صرَّح رئيس فريق العمل الذي يُصَمِّم الإصدار التالي لـ HTTP، أن بروتوكول HTTP/ 2 سوف يعمل فقط بـ URLs (عناوين الإنترنت) المُشَفَّرَة.
كتب مارك نوتينغام على قائمة المراسلات W3C: “أعتقد أن الطريقة الأفضل التي تُمَكننا من تحقيق هدف الاستخدام المتزايد لـ TLS (بروتوكول طبقة المنافذ الآمنة) على الشبكة- هي تشجيع استخدامه عن طريق استخدام HTTP/2.0 مع https://URLS” فقط.
تُعَد هذه الخطوة بمثابة تحذيرٍ لإيقاف المراقبة المتزايدة، التي تُمارَس من قِبَل الحكومة الأمريكية ضد مواطنيها والأجانب؛ حيث قام عددٌ من كبرى شركات الإنترنت مثل جوجل وفيس بوك، بتشغيل HTTPS بشكلٍ افتراضيٍّ على عددٍ من الخدمات الحيوية والرئيسية مثل Gmail. وإذا كان الاقتراح المُقدَّم من قِبَل نوتنغام بخصوص HTTP/2 مناسبًا للأغراض والمعايير المطلوبة، فإنه سيصبح بمثابة خطوةٍ هائلةٍ إلى الأمام نحو TLS (بروتوكول طبقة المنافذ الآمنة) متكامل، يضمن تأمين حركة المرور على الشبكة.
قال نوتنغام: “لِيكُن من الواضح أننا مازلنا نُحَدِّد كيفية استخدام HTTP/2.0 مع http://URLs؛ لأنه في بعض حالات الاستخدام، قد يتخذ المنفذ قرارًا مستنيرًا لاستخدام البروتوكول من دون تشفير”، وأضاف: “على الرغم من ذلك، بالنسبة للحالة الشائعة، فإن تَصَفُّح الشبكة المفتوحة، سوف يحتاج إلى استخدام https://URls إذا أردت استخدام الإصدار الأحدث من HTTP”.
وقد صرح نوتنغام، أنه كانت توجد ثلاثة مقترحات معروضة أمام فريق العمل، وهي:
- التشفير الانتهازي لـ http://URls من دون مصادقة الخادم، والمعروف أيضًا باسم TLS (بروتوكول طبقة المنافذ الآمنة) الهادئ.
- التشفير الانتهازي لـ http://URls مع مصادقة الخادم.
- HTTP/2 المُستَخدَم فقط مع HTTPS على شبكة الإنترنت المفتوحة.
وقال نوتنغام: أن المناقشات استقرت على الخيار الثالث؛ لأنه يُقَدِّم أقل عددٍ من التعقيدات. كما يُعَد HSTS خيارًا لحمايةٍ ذات درجةٍ أقل. وبالإضافة إلى ذلك، كانت شركات المتصفحات قد بُحَّ صوتها، بشأن الحاجة إلى تشفير حركة المرور على الشبكة؛ حيث إن هذا التشفير من شأنه دعم هذه الخطوة.
مع استمرار تسريبات سنودن في فضح وإفشاء سياسة المراقبة، التي تمارسها وكالة الأمن القومي (NSA) على المواطنين الأمريكيين، من خلال جمع البيانات الوصفية للمكالمات الهاتفية؛ من أجل التنصت على الروابط الليفية الموجودة بين مراكز البيانات على الإنترنت- ارتفعت الأصوات التي تدعو إلى تعزيز وتدعيم مسألة التشفير. وقد كتب الخبير الأمني والمُشَفِّر بروس شناير في مقال الشهر الماضي، أن شبكة الإنترنت تُسَهِّل من عملية المراقبة؛ لأن الشركات تُجَمِّع البيانات من زوار الموقع والشركات الأخرى، وغالبًا ما يتم ذلك بحسن نية.
وقد حَثَّ عددٌ كبيرٌ من شركات الإنترنت على رفع تكاليف المراقبة، وإجبار وكالة الأمن القومي (NSA) على التوقف عن جمع البيانات على نطاقٍ واسع، لصالح عملية المراقبة المستهدِفة.
وكتب شناير: “إن قانون موور قد جعل عمليات الحوسبة أرخص. وقد قمنا جميعًا بإجراء عمليات الحوسبة في كل مكان؛ ولأن عمليات الحوسبة تنتج البيانات؛ ولأن هذه البيانات تعادل عملية المراقبة، فقد قمنا بخلق عالمٍ من المراقبة في كل مكان”. وأضاف: “الآن، نحن في حاجةٍ إلى معرفة ما يجب القيام به حيال هذا الأمر؛ حيث إن هذه المعرفة أهم بكثيرٍ من كبح جماح وكالة الأمن القومي (NSA)، أو تغريم شركةٍ بسبب إساءة استخدام البيانات بشكلٍ عرضي. نحن بحاجةٍ إلى أن نقرر ما إذا كانت بياناتنا موردًا مجتمعيًّا مشتركًا، أم جزءًا خاصًّا بنا نمتلكه بطبيعة الحال على نحوٍ سليمٍ وحقيقي، أم هي سلعة خاصة مُعَرَّضَة لعمليات البيع والشراء”.
وفي هذه الأثناء، قال نوتنغام: أن الاعتماد على HTTP/2 من شأنه أن يحرك هذه القضية إلى الأمام، أما بالنسبة للخيارات الأخرى مثل سرية الانتقال المثالية، فإنها من الممكن أن توضَع في الاعتبار.
وقد قال: “أعتقد أن هذا الأسلوب هو الأقرب إلى توافق الآراء، والإجماع بأن كلًّا منَّا يُحرز تقدمًا في هذا الموضوع المثير للجدل في الوقت الراهن”، وأضاف: “وبسبب انتشار HTTP/2، سوف نُقَيِّم اعتماد البروتوكول، بل وربما إعادة النظر في هذا القرار، إذا كنا بصدد تحديد طُرقٍ لمواصلة التحسين الأمني”.
النصائح