Připomínky Opery k protokolu SPDY, nástupce HTTP

SPDY (čti jako "speedy") bude rychlejší a o něco mocnější nástupce protokolu HTTP, na kterém běží dnešní internet. SPDY vznikl v Google a pokud navštěvujete weby Google v Chromu (a nově ve Firefoxu 13), už je používáte.

Teď je čas veřejných připomínek. Microsoft své připomínky a návrhy zveřejnil v březnu.
Speed and Mobility: An Approach for HTTP 2.0 to Make Mobile Apps and the Web Faster

Včera dorazila do maillistu W3C reakce od Opery
http://lists.w3.org/Archives/Public/...012AprJun/0498

Text zároveň shrnuje hlavní body SPDY, takže je zajímavý i pro rychlý přehled, pokud protokol neznáte.

- Enforced pipelining
- Out of order response
- Multiplexed requests and responses
- Flow control
- Header compression
- Asynchronous headers
- Push

Nějak tam nevidím zmínku o největším problému SPDY.

Ten je pro změnu popsán zde:

https://www.varnish-software.com/blog/i_dont_like_spdy

Proč by přechod na SSL měl představovat vůbec nějaký problém? Podle mě SPDY naopak řeší dvě mouchy jednou ranou - rychlou a šifrovanou komunikaci.

Odkazovaný článek ani váš příspěvek nerozvádí, v čem je to problematické.

Původně odeslal Martin Schlemmer

Proč by přechod na SSL měl představovat vůbec nějaký problém? Podle mě SPDY naopak řeší dvě mouchy jednou ranou - rychlou a šifrovanou komunikaci.

Odkazovaný článek ani váš příspěvek nerozvádí, v čem je to problematické.

Ale uvádí:

SPDY changes that. In order to operate a SPDY website you need a SSL certificate. SSL certificates are issued by a limited number of organizations.

Currently Iran is being blocked by SWIFT. So, money transfers in and out of the country are more or less impossible. So, if SPDY was to be HTTP 2.0 and SSL would be a hard requirement there would be no way for some Iranian guy to set up a website. Google probably doesn't care much about this, they don't have issues getting SSL certificates. Other organizations might and this concerns me. Should people with bad credit ratings be allowed to set up websites?

EDIT: There are free ways of getting a valid SSL certificate. However, this still doesn't change the principle of the web being less open. Getting clearance from any authority reduces the openness of the web, even if you don't have to pay someone.

The openness of the web is much of the reason for its success. We should fight hard to keep it open.

At some point in the future DNSSEC might change this, being a good transport for certificates. We'd get rid of those pesky CAs which would further increase security on the web. Great, but it is currently to far into the future for us to rely heavliy on it.

To ale není problém protokolu, ale uživatelů, kteří si myslí, že za ně producenti prohlížečů vyberou důvěryhodné CA, které budou důvěryhodné i v budoucnosti.

Takže problém má dvě řešení - buď o nic nejde, pak slepě odklikám souhlas pro libovolný certifikát, včetně soukromé CA toho Iranian guye nebo o něco jde, pak si s protistranou bezpečným způsobem vyměním klíče a na nějaké přednastavené autority vůbec nespoléhám.

Krom toho se zvažují i další řešení ověřování a distribuce klíčů nezávislé na jednom ústředním bodu v kanceláři libovolné CA. Pokud bude poptávka po tom odebrat rozhodování o důvěryhodnosti z rukou jednotlivců a institucí a přenést ho na dav, technické řešení se najde podobně, jako bittorent změnil technické řešení distribuce filmů od videopůjčoven k divákům.