次世代の HTTP 2.0 プロトコルでは、ほとんどの場合 HTTPS 暗号化が必要になります。

ハッキング攻撃やメタデータの大量収集が蔓延する現代において、プレーンテキストでデータを送信するだけでは不十分です。Facebook、Google、Twitterなど、Web上の大手企業は既にユーザーの貴重なデータを守るためにデフォルトの暗号化を採用しており、重要なHTTPプロトコルの次世代バージョンはHTTPSで保護されたURLでのみ機能します。

インターネット技術タスクフォースの HTTP 2.0 プロトコルを開発している HTTPbis ワーキンググループの議長、マーク・ノッティンガム氏は、水曜日早朝、ワールドワイド・ウェブ・コンソーシアムのメーリングリストでこの発表を行った。

HTTP/2.0 は https:// URI でのみ機能します。これは、広範囲にわたる監視に対する @ietf の応答の一部です。 https://t.co/yPXrMLO8DR
— マーク・ノッティンガム (@mnot) 2013年11月13日

「Web 上で TLS [トランスポート層セキュリティ] の利用を増やすという目標を達成できる最善の方法は、https:// URI でのみ HTTP/2.0 を使用することでその使用を奨励することだと考えています」とノッティンガム氏は書いています。

後方互換性のために困難を乗り越える

暗号化されていない HTTP URL は引き続き現在の HTTP プロトコルを使用しますが、HTTP 2.0 プロトコルでは、暗号化されていない URL をプロトコルがどのように処理するかを正式に定義する必要がある、とノッティンガム氏は言います。

なぜなら、ノッティンガムの発表の後半では、「HTTP 2.0 には HTTPS が必要」という記述が少し曖昧になるからです。

「明確に申し上げますが、HTTP/2.0 を http:// URI で使用する方法については、引き続き定義します。なぜなら、ユースケースによっては、実装者が情報に基づいた選択として、暗号化なしでプロトコルを使用する可能性があるからです」と彼は記しています。「しかしながら、一般的なケース、つまりオープンな Web を閲覧する場合には、https:// URI を使用する必要があります。また、最新バージョンの HTTP を使用する場合も同様です。」

アップルの上級印刷エンジニアであり、IEEEのプリンターワーキンググループの議長でもあるマイケル・スウィート氏は、これらの免除が提案の全体的な有効性を損なう可能性があるのではないかと懸念している。

「…正直なところ、このワーキンググループがどのようにして https:// を強制・義務化しつつ、 http:// URI を許可するのか理解できません」とスウィート氏は書いている。「暗号化されていない URI が HTTP/2.0 でサポートされている限り、TLS はオープンウェブに必須ではないため、セキュリティに関する推奨事項を提示することしかできないでしょう。」

HTTP 2.0 に HTTPS を義務付ければ、監視が蔓延する現代において暗号化の普及が確実に促進されるでしょう。しかし、すべてのインターネットトラフィックが魔法のようにスパイから完全に保護されるわけではありませんし、導入も全く手間がかからないわけではありません。（SSL 証明書発行機関が新規顧客の急増に対応できる体制を整えていることを祈ります！）

この提案は異論なく進められているわけではない。

「暗号化されていないHTTP/2.0のサポートは依然として必要かつ有用だと強く信じています。特に、既に『セキュア』なチャネルを経由してリソースが限られたデバイスにルーティングする場合はなおさらです」と、スウィート氏はノッティンガム氏への返答の中で述べています。「…また、HTTP/1.xがこれほど成功したのは、その実装の容易さ（そして自由度）によるものだと考えています。しかし、（私の意見では）HTTP 2.0の使用をhttps://に限定することは、それを導入できる余裕のあるサイトやプロバイダーにのみ利用・展開を制限し、長期的にはHTTP/2.0がHTTP/1.1に取って代わることを阻むことになるでしょう。」

他の HTTPbis メンバーは、「HTTPS Everywhere」宣言に対して留保を表明しています。

しかし、IETFがHTTPS暗号化を（ほぼ）義務付けるという決定は、議論の全てではありません。他にも暗号化に関する提案が検討されており、ノッティンガム氏は「HTTP/2の導入に伴い、このプロトコルの採用状況を評価し、セキュリティをさらに向上させる方法が見つかれば、この決定を再検討する可能性もあります」と述べています。