読者です 読者をやめる 読者になる 読者になる

HTTP URIの日和見暗号について

Pervasive Monitoring

去年のスノーデン事件を機にインターネット監視への危惧は高まりました。


「Pervasive Monitoring Is an Attack」(RFC7258)にて"大規模モニタリング"は攻撃であるとしたことは若者の間でも有名な話かと思います。

Opportunistic Encryption

HTTPbisワーキンググループにおいても暗号化については多くの議論が行われました。
そして先日、「Opportunistic Encryption for HTTP URIs」というI-Dが公開されました。
(このI-DはHTTP/2のスペックから参照されていないので、HTTP/2の仕様策定をブロックすることはありません)


このI-Dは、主目的を"大規模モニタリング"の影響を低減させることとしており、http uri日和見暗号(サーバ認証を行わない暗号通信)の仕組みを提供します(httpsサーバ証明書が必要であり、それが容易でない場合もあるため)。


具体的には、現在HTTPbisワーキンググループにおいて別途議論されている「HTTP Alternative Services」を使用し、uriスキームと暗号化の使用を分離し、http uri日和見暗号の利用可能にしています。


「HTTP Alternative Services」は"Alternative Services"という代替サービスの概念を導入しており、オリジンのリソースを別のポート、別のプロトコルで提供可能にする仕組みです。サーバはAlt-Svcヘッダでクライアントに通知することが出来ます。(この仕組を用いることでhttp/2に対応してることがクライアントに通知したり出来ます。)


このAlt-Svcヘッダで、TLSに対応していることをサーバはクライアントに通知することが出来ます。Alt-Svcヘッダには有効期限を設定でき、その期間内であれば、その代替サービスへ直接アクセスしても良いことになっていますので、Alt-Svcヘッダを都度確認する必要はありません。