Quiero habilitar HTTP2 para varios servidores web, pero me preocupan las posibles implicaciones de seguridad. Pienso en algo como:
¿Son estos problemas realmente relevantes y cuáles podrían ser problemas adicionales?
HTTP / 2 es un protocolo más complejo y nuevo que HTTP / 1.x y, por lo tanto, los errores son al menos inicialmente más probables. De hecho, una búsqueda simple muestra varios problemas de implementación y también algunos vectores de ataque nuevos o actualizados debido al cambio de diseño de HTTP / 2.
Es posible que WAF no funcione con HTTP2 porque no admite el protocolo
Esto probablemente sea un problema menor. Un WAF suele estar integrado en la pila HTTP del servidor o es un componente activo con su propia pila HTTP. Debido a la forma en que se diseñó HTTP / 2, se producirá una degradación implícita a HTTP / 1.x si el servidor o WAF no admiten HTTP / 2. Esto también es válido para los proxies y otros componentes activos.
Será un problema para la inspección puramente pasiva como se hace en algunos sistemas de detección de intrusos o cortafuegos. Pero una inspección puramente pasiva tiene problemas con la inspección del tráfico TLS de todos modos y HTTP / 2 solo se usa junto con TLS. Si, por el contrario, la inspección pasiva se aumenta con la intercepción SSL, entonces generalmente se volverá a bajar a HTTP / 1.x a menos que la intercepción SSL reenvíe explícitamente o sin saberlo la extensión ALPN TLS al servidor HTTP / 2 durante la intercepción SSL.
Depende de tu perspectiva.
Si lo busca desde la perspectiva de un mantenedor y cuidador de sitios web, sus dos preocupaciones son válidas: HTTP / 2 ha estado menos tiempo que HTTP / 1.1 y, por lo tanto, el software que habla el protocolo ha tenido menos tiempo para maduro. Al punto, esperaría que la combinación de HTTP / 2 y WAF sea un camino lleno de baches en este momento. También será más difícil obtener información y externalizar el refuerzo de la seguridad para HTTP / 2 que con HTTP / 1.1. Sin embargo, no debería ser imposible, a juzgar por la cantidad de sitios grandes (como este) que ejecutan HTTP / 2.
Por otra parte, si eres un creador de plataformas web, estás íntimamente familiarizado con HTTP / 2 y resultas ser el mantenedor de tu ventaja HTTP / 2 Implementación, entonces HTTP / 2 es un poco más habilitante que HTTP / 1.1 cuando se trata de seguridad. Para empezar, una gran cantidad de malware y bots molestos todavía se están ejecutando en HTTP / 1.1, y esa es una señal fuerte para la pila de seguridad. Además, la multiplexación hace que sea más fácil rastrear y atribuir el comportamiento del agente de usuario. El entramado binario de HTTP / 2 elimina los problemas de seguridad causados por implementaciones incompatibles de la codificación fragmentada HTTP / 1.1 y la canalización.