İnternetin geleceği HTTP 2.0 ne sunacak?

HTTP 1.1'in yerini alacak, internetin geleceğini temsil eden HTTP 2 protokolü hakkında her şey!

NSA arka kapısı

NSA arka kapısı

NSA arka kapısı

NSA'nın şifreli aktarımları çözmesi, tüm web trafiğini kaydedip, ardından bir mahkeme kararıyla sunucunun özel anahtarının hack'lenmesiyle gerçekleşebilir.

Böyle bir duruma karşı TLS 1.3'de, dolayısıyla HTTP 2.0'da farklı bir şifreleme yönteminin kullanılması teklif edilmişti. Buna göre yeni TLS şifreleme protokolü olan Perfect Forward Secrecy (PFS), direkt olarak anahtar değiş tokuşu yapmayacaktı. Bunun yerine sunucular ve web tarayıcıları, ortak bir simetrik anahtarı temel almayacak. Anahtar sadece bir oturumluk çalışacak ve oturumun ardından silinecek.

Ancak PFS'nin anahtar oluşturmada kullanacağı şifreleme yönteminin güvenli olması şart. NSA, geçmişte bu sürece aktif olarak katılmış ve göründüğü kadarıyla protokol içine arka kapılar yerleştirmiş. Asimetrik anahtar çifti için rastgele sayı üreten Dual_EC_DRBG'nin NSA'nın arka kapısını içerdiği ortaya çıkmıştı. NIST altında yayınlanan diğer sayı oluşturucuları üzerindeki şüpheler de devam ediyor. Simon Josefsson ise TLS 1.3 için kaynağı NIST olmayan, 25519 adında bir eliptik dalga öneriyor.

Ancak sadece yeni bir TLS protokolü de yeterli değil. HTTPS şifrelemesinde kullanılan, NSA'nın geliştirdiği RC4'ten de şüpheleniliyor. SSL 2.0 ve TLS 1.2'nin bir parçası olan RC4, şifreli web trafiğinin yüzde 50'sinde kullanılıyor. TLS 1.3 geldiğinde RC4 yerine onun kullanılacağını düşünüyor olabilirsiniz, ancak şu an itibariyle hangi protokolün kullanılacağını sunucu seçiyor. Chrome ve IE, en son sürüm olan TLS 1.2'yi kullansa da web sunucularının çoğu, geride kalmış SSL 3.0 veya TLS 1.0'ı tercih ediyor. Bu iki protokolde de bir saldırganın faydalanabileceği açıklar var. Dolayısıyla HTTP 2.0'da hangi protokolün kullanılacağını web tarayıcısının belirlemesi konusunda bir teklif var. Son olarak sitenin güvenli olup olmadığı ise kullanıcının tercihine bırakılacak.

Okuyucu Yorumları

Toplam 16 Yorum

arkadaşlar boşuna heveslenmeyin... http 33.0 bile çıksa Amerika dinler de dinler... neden... kendi dinleyemediği bir şeyi çıkarttırmaz da ondan... denklem bu kadar basit... çözüm... bence her ülke kendi internet protokolünü yapar... uluslar arası interneti de destekler... en azından kendi ülkesi içerisinde dinlenmeden gezer... ama bu sefer de kendi ülkesi dinler... burada benim tercihim MİT dinleyeceğine CIA dinlesin daha iyi... yani kasmayın... keyfinize bakın derim ben :)))

@04 Ara 2013 09:44 "Mit dinleyeceğine CIA dinlesin" ne kadar saçma bir yorum

19:45 aynen öyle! kurbanda danaya girdi diye fişleyen bir mit yerine elin gavur cia sını bende tercih ederim.

@04 Ara 2013 09:44 her ülke kendi protokolünü yapsın çözümü mükemmelmiş:) tebrik etmek lazım seni :)) sonra hiç bir konuda anlaşamayalım sadece kendi sitelerimize girebilelim vs.vs.vs:) iyiki bilişimci falan değilsin.

@04 Ara 2013 09:44 HttP yalnizca Amerika tarafindan gelistirilen birsey degil. Internette amerikan mali degil artik. Bütün dünyaya mal olmus iken Avrupa kesinlikle Amerika'nin istedigi gibi cirit attirmasina izin vermez.

Şu gereksiz reklam, flash dosyalar ve sosyal ağ butonları olmasa sitelerin hızlarında bir problem yok.

Nsa ABD de taşıyan üst düzey hackerları kullanıyor. Kullanılan kripto, bu sistemin kırılma süresini uzatır.

daha url' lerin çoğunda http bile kullanmıyoruz php açıkları başını da almışken güvenliğimiz her türlü tehlikede...

@04 Ara 2013 17:29 arkadaşım php nin ne açığı var sen veya diğerleri kod yazmasını bilmiyorsanız php'ye laf atmayalım lütfen ;)

@04 Ara 2013 17:29 urllerde http bile kullanmıyor musun :) http bir protokoldür urllerde görmesende o protokol üzerinden iletişirsin :)

@04 Ara 2013 17:29 Çok biliyon be

bu iş o Kadar kolay olmamalı

Chip böyle haberleri daha çok yapmalısın. Haberi tek solukta büyük keyifle okudum.

bu işlerden anlamam :D bi dns değiştiririm o kadar :)

@07 Ara 2013 18:30 Senin bir şeyden anlaman gerekmiyor. Biz sadece meyvesini yiyecek tarafız.

20 Mbps hızda internetim var, hızım da hiç düşmüyor ama web sitelerinin hızı devletin elini kolunu bu internetin içine sokup sokup karıştırmasından sonra gitti. Türkiye'de artık internetin tadı kalmadı. Bazen yalnızca Google uçuyor, bazen tüm arama motorları uçuyor, internet gitti sanıyorsun, bir bakıyorsun Bing çalışıyor, aslında internet gitmemiş, ama arama motorları en az yarım saat çalışmıyor. Bazen hızlı girilen bir siteye bazen bir dakikada giriliyor. Patlamama az kaldı. Çok doldum, çok!

Sen de yorum yaz

 



CHIP'i Takip edin
E-Posta listemize katılın
CHIP Dergi Mobil Cihazınızda

İlginizi çekebilir