t3n News Infrastruktur

HTTP/2: Wie AT&T und Ericsson die Verschlüsselung der nächsten HTTP-Version aushebeln wollen

HTTP/2: Wie AT&T und Ericsson die Verschlüsselung der nächsten HTTP-Version aushebeln wollen

AT&T und Ericsson haben einen Internet-Draft zur nächsten HTTP-Version HTTP/2 vorgelegt, der es Internet-Service-Providern ermöglichen könnte, verschlüsselte Daten auszulesen. Kommt dieser Vorschlag durch, würde das de facto die TLS-Verschlüsslung außer Kraft setzen.

HTTP/2: Wie AT&T und Ericsson die Verschlüsselung der nächsten HTTP-Version aushebeln wollen

HTTP/2: AT&T und Ericsson wollen unsere Daten. (Foto: vestman / flickr.com, Lizenz: CC-BY)

HTTP/2: AT&T und Ericsson reichen Draft ein

http/2
AT&T und Ericsson haben einen Draft zu HTTP/2 vorgelegt. (Bild: © PashaIgnatov – iStockphoto.com)

Am 14. Februar ist von AT&T und Ericsson ein neuer „Internet-Draft“ zur Spezifikation von HTTP/2 bei der Internet Engineering Task Force (IETF) eingereicht worden. Die IETF befasst sich mit der Standardisierung von Technologien und Usability rund um das Internet. HTTP/2 wird voraussichtlich auf dem SPDY-Protokoll von Google basieren, das neben dem Multiplexing von Daten auch eine standardisierte SSL/TLS-Verschlüsselung des gesamten Datenverkehrs ermöglicht.

Der von AT&T und Ericsson vorgelegte HTTP/2-Entwurf sieht eine Einführung von „Explicit and Trusted Proxy in HTTP/2“ vor, um zum Beispiel besseres Caching bei Internetanbietern zu ermöglichen – wobei die Verschlüsselung der Daten von ISPs aufgebrochen werden soll.

HTTP/2-Entwurf fordert mehr Vertrauen von Nutzern

Mit seinem „Explicit-and-Trusted-Proxy“-Konzept sieht der Draft vor, dass der HTTP/2-Datenverkehr mit vorgesehener End-to-End-Verschlüsselung durch TLS über einen sehr vertrauenswürdigen Proxy (zum Beispiel einen Internetanbieter) entschlüsselt und gelesen werden darf. Besonders bedenklich: Der Entwurf besagt, Nutzer müssten sich selbst darüber im Klaren sein, dass ihre Daten gelesen werden dürfen – auch wenn sie eine vermeintliche Verschlüsselung, gewährleistet durch HTTP/2, einsetzen.

Anders ausgedrückt soll jeder Internet-Service-Provider (ISP) in der Lage sein können, den verschlüsselten Datenverkehr von Kunden zu entschlüsseln, um den Inhalt mitlesen zu können. Daten, die von Nutzern selbst zusätzlich verschlüsselt werden, sind natürlich nicht betroffen. Bemerkenswert ist unter anderem, dass mit AT&T ein Konzern das Vertrauen von Nutzern einfordert, der schon 2006 Daten an die NSA weitergeleitet hatte. Darüber hinaus ist der Draft in einigen Passagen ungenau formuliert, zudem bleiben die Verfasser die „Privacy Consideration“ schuldig – obwohl sie laut Inhaltsverzeichnis existieren müsste. In dieser „Privacy Consideration“ soll bei der Beschreibung von Protokollen auf Sicherheitsrisiken und mögliche Lösungsvorschläge eingegangen werden.

TLS-Verschlüsselung mit HTTP/2: Aushebelung noch vor dem Start?

Dabei ist zu betonen, dass es sich derzeit nur um einen Entwurf handelt, der noch keinen RFC-Status erreicht hat. Prinzipiell kann jeder solche Entwürfe einreichen, um aber von einer Idee zu einem Standard zu gelangen, müssen einige Hürden gemeistert und Entwürfe mehrmals überarbeitet werden. Allerdings wird der Weg, den AT&T gemeinsam mit Ericsson einschlagen will, mehr als deutlich. Dank SPDY wird eine dauerhafte TLS-Verschlüsselung mit HTTP/2 ermöglicht, die Ericsson und AT&T auszuhebeln versuchen.

Der Meilenstein, an dem die letzten Änderungsvorschläge zum HTTP/2-Entwurf eingehen können, ist für April 2014 festgelegt. Im November 2014 ist die Erreichung des „Proposed-Standard“-Status geplant – ein ziemlich präziser Vorschlag, wie die genauen Standard-Spezifikationen von HTTP/2 aussehen könnten. Sollte sich dieser Vorschlag in dieser Form durchsetzen, wäre die Verschlüsselung und damit ein Hauptfeature von HTTP/2 de facto außer Kraft gesetzt.

Newsletter

Bleibe immer up-to-date. Sichere dir deinen Wissensvorsprung!

Vorheriger Artikel Zurück zur Startseite Nächster Artikel
3 Antworten
  1. von Norman am 28.02.2014 (13:12 Uhr)

    Na dann wollen wir mal hoffen, dass die IETF den Vorschlag ablehnt. :)

    Antworten Teilen
  2. von Jarmila Liskova am 01.03.2014 (15:17 Uhr)

    Also mit den ganzen Verschlüsselungen ist es einfach ein Urwald man ist nur noch verschlusselt. Kaum hat mann ein Coode eingegeben so kommt die nächste!

    Antworten Teilen
  3. von Sebastian am 04.03.2014 (10:52 Uhr)

    Abgesehen davon, dass der Nutzen der HTTP2-Verschlüsselung damit in Frage steht, ist es besonders schade, dass es das Vorgehen der Schnüffelagenturen notwendig macht solche grundsätzlichen Misstrauensbezeugnisse in die Spezifikationen aufzunehmen.

    Antworten Teilen
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Mehr zum Thema
John Oliver erklärt die Apple-Verschlüsselungs-Debatte
John Oliver erklärt die Apple-Verschlüsselungs-Debatte

Der Fernseh-Moderator und Komiker John Oliver hat in seiner Show einen ausführlichen Beitrag über die iPhone-Verschlüsselungs-Debatte gesendet. Dabei erklärt er das schwierige Thema wie gewohnt … » weiterlesen

„Let‘s encrypt“: WordPress startet kostenlose SSL-Verschlüsselung für alle
„Let‘s encrypt“: WordPress startet kostenlose SSL-Verschlüsselung für alle

WordPress wird gemeinsam mit der Initiative „Let‘s encrypt“ eine kostenlose SSL-Verschlüsselung für alle auf der Plattform gehosteten Seiten anbieten. Website- und Blogbetreiber müssen dazu … » weiterlesen

WhatsApp führt automatische Ende-zu-Ende-Verschlüsselung für alle Inhalte ein [Update]
WhatsApp führt automatische Ende-zu-Ende-Verschlüsselung für alle Inhalte ein [Update]

WhatsApp plant seine Ende 2014 eingeführte Ende-zu-Ende-Verschlüsselung zu verbessern. Mit diesem Schritt will das Unternehmen der Kritik an der immer noch nicht zuverlässig integrierten … » weiterlesen

Alle Hefte Jetzt abonnieren – für nur 35 €

Kennst Du schon unser t3n Magazin?