Firefox 37 เตรียมรองรับมาตรฐาน HTTP/2 มีฟีเจอร์หนึ่งเพิ่มเข้ามาสำหรับเซิร์ฟเวอร์ทั่วไป คือ opportunistic encryption (OE) เป็นการเข้ารหัสจากใบรับรองแบบรับรองตนเอง (self-signed) ที่แม้ว่าจะไม่ได้ช่วยยืนยันว่าเรากำลังเชื่อมต่อกับเซิร์ฟเวอร์อยู่จริง แต่ก็ป้องกันการดักฟังปกติที่ไม่ได้คั่นกลางการเชื่อมต่อ
เซิร์ฟเวอร์ที่รองรับมาตรฐานนี้จะต้องเป็นเซิร์ฟเวอร์ HTTP/2 และคอนฟิกให้รองรับการเชื่อมต่อแบบเข้ารหัสที่พอร์ต 443 โดยใช้ใบรับรองอะไรก็ได้ แม้แต่ใบรับรองแบบรับรองตัวเอง จากนั้นเพิ่มฟิลด์ Alt-Svc: h2=":443"
เข้าไปใน HTTP header ของการเชื่อมต่อพอร์ต 80 ธรรมดา
เบราว์เซอร์จะตรวจสอบเองว่าสามารถเชื่อมต่อกับพอร์ต 443 ได้จริงหรือไม่ หากเชื่อมต่อได้ก็จะพยายามเชื่อมต่อแบบเข้ารหัส และเบราว์เซอร์จะจำไว้เสมอว่าเซิร์ฟเวอร์ใดสามารถเชื่อมต่อแบบเข้ารหัสได้ เมื่อเปิดเว็บครั้งต่อๆ ไปก็จะเชื่อมต่อแบบเข้ารหัสทันที
ที่มา - ArsTechnica
Comments
เรียบร้อยไปแล้ว
สงสัยว่ามันต่างจากยืนแบบระบุตัวตนขั้น 1 มากไหมครับ อยากลองใช้ดูบ้างแต่กลัวใช้กับเว็บลูกค้าแล้วมันจะไม่ปลอดภัยเท่า
หมายถึงยืนยันตัวตนเซิร์ฟเวอร์รึเปล่าครับ
ปกติการทำ OE ปลอดภัยไม่เท่าการซื้อใบรับรองจริงแน่ๆ ครับ ถูกโจมตีด้วย MITM ได้
lewcpe.com, @wasonliw
ดี เพราะองค์กรใหญ่ใช้self-signed ในintranet กันเยอะ ตัวเก่าต้องมานั่งปิดoption configบางอันถึงจะใช้งานได้