当初、HTTP/2では圧縮にGZIPを使用することにしていた。ところが、圧縮率を観測することにより情報を読み取る攻撃手法(CRIMEと呼ばれる)が登場したことによって、GZIPのようなストリーミング圧縮プロトコルは安全ではなくなった。このためHTTP/2では、効率は落ちるが、より安全な別のセキュリティ技術を用いている。
気をつけてほしいのは、これらの速度向上の仕組みから恩恵を受けるには、サーバとブラウザの両方がHTTP/2に対応している必要があるということだ。現時点では、主要なウェブブラウザの最新バージョン(「Chrome 40」、「Firefox 36」、「Windows 10」の「Internet Explorer(IE) 11」、「Opera 21」)がHTTP/2に対応している。また、よく使われているウェブサーバ(「Apache」、「Internet Information Service」、「nginx」)もHTTP/2に対応している。
話はセキュリティの問題に戻るが、HTTP/2 IETFワーキンググループのMark Nottigham委員長が指摘しているように、「HTTP/2ではTLS(ウェブの暗号化レイヤで、標準化されたSSL)を使用する必要はないが、性能が高くなっているために、ウェブサイトの見え方への影響も少なくなっており、暗号化を利用しやすくなっている」。
すでにGoogleとMozillaは、ChromeとFirefoxでは、TLSで暗号化された接続でしかHTTP/2を使用しないことを決定している。Microsoftはまだ決定しているわけではないが、HTTP/2に対応しているIE 11のベータ版では、HTTP/2接続の暗号化を強制している。
仕様自体で暗号化を義務化していない理由について、Nottingham氏は「HTTPはプロキシベンダー、ネットワーク運用会社、企業のファイアウォールなど、多くの既存の利害関係者によって実装される。HTTP/2で暗号化を必須にすると、これらの利害関係者から権利を奪うことになる」と説明している。
IETFは暗号化を義務化することを避けたが、ウェブブラウザを提供する企業は明らかに暗号化を必須にしたいと考えている。Internet Security Research Group(ISRG)が後援する「Let's Encrypt」の取り組みでは、ウェブのあらゆる場所に暗号化を導入することを推進している。この目標は、HTTP/2によってかなり現実的なものになる。
以上で見てきたように、HTTP/2はウェブを現状よりも高速化し、ずっと安全なものにする。少なくとも筆者はそう願っている。
Nottingham氏が言うように、「HTTP/2は魔法のようなウェブの性能を実現する妖精の粉ではない。これを使えば、読み込み時間が半分になるということはない」。
実際、ページをHTTP 1.1に最適化している多くのウェブサイトでは(たとえばAmazonなど)、単純にHTTP/2に切り替えるとページの表示が遅くなる場合もある。セキュリティに関して言えば、プロキシやファイアウォールなどの、トラフィックの経路上でウェブを処理するシステムの多くは、HTTP/2を扱うことができない。HTTP/2の恩恵を十分に受けるためには、多くの企業がこれらのシステムをアップグレードしたり、交換したりする必要がある。
いずれは、HTTP/2でウェブページの表示が高速になり、より安全になる日がやってくるだろう。しかし残念ながら、HTTP/2の効果が見え始めるのは早くても2016年だと思われる。標準は承認されたが、これを実装して、この標準に最適化するには、最低でも1年はかかるはずだ。
提供:Google
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
