Recommended Posts

I maj 2015 blev HTTP/2 (RFC 7540) klart, och nu arbetas det på HTTP/3.

Tekniskt sett har arbetet pågått i flera år redan, men först den 18 december i år publicerades det första utkastet kallat Hypertext Transfer Protocol Version 3 (HTTP/3).

Detta utkast, som har nummer 17, föregicks av utkast kallade Hypertext Transfer Protocol (HTTP) over QUIC. Och där har vi en beskrivning av HTTP/3. Det är HTTP över QUIC, något som redan används av Google och Cloudflare, och stöds av Chromium. HTTP/3 säkras med TLS 1.3, eller med nyare TLS-versioner i framtiden. Redan dagens implementeringar av QUIC använder TLS 1.3.

QUIC, Quick UDP Internet Connections, är ett protokoll som först utvecklades av Google. De skrev första gången om det i juni 2013. UDP är User Datagram Protocol, som används i stället för TCP, Transmission Control Protocol, som annars används med HTTP.

Utkast till specifikationer:

Daniel Stenberg: HTTP/3

Wikipedia: HTTP/3

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Gäst
Svara i detta ämne...

×   Du har klistrat in innehåll med formatering.   Ta bort formatering

  Only 75 emoji are allowed.

×   Din länk har automatiskt bäddats in.   Visa som länk istället

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Laddar...

  • Liknande innehåll

    • Av JoWa
      Förra veckan presenterade Wikimedia Foundation sina planer för förbättrad säkerhet vid anslutning till något av Wikimedia-projekten (Wikipedia, Wiktionary m.fl.):
      The future of HTTPS on Wikimedia projects
      Wikimedia-projekten har varit tillgängliga via HTTPS sedan 2011: Native HTTPS support enabled for all Wikimedia Foundation wikis
      Nu höjer de säkerhetsnivån genom att steg för steg se till att HTTPS används som standard. Att det görs stegvis beror på att deras nuvarande arkitektur inte kan hantera HTTPS som standard för alla. De börjar därför med inloggningen och inloggade användare.
      Tills HTTPS är aktiverat som standard på alla Wikimedia-sidor, rekommenderar Wikimedia att man använder HTTPS Everywhere (Chrome, Firefox; fungerar även med Opera 15+).
      En förbättring som inte nämns i bloggen är det förbättrade stödet för kryptografiska protokoll. Nu stöds den senaste och säkraste protokollversionen, TLS 1.2, mot tidigare TLS 1.0 som bästa protokoll ([Wikitech-l] no TLS 1.1 and 1.2 support).
      Dagen innan Wikimedia publicerade sina planer, presenterade Facebook sina ambitiösa planer för bättre säkerhet: Secure browsing by default 
      Detta efter att ha erbjudit HTTPS som alternativ sedan början av 2011: A Continued Commitment to Security
      Vidare kan nämnas att Myspace nu använder HTTPS som standard: https://myspace.com/
      Att Yahoo! Mail i början av 2013 gjorde HTTPS användbart för hela sessionen (inte bara inloggning och kontohantering) har tidigare rapporterats: Yahoo! Mail och SSL/TLS
      En del av Googles sedan länge pågående arbete med att förbättra säkerheten har också rapporterats: Krypterad Google-sökning
      Sammanfattningsvis kan sägas att 2013 ser ut att bli ett bra år för kryptering på Internet. Men samtidigt dyker Breach upp.
    • Av JoWa
      Secure Sockets Layer (SSL) utvecklades av Netscape, och lanserades (version 2.0) i februari 1995. SSL uppdaterades till version 3.0 1996. SSL är ett kryptografiskt protokoll som används för att skapa säkra (krypterade) förbindelser över Internet.
      Utvecklingen gick vidare, och SSL fick en efterträdare i Transport Layer Security (TLS). Version 1.0 av TLS lanserades i januari 1999, följd av TLS 1.1 (april 2006) och TLS 1.2 (april 2008).
      Alla dessa versioner kan ännu användas, men SSL 2.0 är en mycket osäker version, och väldigt får servrar stöder SSL 2.0. I ingen av dagens webbläsare är SSL 2.0 aktiverat, och endast Internet Explorer (t.o.m. version 10) har möjlighet att aktivera den osäkra protokollversionen.
      TLS 1.0 är den mest använda protokollversionen. Alla (?) servrar stöder den, och alla webbläsare har sedan länge stöd för TLS 1.0 aktiverat som standard.
      Internet Explorer i Windows 7 och 8 stöder även TLS 1.1 och 1.2, men dessa versioner är inte aktiverade som standard. För att aktivera, öppna Internetalternativ, fliken Avancerat, rubriken Säkerhet. Markera ”Använd TLS 1.1” och ”Använd TLS 1.2”. Markera inte ”Använd SSL 2.0”.

