Das könnte dich auch interessieren

Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Infrastruktur

HTTP/2: Wie AT&T und Ericsson die Verschlüsselung der nächsten HTTP-Version aushebeln wollen

    HTTP/2: Wie AT&T und Ericsson die Verschlüsselung der nächsten HTTP-Version aushebeln wollen

HTTP/2: AT&T und Ericsson wollen unsere Daten. #FLICKR#

AT&T und Ericsson haben einen Internet-Draft zur nächsten HTTP-Version HTTP/2 vorgelegt, der es Internet-Service-Providern ermöglichen könnte, verschlüsselte Daten auszulesen. Kommt dieser Vorschlag durch, würde das de facto die TLS-Verschlüsslung außer Kraft setzen.

HTTP/2: AT&T und Ericsson reichen Draft ein

http/2
AT&T und Ericsson haben einen Draft zu HTTP/2 vorgelegt. (Bild: © PashaIgnatov – iStockphoto.com)

Am 14. Februar ist von AT&T und Ericsson ein neuer „Internet-Draft“ zur Spezifikation von HTTP/2 bei der Internet Engineering Task Force (IETF) eingereicht worden. Die IETF befasst sich mit der Standardisierung von Technologien und Usability rund um das Internet. HTTP/2 wird voraussichtlich auf dem SPDY-Protokoll von Google basieren, das neben dem Multiplexing von Daten auch eine standardisierte SSL/TLS-Verschlüsselung des gesamten Datenverkehrs ermöglicht.

Der von AT&T und Ericsson vorgelegte HTTP/2-Entwurf sieht eine Einführung von „Explicit and Trusted Proxy in HTTP/2“ vor, um zum Beispiel besseres Caching bei Internetanbietern zu ermöglichen – wobei die Verschlüsselung der Daten von ISPs aufgebrochen werden soll.

HTTP/2-Entwurf fordert mehr Vertrauen von Nutzern

Mit seinem „Explicit-and-Trusted-Proxy“-Konzept sieht der Draft vor, dass der HTTP/2-Datenverkehr mit vorgesehener End-to-End-Verschlüsselung durch TLS über einen sehr vertrauenswürdigen Proxy (zum Beispiel einen Internetanbieter) entschlüsselt und gelesen werden darf. Besonders bedenklich: Der Entwurf besagt, Nutzer müssten sich selbst darüber im Klaren sein, dass ihre Daten gelesen werden dürfen – auch wenn sie eine vermeintliche Verschlüsselung, gewährleistet durch HTTP/2, einsetzen.

Anders ausgedrückt soll jeder Internet-Service-Provider (ISP) in der Lage sein können, den verschlüsselten Datenverkehr von Kunden zu entschlüsseln, um den Inhalt mitlesen zu können. Daten, die von Nutzern selbst zusätzlich verschlüsselt werden, sind natürlich nicht betroffen. Bemerkenswert ist unter anderem, dass mit AT&T ein Konzern das Vertrauen von Nutzern einfordert, der schon 2006 Daten an die NSA weitergeleitet hatte. Darüber hinaus ist der Draft in einigen Passagen ungenau formuliert, zudem bleiben die Verfasser die „Privacy Consideration“ schuldig – obwohl sie laut Inhaltsverzeichnis existieren müsste. In dieser „Privacy Consideration“ soll bei der Beschreibung von Protokollen auf Sicherheitsrisiken und mögliche Lösungsvorschläge eingegangen werden.

TLS-Verschlüsselung mit HTTP/2: Aushebelung noch vor dem Start?

Dabei ist zu betonen, dass es sich derzeit nur um einen Entwurf handelt, der noch keinen RFC-Status erreicht hat. Prinzipiell kann jeder solche Entwürfe einreichen, um aber von einer Idee zu einem Standard zu gelangen, müssen einige Hürden gemeistert und Entwürfe mehrmals überarbeitet werden. Allerdings wird der Weg, den AT&T gemeinsam mit Ericsson einschlagen will, mehr als deutlich. Dank SPDY wird eine dauerhafte TLS-Verschlüsselung mit HTTP/2 ermöglicht, die Ericsson und AT&T auszuhebeln versuchen.

Der Meilenstein, an dem die letzten Änderungsvorschläge zum HTTP/2-Entwurf eingehen können, ist für April 2014 festgelegt. Im November 2014 ist die Erreichung des „Proposed-Standard“-Status geplant – ein ziemlich präziser Vorschlag, wie die genauen Standard-Spezifikationen von HTTP/2 aussehen könnten. Sollte sich dieser Vorschlag in dieser Form durchsetzen, wäre die Verschlüsselung und damit ein Hauptfeature von HTTP/2 de facto außer Kraft gesetzt.

Finde einen Job, den du liebst

3 Reaktionen
Norman
Norman
28.02.2014, 13:12 Uhr

Na dann wollen wir mal hoffen, dass die IETF den Vorschlag ablehnt. :)

Antworten

Jarmila Liskova
Jarmila Liskova
01.03.2014, 15:17 Uhr

Also mit den ganzen Verschlüsselungen ist es einfach ein Urwald man ist nur noch verschlusselt. Kaum hat mann ein Coode eingegeben so kommt die nächste!

Antworten

Sebastian
Sebastian
04.03.2014, 10:52 Uhr

Abgesehen davon, dass der Nutzen der HTTP2-Verschlüsselung damit in Frage steht, ist es besonders schade, dass es das Vorgehen der Schnüffelagenturen notwendig macht solche grundsätzlichen Misstrauensbezeugnisse in die Spezifikationen aufzunehmen.

Antworten

Melde dich mit deinem t3n-Account an oder fülle die unteren Felder aus.

Abbrechen