Wordt het internet veiliger dankzij HTTP/2 ?

De afgelopen jaren is er door onder andere de IETF (Internet Engineering Task Force; https://www.ietf.org) hard gewerkt aan een opvolger voor het bestaande HTTP 1.1 protocol.

HTTP, wat staat voor Hypertext Transfer Protocol, is een standaard welke voorschrijft hoe webpagina’s opgebouwd moeten worden. De browser die u gebruikt als bezoeker interpreteert deze HTTP-codes en geeft de pagina weer.

Door technieken zoals CSS, JavaScript, AJAX en allerhande andere nieuwe zaken op het internet was HTTP 1.1 (en haar voorganger HTTP 1.0) niet meer een efficiënte oplossing om het verkeer uit te wisselen tussen een webserver en een browser.

Tot zover de reden om een nieuw protocol uit te werken.

De vraag of het web veiliger wordt dankzij dit nieuwe protocol is op dit moment nog lastig te beantwoorden. Veiligheid op het web wordt onder andere gerealiseerd middels het SSL-protocol. Hiervoor is een zogeheten certificaat nodig. Als u meer wilt lezen over SSL dan kunt u dat doen inop de pagina “SSL-Certificaten” onder “Diensten” op onze website.

De officiële versie van het HTTP/2 protocol omschrijft SSL niet als een verplichting.
Echter, doordat de huidige browsers alleen HTTP/2 in combinatie met SSL ondersteunen wordt getracht een toename te forceren van beveiligd verkeer door de browserfabrikanten.

Wordt door de browser bij het verbinden naar een website op HTTP/2 geen SSL aangetroffen dan zal de browser vervolgens verbinden op basis van het oudere HTTP 1.1 protocol.
Het gevolg hiervan is dat wanneer een website geen SSL ondersteund; de bezoekers ook niet profiteren van de voordelen van het nieuwe HTTP/2 protocol.
Dit zou er toe kunnen leiden dat websites steeds vaker voorzien worden van een SSL-certificaat zodat HTTP/2 wél gebruikt kan worden door de bezoekers.

Onze mening of de veiligheid dankzij HTTP/2 zal toenemen is dus dat het maar langzaam en minimaal zal zijn.

Qua verbetering van de veiligheid op het internet verwachten wij meer van het Let’s Encrypt initiatief. Lees hiervoor onze blogpost over Let’s Encrypt.