TLS/SSL em http (80) com STARTTLS

Question 1

Um propósito doMecanismo de atualizaçãoemRFC 2817foi o fornecimento de umalojamento virtualmecanismo para HTTP com TLS, já que a situação era em 2000:

O mecanismo de atualização também resolve o problema da “hospedagem virtual”. Em vez de alocar vários endereços IP para um único host, um servidor HTTP/1.1 usará o cabeçalho Host: para desambiguar o serviço web pretendido. À medida que o uso de HTTP/1.1 se torna mais prevalente, mais ISPs estão oferecendo hospedagem virtual baseada em nomes, atrasando assim o esgotamento do espaço de endereços IP.

OIndicação do nome do servidor(SNI;RFC 3546, 3.1) deu uma solução melhor para este problema em 2003 – aquela que ainda está em uso – pelo que já não há necessidade disto. O Upgradecabeçalho ainda está ativo, mas é usado para finalidades diferentes, como mudar de HTTP/1.1 para HTTP/2.0 (RFC 7230, 6.7).

O protocolo HTTP também possui o Locationcabeçalho (RFC 7231, 7.1.2) com os códigos de resposta relacionados, facilitando o redirecionamento do cliente para outro esquema, host e porta, diferentemente dos protocolos que estavam utilizando STARTTLS.

Observe também que usar STARTTLSnão era algo bom e desejável e algo que deveria ser adotado por mais protocolos. Na verdade,RFC 8314agora obsoletos os protocolos de texto não criptografado para envio e acesso de e-mail, deixando o SMTP MTA para MTA o único protocolo de e-mail que STARTTLSdeve ser usado. Deseção 3:

– – Embora esse mecanismo tenha sido implantado, um mecanismo alternativo em que o TLS é negociado imediatamente no início da conexão em uma porta separada (referido neste documento como "TLS implícito") foi implantado com mais sucesso. Para incentivar o uso mais difundido do TLS e também para incentivar uma maior consistência em relação à forma como o TLS é usado, esta especificação agora recomenda o uso do TLS implícito para POP, IMAP, envio de SMTP e todos os outros protocolos usados entre um MUA e um MSP.

Answer

Um propósito doMecanismo de atualizaçãoemRFC 2817foi o fornecimento de umalojamento virtualmecanismo para HTTP com TLS, já que a situação era em 2000:

O mecanismo de atualização também resolve o problema da “hospedagem virtual”. Em vez de alocar vários endereços IP para um único host, um servidor HTTP/1.1 usará o cabeçalho Host: para desambiguar o serviço web pretendido. À medida que o uso de HTTP/1.1 se torna mais prevalente, mais ISPs estão oferecendo hospedagem virtual baseada em nomes, atrasando assim o esgotamento do espaço de endereços IP.

OIndicação do nome do servidor(SNI;RFC 3546, 3.1) deu uma solução melhor para este problema em 2003 – aquela que ainda está em uso – pelo que já não há necessidade disto. O Upgradecabeçalho ainda está ativo, mas é usado para finalidades diferentes, como mudar de HTTP/1.1 para HTTP/2.0 (RFC 7230, 6.7).

O protocolo HTTP também possui o Locationcabeçalho (RFC 7231, 7.1.2) com os códigos de resposta relacionados, facilitando o redirecionamento do cliente para outro esquema, host e porta, diferentemente dos protocolos que estavam utilizando STARTTLS.

Observe também que usar STARTTLSnão era algo bom e desejável e algo que deveria ser adotado por mais protocolos. Na verdade,RFC 8314agora obsoletos os protocolos de texto não criptografado para envio e acesso de e-mail, deixando o SMTP MTA para MTA o único protocolo de e-mail que STARTTLSdeve ser usado. Deseção 3:

– – Embora esse mecanismo tenha sido implantado, um mecanismo alternativo em que o TLS é negociado imediatamente no início da conexão em uma porta separada (referido neste documento como "TLS implícito") foi implantado com mais sucesso. Para incentivar o uso mais difundido do TLS e também para incentivar uma maior consistência em relação à forma como o TLS é usado, esta especificação agora recomenda o uso do TLS implícito para POP, IMAP, envio de SMTP e todos os outros protocolos usados entre um MUA e um MSP.

Question 2

Um motivo pode ser que um STARTTLS adicional acrescentaria mais sobrecarga, uma vez que é necessária uma viagem de ida e volta adicional (solicitação + resposta). O tempo desde o início da conexão até a resposta é bastante crítico com HTTP e muitas otimizações foram feitas para reduzir esse tempo, como handshake TLS mais curto ou protocolos diferentes como QUIC. Adicionar algo como STARTTLS aumentaria o tempo e, portanto, não é uma boa ideia.

Answer

Um motivo pode ser que um STARTTLS adicional acrescentaria mais sobrecarga, uma vez que é necessária uma viagem de ida e volta adicional (solicitação + resposta). O tempo desde o início da conexão até a resposta é bastante crítico com HTTP e muitas otimizações foram feitas para reduzir esse tempo, como handshake TLS mais curto ou protocolos diferentes como QUIC. Adicionar algo como STARTTLS aumentaria o tempo e, portanto, não é uma boa ideia.

TLS/SSL em http (80) com STARTTLS

Responder1

Responder2

informação relacionada