- 会員限定
- 2013/12/26 掲載
HTML暗号化をめぐる大激論 プロトコル進化に順応したセキュリティ対策を考える
HTTP2.0はリソース消費の多いリクエストを高速に処理する
こうした背景からHTTP2.0は、動画配信や高度化するウェブサービス、そしてHTML5に対応する新しいプロトコルとして、技術の標準化を策定する組織のIETF(インターネット技術タスクフォース)によって標準化の作業が進められている。
これまでのデフォルト規格であったHTTP1.1では、コネクション数などがリクエストに対する応答速度に直接影響を与え、レスポンスまでに時間がかかる。多くのユーザーを抱えるISPや通信事業者にとっては、一人のユーザーのウェブアクセスが大量のポートやコネクションを消費することになり、ネットワークリソース管理の問題が生じていた。
対してHTTP2.0では、これらの新しいタイプのリクエストを効率よくこなせるように、リクエストの多重化、データのバイナリ化、ヘッダー圧縮、フロー制御など高速化の技術が採り入れられているのだ。
HTTP2.0の暗号化方式になり得る3つのプラン
HTTP2.0の標準化では、暗号化通信に関する仕様についても議論されている。HTTP2.0のベースとなっているSPDY(Googleが提唱し、ChromeやIE11でサポートされている高速化技術)は、事実上httpsによる通信(TLS)を必須としている。これは、犯罪者やハッカーによる盗聴、あるいは国家機関による監視が問題となっている昨今、より安全な通信を守るためという要求があるためだ。
これに関して、IETFでHTTP2.0の策定を行っているWG(ワーキンググループ)の議長Mark Nottingham氏は当初「HTTP2.0ではTLS(Transport Layer Security = httpsなど)を強制すべきではない」という立場を表明。多くの人は、暗号化がhttpsに固定されることはないと思って標準化作業を進めていた。
しかし同氏は11月13日、「Moving forward on improving HTTP's security」というタイトルのメールをHTTP2.0を議論するWGのメーリングリストに投げたことから、TLS義務化の議論が沸き起こった。同氏は(1)サーバー証明書を伴わない暗号化、(2)サーバー証明書を利用する暗号化、(3)オープンなインターネット上のHTTP2.0ではhttpsのみを利用するという3つの案を提示し、セキュリティ上および管理上の問題から(3)が望ましいのではないかという議論を提示したのだ。
もちろん、Nottingham氏の投稿は議論を促すためのもので、議論は現在進行形であり結論は出ていない。
関連コンテンツ
関連コンテンツ
PR
PR
PR