Vlákno názorů k článku
HTTP vs HTTPS Test nasadil HTTP/2
od Milan Keršláger - Rychlejší bylo u mne HTTPS až při všech...
-
Rychlejší bylo u mne HTTPS až při všech opakovaných testech (nikoliv u prvního), což je podle všeho toho textu divné (Chrome 45, linka O2, IPv6). Takže ten pudl tam bude někde zakopanej. Nepodporovat HTTP/2 bez TLS je uhozené na hlavu pouze do chvíle, kdy si uvědomíme, že prohlížeče žijí z poplatků za certifikáty. A tím pádem je to do nebe volající hamba a komplot!
-
Ondřej CaletkaZlatý podporovatelNepodporovat HTTP/2 bez TLS je uhozené na hlavu pouze do chvíle, kdy si uvědomíme, že prohlížeče žijí z poplatků za certifikáty. [zdroj?]
Nepodpora nešifrovaného HTTP/2 v prohlížečích má mnohem pragmatičtější důvod, shodou okolností shodný s důvodem, proč prohlížeče nepodporují DANE, potažmo DNSSEC. Tím důvodem je zfušovaný Internet.
Přinejnemším jednotky procent [zdroj?] internetových prohlížečů jsou umístěny v síti, která není transparentní k provozu na portech tcp/80 resp. udp/53. Je velmi pravděpodobné, že spousta transparentních proxy serverů by protokolu HTTP/2 nerozuměla a předáváné zprávy modifikovala takovým způsobem, že by to mohlo vést až ke kompletní nefunkčnosti HTTP/2 webů. Což je něco, co si žádný výrobce prohlížeče nedovolí riskovat.
-
Filip JirsákStříbrný podporovatelV případě toho DANE/DNSSEC je to ovšem jenom výmluva. Protože prohlížeč může v takové síti DANE ignorovat (třeba po odsouhlasení uživatelem) a fungovat pořád dál. Pokud by ale nějaký server podporoval jenom HTTP/2 (bez HTTPS), tak se na něj prohlížeč s té sítě nedostane, i kdyby se snažil sebevíc.
-
Ondřej CaletkaZlatý podporovatel
To ovšem platí jen pro TLSA usage 0 a 1, kdy jde pouze o pinning certifikátu, který ale musí projít i PKIX validací. Pro tyhle TLSA záznamy se dokonce zvažovalo, že DNSSEC bude nepovinný.
Pro usage 2 a 3, tedy vložení pevného bodu důvěry, je funkční DNSSEC na koncové stanici nezbytnou podmínkou, aby vložený bod důvěry byl aspoň stejně důvěryhodný jako DV certifikáty od autorit.
-
Filip JirsákStříbrný podporovatel
Ano, ale i v tom případě je problém pouze nedůvěryhodný certifikát, který prohlížeč může a umí řešit. Pokud by ale nedokázal komunikovat s webovým serverem, prohlížeč to nijak nevyřeší.
