HTTP/1.x⇒HTTP/2 仕様変更で困ったこと (利用暗号の制約・httpヘッダーの小文字化) - Qiita
はじめに こちら、そろそろ知っておきたいHTTP/2の話という良くまとめられた記事を見ていて、色々と苦い記憶がよみがえってきたのですが、そういうHTTP/2仕様に困った系記事があまり見当たらなかったのでまとめました。 HTTP/2とは 機能 現在支流のHTTP 1/1よりもより効率よく、セキュアな通信をもらたす為に色々なアップグレードを施したHTTPの規格です。 特徴をざっというと、こんな感じ。 ストリーム、メッセージ、フレームという新しいデータの交換方式を利用することによる、実TCPセッション数削減 サーバー プッシュ機能により、複数のレスポンスが送信可能 HTTPヘッダーの仕組みを見直し、ヘッダー圧縮によるネットワーク負荷軽減 HTTPS(TLS)との関係 実はHTTP/2はHTTPSと深い関係があります。 実質的にHTTPS必須、しかもTLS1.2以上、cipher-suiteはTL
HTTP/2とTLSの間でapacheがハマった脆弱性(CVE-2016-4979) - ぼちぼち日記
0. 短いまとめ 昨晩apache2.4でHTTP/2利用時にTLSクライアント認証をバイパスする脆弱性(CVE-2016-4979)が公表され、対策版がリリースされました。 実際に試すと Firefoxで認証バイパスができることが確認できました。 HTTP/2でTLSのクライアント認証を利用するには仕様上大きな制限があり、SPDY時代から長年の課題となっています。 この課題を解決するため、Secondary Certificate Authentication in HTTP/2という拡張仕様が現在IETFで議論中です。 1. はじめに ちょうど昨晩、apache2.4のhttpdサーバの脆弱性(CVE-2016-4979)が公開され、セキュリティリリースが行われました。 CVE-2016-4979: X509 Client certificate based authenticatio
この時期HTTPSとHTTP/2への移行はセットだよなあ - 仮想と現実
HTTP/2というのはHTTPプロトコルバージョン2の事である。スペースダンディは宇宙のダンディであるというのと同じくらいわかりやすい解説である。 冗談はさておいて、今までのHTTPが、HTMLやら画像やらCSSやらスクリプトやら、Webページに含まれる要素を一個一個接続、取得、切断の繰り返しで取得してたのに対し、HTTP/2では接続したら一度に全部取得して高速化しちゃおうぜって感じのものなわけで、他にもいろいろ高機能化してる。なのでできればWebサイトはさっさとHTTP/2に移行したほうがいろいろといいことがあるよって話だ。 で、このHTTP/2、規格にはHTTP接続で使用する方法も書いてあるのだけど、なんか主なブラウザの実装が全部HTTPS上でしかHTTP/2が使用できないものになってるんだよね。なのでHTTP/2にしたければ、サーバ側はセットでHTTPS対応もやらなきゃいけないと言う
TLS上でのプロトコルネゴシエーションの仕組み、NPNとALPN - ASnoKaze blog
(この記事は古いため、HTTP2.0と表記していますが、正しくはHTTP/2です) (HTTP ConnectメソッドのALPNヘッダは「ALPN HTTP Headerとは」) TLS-NPN(Next Protocol Negotiation) SPDYはHTTPSと同一ポートで接続を受け付けるため、SPDYの通信を開始する前にどちらのプロトコルで通信するか決める必要がある。その方法としてTLS-NPNを用いる。これは、SSLハンドシェイク時に使用するプロトコルのネゴシエーションも同時に行なってしまう方法である。TLS-NPNはGoogleによって仕様が策定されている(仕様URL)。 TLS-ALPN(Application Layer Protocol Negotiation) HTTP2.0においても、このSSLハンドシェイク時にネゴシエーションをすることが検討されている。もともと
なぜHTTPSはHTTPより速いのか
先週、httpvshttps.com というウェブサイトが公開されました。このウェブサイトでは、HTTP と HTTPS を用いてアクセスした場合のウェブページのダウンロード完了までにかかる時間の比較ができるのですが、多くの環境で HTTPS の方が HTTP よりも高速なことに驚きの声が上がっていました。 HTTP が TCP 上で平文を送受信するのに対し、HTTPS は TCP 上で TLS (SSL) という暗号化技術を用いて通信を行います。ならば、TLS のオーバーヘッドのぶん HTTPS のほうが遅いはずだ、という予測に反する結果になったのですから、驚くのも無理はありません。 実は、この結果にはからくりがありました。 Google Chrome、Mozilla Firefox、最近のSafari注1は、Google が開発した通信プロトコル「SPDY」に対応しており、HTTPS
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
