Voorstel IETF: versleutel al het internetverkeer
De ontwerpers achter de techniek van internet komen met een voorstel om al het verkeer op internet te beschermen tegen afluisteren.
© Pixabay - CCO
Pixabay - CCO
Het voorstel komt van de HTTPbis Working Group van de Internet Engineering Task Force (IETF), de commissie die een nieuwe versie van het Hypertext Transfer Protocol (HTTP 2.0) voorbereidt.
Het voorstel aangekondigd in een blog van commissie-voorzitter Mark Nottingham voor een standaard encryptie krijgt veel bijval. Er blijven echter wel zorgen over hoe de veranderingen het best kunnen worden ingevoerd. Grofweg zijn er drie varianten.
- Opportunistisch A: alle verkeer wordt versleuteld, ook zonder server-autenticatie.
- Opportunistisch B: alle verkeer wordt versleuteld naar servers die zijn voorzien van server-autenticatie.
- HTTP/2 wordt alleen toegepast op verkeer dat nu een https-verbinding opzet over het open internet.
In alle gevallen waar geen HTTP/2 wordt ingezet blijft het verkeer gewoon het vertrouwde HTTP/1 gebruiken.
Veilig is niet altijd veilig
Het voordeel van 1. is natuurlijk dat al het internetverkeer versleuteld is en daardoor veiliger. Ook hoeven website-exploitanten niet veel te doen om de verandering mogelijk te maken. De beveiliging wordt echter weer afgebroken doordat het onduidelijk wordt of het domein ook met een certificaat geverifieerd is (zoals nu in een https-verbinding). De stimulans om een certificaat aan te vragen verdwijnt daardoor en het internet boet weer in aan veiligheid. Phishing en spoofing krijgen dan weer meer kans.
Optie 2. biedt het voordeel dat het verkeer naar deze sites nu allemaal versleuteld en geauthenticeerd is. De optie jaagt website-eigenaren op kosten waardoor het breed gebruik van HTTP/2 waarschijnlijk lang op zich laat wachten.
Optie 3 zorgt ervoor dat het nieuwe protocol alleen wordt toegepast op het verkeer dat nu al over volledig beschermde en geauthenticeerde https-verbindingen (met TLS en SSL) verloopt. Dat verkeer krijgt er dan als enige de voordelen bij van het nieuwe hypertext-protocol, zoals header-compression en het asynchroon multiplexen van verbindingen. Dit zou een extra lokkertje kunnen zijn voor webexploitanten om hun servers in te richten voor een https-beveiligde verbinding.
https niet waterdicht
Het probleem van de laatste aanpak is dat het systeem van certificaatuitgifte niet waterdicht is doordat er veel minder gekwalificeerde certificaatuitgevers zijn. Ook kunnen certificaatuitgevers de vele verzoeken voor het opzetten van een SSL-beveiligde verbinding opslaan en herleiden op individuele IP-adressen wat een inbreuk betekend op de privacy van deze webgebruikers. De IETF heeft nog geen oplossing voor die twee problemen.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee