015 aktiverades SPDY/3.1, så det innebär ingen större förändring för webbläsare som stöder båda protokollen (Chrome, Opera, Firefox, Safari 9). För Edge och IE i Windows 10 innebär det dock en uppgradering från HTTP/1.1 till HTTP/2. Stöd för SPDY/3.1 kommer att inaktiveras i Chrome 15 maj, och inaktiverades 1 maj i Chrome beta. Enligt denna artikel skall SPDY/3.1 vara inaktiverat i Opera 38, men det stöds ännu i aktuellt bygge av Opera Developer 38. Det kan man se på opera://net-internals/#http2 En av allt färre sidor som stöder SPDY/3.1 men inte HTTP/2 är https://vivaldi.com/

 

Statistik för anslutning till Wikimedias sidor: https://grafana.wikimedia.org/dashboard/db/client-connections

 

Omkring 70 % använder HTTP/2 eller SPDY/3.1. 90–92 % använder TLS 1.2. HTTP/2 kräver TLS 1.2 eller högre (TLS 1.3 är på gång).

Länk till inlägg
Dela på andra webbplatser
  • 2 weeks later...
RFC 7540 fyller ett år i dag! :D Eller i går, beroende på tidszon. :P
 
RFC 7540 on Hypertext Transfer Protocol Version 2 (HTTP/2) skickades 2015-05-14, kl. 23:07:33 UTC, d.v.s. 2015-05-15, kl. 01:07:33 svensk sommartid, som är UTC+2.
 
Google hade för avsikt att fira dagen med att inaktivera SPDY/3.1 i Chrome, men ändrade sig och kommer istället att inaktivera SPDY först i Chrome 51, som släpps senare i maj. I Chrome 51 beta inaktiverades SPDY den 1 maj. Det är också inaktiverat i Opera Developer 39, och kommer troligen att vara det i Opera Beta, då den uppdateras till 38 (Chromium 51). Jag har inte sett något om när stöd för SPDY skall tas bort från Firefox. Edge och IE i Windows 10 stöder HTTP/2, men ingen version av SPDY. IE i Windows 8.1 stöder SPDY/3, men inte HTTP/2.
 
serversidan fortsätter användningen av HTTP/2 att öka, medan användningen av SPDY ser ut att ha minskat marginellt hittills i maj.
post-7701-0-71219700-1463308467_thumb.pn
De tio mest besökta domänerna (enligt Alexa):
  • Google.com: HTTP/2
  • Youtube.com: HTTP/2
  • Facebook.com: HTTP/2
  • Baidu.com
  • Yahoo.com: HTTP/2
  • Wikipedia.org: HTTP/2
  • Amazon.com
  • Twitter.com: HTTP/2
  • Qq.com
  • Google.co.in: HTTP/2

Microsoft ligger efter. Den enda MS-sida jag har sett använda HTTP/2 är alltjämt denna demonstrationssida: https://h2duo.cloudapp.net, som använder Microsofts webbserver IIS 10.0.

Länk till inlägg
Dela på andra webbplatser
  • 1 month later...

Arkiverat

Detta ämne är nu arkiverat och det går inte längre svara i det.


  • Liknande innehåll

    • Av JoWa
      I maj 2015 blev HTTP/2 (RFC 7540) klart, och nu arbetas det på HTTP/3.
      Tekniskt sett har arbetet pågått i flera år redan, men först den 18 december i år publicerades det första utkastet kallat Hypertext Transfer Protocol Version 3 (HTTP/3).
      Detta utkast, som har nummer 17, föregicks av utkast kallade Hypertext Transfer Protocol (HTTP) over QUIC. Och där har vi en beskrivning av HTTP/3. Det är HTTP över QUIC, något som redan används av Google och Cloudflare, och stöds av Chromium. HTTP/3 säkras med TLS 1.3, eller med nyare TLS-versioner i framtiden. Redan dagens implementeringar av QUIC använder TLS 1.3.
      QUIC, Quick UDP Internet Connections, är ett protokoll som först utvecklades av Google. De skrev första gången om det i juni 2013. UDP är User Datagram Protocol, som används i stället för TCP, Transmission Control Protocol, som annars används med HTTP.
      Utkast till specifikationer:
      Hypertext Transfer Protocol Version 3 (HTTP/3) QUIC: A UDP-Based Multiplexed and Secure Transport Using TLS to Secure QUIC Daniel Stenberg: HTTP/3
      Wikipedia: HTTP/3
    • Av JoWa
      Förra veckan presenterade Wikimedia Foundation sina planer för förbättrad säkerhet vid anslutning till något av Wikimedia-projekten (Wikipedia, Wiktionary m.fl.):
      The future of HTTPS on Wikimedia projects
      Wikimedia-projekten har varit tillgängliga via HTTPS sedan 2011: Native HTTPS support enabled for all Wikimedia Foundation wikis
      Nu höjer de säkerhetsnivån genom att steg för steg se till att HTTPS används som standard. Att det görs stegvis beror på att deras nuvarande arkitektur inte kan hantera HTTPS som standard för alla. De börjar därför med inloggningen och inloggade användare.
      Tills HTTPS är aktiverat som standard på alla Wikimedia-sidor, rekommenderar Wikimedia att man använder HTTPS Everywhere (Chrome, Firefox; fungerar även med Opera 15+).
      En förbättring som inte nämns i bloggen är det förbättrade stödet för kryptografiska protokoll. Nu stöds den senaste och säkraste protokollversionen, TLS 1.2, mot tidigare TLS 1.0 som bästa protokoll ([Wikitech-l] no TLS 1.1 and 1.2 support).
      Dagen innan Wikimedia publicerade sina planer, presenterade Facebook sina ambitiösa planer för bättre säkerhet: Secure browsing by default 
      Detta efter att ha erbjudit HTTPS som alternativ sedan början av 2011: A Continued Commitment to Security
      Vidare kan nämnas att Myspace nu använder HTTPS som standard: https://myspace.com/
      Att Yahoo! Mail i början av 2013 gjorde HTTPS användbart för hela sessionen (inte bara inloggning och kontohantering) har tidigare rapporterats: Yahoo! Mail och SSL/TLS
      En del av Googles sedan länge pågående arbete med att förbättra säkerheten har också rapporterats: Krypterad Google-sökning
      Sammanfattningsvis kan sägas att 2013 ser ut att bli ett bra år för kryptering på Internet. Men samtidigt dyker Breach upp.
    • Av JoWa
      Secure Sockets Layer (SSL) utvecklades av Netscape, och lanserades (version 2.0) i februari 1995. SSL uppdaterades till version 3.0 1996. SSL är ett kryptografiskt protokoll som används för att skapa säkra (krypterade) förbindelser över Internet.
      Utvecklingen gick vidare, och SSL fick en efterträdare i Transport Layer Security (TLS). Version 1.0 av TLS lanserades i januari 1999, följd av TLS 1.1 (april 2006) och TLS 1.2 (april 2008).
      Alla dessa versioner kan ännu användas, men SSL 2.0 är en mycket osäker version, och väldigt får servrar stöder SSL 2.0. I ingen av dagens webbläsare är SSL 2.0 aktiverat, och endast Internet Explorer (t.o.m. version 10) har möjlighet att aktivera den osäkra protokollversionen.
      TLS 1.0 är den mest använda protokollversionen. Alla (?) servrar stöder den, och alla webbläsare har sedan länge stöd för TLS 1.0 aktiverat som standard.
      Internet Explorer i Windows 7 och 8 stöder även TLS 1.1 och 1.2, men dessa versioner är inte aktiverade som standard. För att aktivera, öppna Internetalternativ, fliken Avancerat, rubriken Säkerhet. Markera ”Använd TLS 1.1” och ”Använd TLS 1.2”. Markera inte ”Använd SSL 2.0”.