      Opera stöder även TLS 1. 1 och 1.2, men det är inte heller där aktiverat som standard. För att aktivera, gå till Inställningar, Avancerat, Säkerhet, Säkerhetsprotokoll.

      Eller skriv opera:config i adressfältet, tryck Retur. Skriv ”tls” i sökrutan och markera ”Enable TLS v1.1” och ”Enable TLS v1.2”.

      Firefox och Chrome använder Network Security Services (NSS), som stöder upp till TLS 1.1. I Chrome är TLS 1.1 aktiverat som standard, medan Firefox ännu (v. 18) endast stöder SSL 3.0 och TLS 1.0.
      I Opera och Chrome kan man lätt se vilket krypteringsprotokoll som används, se bifogade bilder.

      Läsning:
      Wikipedia: Transport Layer Security
      Wikipedia: Network Security Services
      Adam Langley (Google): New TLS versions
    • Av JoWa
      Att en kommande version av Internet Explorer skall stödja HTTP Strict Transport Security (HSTS) har varit känt en tid, bl.a. genom https://status.modern.ie/httpstricttransportsecurityhsts?term=hsts
       
      Nyligen publicerades ett inlägg på IEBlog som bekräftar stöd för HSTS i IE och senare Project Spartan i Windows 10: 
      HTTP Strict Transport Security comes to Internet Explorer Inte fem år för tidigt, men bättre sent än aldrig.
       
      IEBlog bekräftar även att Googles förladdningslista, med för närvarande drygt 1 500 förladdade domäner med läget force-https, används. Denna ”förladdning” (preload) av domäner är mycket värdefull, HSTS lämnar den allra första anslutningen till en HSTS-domän sårbar.¹ Det är nämligen först efter att en säker anslutning till en HSTS-domän har gjorts som webbläsaren vet att den endast skall ansluta säkert till den domänen i fortsättningen, under den tid som är angiven i HSTS-headern, och vanligen 180 dagar eller längre. Twitter har tagit i ordentligt, med hela 7 304 dagar (20 år).²
       
      ¹ https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security#Limitations
      ² https://spdycheck.org/#twitter.com
    • Av JoWa
      Önskemål: säker anslutning till alltomwindows.se
       
      Nu för tiden anses all information vara ”känslig”, och målet är att varje anslutning så snart som möjligt skall vara säker. Därmed finns det anledning att erbjuda säker anslutning för alla som besöker alltomwindows.se. Dock är viss information mer känslig än annan, och dit hör förstås inloggningsuppgifter och privata meddelanden, samt information i forumets interna avdelningar.
       
      I Firefox 46, som nu är beta, märks osäkra anslutningar som osäkra (överstruket hänglås) om sidan innehåller ett inloggningsformulär: Login Forms over HTTPS, Please
       
      Att märka osäkra anslutningar som osäkra (oavsett sidans innehåll) är under utvärdering för Chrome: Marking HTTP As Non-Secure
       
      Vad jag kan se, är det Amazon som hyser AoW, och där kan man få ett certifikat gratis. Certifikatet förnyas också automatiskt.
    • Av JoWa
      EFF har publicerat två artiklar om Superfish, det annonsprogram som Lenovo har installerat på sina datorer.
      Lenovo Is Breaking HTTPS Security on its Recent Laptops How to Remove Superfish Adware From Your Lenovo Computer En testsida gjord av Filippo Valsorda, som visar om Superfish är aktivt: https://filippo.io/Badfish/
       
      Lenovos ynkliga kommentar (som helt förtiger själva problemet): LENOVO STATEMENT ON SUPERFISH