Depende de tu perspectiva.
Si lo busca desde la perspectiva de un mantenedor y cuidador de sitios web, sus dos preocupaciones son válidas: HTTP / 2 ha estado menos tiempo que HTTP / 1.1 y, por lo tanto, el software que habla el protocolo ha tenido menos tiempo para maduro. Al punto, esperaría que la combinación de HTTP / 2 y WAF sea un camino lleno de baches en este momento. También será más difícil obtener información y externalizar el refuerzo de la seguridad para HTTP / 2 que con HTTP / 1.1. Sin embargo, no debería ser imposible, a juzgar por la cantidad de sitios grandes (como este) que ejecutan HTTP / 2.
Por otra parte, si eres un creador de plataformas web, estás íntimamente familiarizado con HTTP / 2 y resultas ser el mantenedor de tu ventaja HTTP / 2
Implementación, entonces HTTP / 2 es un poco más habilitante que HTTP / 1.1 cuando se trata de seguridad. Para empezar, una gran cantidad de malware y bots molestos todavía se están ejecutando en HTTP / 1.1, y esa es una señal fuerte para la pila de seguridad. Además, la multiplexación hace que sea más fácil rastrear y atribuir el comportamiento del agente de usuario. El entramado binario de HTTP / 2 elimina los problemas de seguridad causados por implementaciones incompatibles de la codificación fragmentada HTTP / 1.1 y la canalización.