      Opera stöder även TLS 1. 1 och 1.2, men det är inte heller där aktiverat som standard. För att aktivera, gå till Inställningar, Avancerat, Säkerhet, Säkerhetsprotokoll.

      Eller skriv opera:config i adressfältet, tryck Retur. Skriv ”tls” i sökrutan och markera ”Enable TLS v1.1” och ”Enable TLS v1.2”.

      Firefox och Chrome använder Network Security Services (NSS), som stöder upp till TLS 1.1. I Chrome är TLS 1.1 aktiverat som standard, medan Firefox ännu (v. 18) endast stöder SSL 3.0 och TLS 1.0.
      I Opera och Chrome kan man lätt se vilket krypteringsprotokoll som används, se bifogade bilder.

      Läsning:
      Wikipedia: Transport Layer Security
      Wikipedia: Network Security Services
      Adam Langley (Google): New TLS versions
    • Av JoWa
      Att en kommande version av Internet Explorer skall stödja HTTP Strict Transport Security (HSTS) har varit känt en tid, bl.a. genom https://status.modern.ie/httpstricttransportsecurityhsts?term=hsts
       
      Nyligen publicerades ett inlägg på IEBlog som bekräftar stöd för HSTS i IE och senare Project Spartan i Windows 10: 
      HTTP Strict Transport Security comes to Internet Explorer Inte fem år för tidigt, men bättre sent än aldrig.
       
      IEBlog bekräftar även att Googles förladdningslista, med för närvarande drygt 1 500 förladdade domäner med läget force-https, används. Denna ”förladdning” (preload) av domäner är mycket värdefull, HSTS lämnar den allra första anslutningen till en HSTS-domän sårbar.¹ Det är nämligen först efter att en säker anslutning till en HSTS-domän har gjorts som webbläsaren vet att den endast skall ansluta säkert till den domänen i fortsättningen, under den tid som är angiven i HSTS-headern, och vanligen 180 dagar eller längre. Twitter har tagit i ordentligt, med hela 7 304 dagar (20 år).²
       
      ¹ https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security#Limitations
      ² https://spdycheck.org/#twitter.com
    • Av JoWa
      Önskemål: säker anslutning till alltomwindows.se
       
      Nu för tiden anses all information vara ”känslig”, och målet är att varje anslutning så snart som möjligt skall vara säker. Därmed finns det anledning att erbjuda säker anslutning för alla som besöker alltomwindows.se. Dock är viss information mer känslig än annan, och dit hör förstås inloggningsuppgifter och privata meddelanden, samt information i forumets interna avdelningar.
       
      I Firefox 46, som nu är beta, märks osäkra anslutningar som osäkra (överstruket hänglås) om sidan innehåller ett inloggningsformulär: Login Forms over HTTPS, Please
       
      Att märka osäkra anslutningar som osäkra (oavsett sidans innehåll) är under utvärdering för Chrome: Marking HTTP As Non-Secure
       
      Vad jag kan se, är det Amazon som hyser AoW, och där kan man få ett certifikat gratis. Certifikatet förnyas också automatiskt.
    • Av JoWa
      EFF har publicerat två artiklar om Superfish, det annonsprogram som Lenovo har installerat på sina datorer.
      Lenovo Is Breaking HTTPS Security on its Recent Laptops How to Remove Superfish Adware From Your Lenovo Computer En testsida gjord av Filippo Valsorda, som visar om Superfish är aktivt: https://filippo.io/Badfish/
       
      Lenovos ynkliga kommentar (som helt förtiger själva problemet): LENOVO STATEMENT ON SUPERFISH