The goal of the IETF is to make the Internet work better

現在策定が進められているHTTP 2.0に関して興味深い報告が「Moving forward on improving HTTP's security」において伝えられた。次世代の通信プロトコルとして策定が進められているHTTP 2.0では現在のHTTPよりも暗号通信の適用シーンを広げることでほぼコンセンサスが得られており、具体的にどのような方法で実現するかが検討されている。先ほどの文書では関連する提案をA案からC案まで3つ示し、C案が好ましいようだと説明している。

  • A案:http://に対してサーバ認証を行わないで暗号通信を実施する(Opportunistic Encryption for HTTP URIs draft-nottingham-http2-encryption-01として策定が進められている方法。通称「TLS Relaxed」)
  • B案:http://に対してサーバ認証付きで暗号通信を実施する(TLS Relaxedと同じメカニズムだがいくらかのプロテクションのダウングレードを伴う)
  • C案:インターネット上ではhttps://通信のみを使用する。http://を使う場合にはHTTP/1を使用する

セキュリティ上の問題からB案よりもC案の方が適切だとしているほか、C案の方がA案よりもセキュリティ上好ましい上、仕様上の変更点も少なくて済むことから好ましいとされている。現在議論の段階にあり今後変わる可能性がもあるが、ひとつの方向性として興味深い。