¿Por qué la especificación HTTP / 2 no requiere TLS?

No hay ninguna razón técnica para limitar HTTP / 2 a TLS. La comunicación sin TLS tiene su uso técnico, no importa si se trata de tráfico no cifrado o si el tráfico está cifrado por otros medios (VPN, etc.).

La restricción de HTTP / 2 a TLS en el estándar vincularía el uso del protocolo HTTP / 2 al uso de TLS solo por razones políticas (*). Estos enlaces por razones no técnicas generalmente se evitan: si observa, por ejemplo, el RFC para HTTP / 1.1, mantendrán explícitamente abierta la capa de transporte, es decir, reconocen que HTTP / 1.1 se usa generalmente sobre TCP / IP, pero podría usarse en la parte superior de otros protocolos (RFC2616, sección 1.4).

Así, mientras uno podría pensar que hubo un cabildeo malvado, creo que simplemente la mayoría encontró que las normas deberían ser un lugar para detalles técnicos pero no para declaraciones políticas (*).

Un hilo de correo interesante en este contexto es El cifrado obligatorio es theatre en la lista de correo de IETF HTTP WG en 2013, que destaca la diversidad de opiniones entre los usuarios técnicos. Y también se puede ver en este hilo que no se trata de un cabildeo de parte de algún ISP o similar, pero que existen razones técnicas para no vincular demasiado HTTP / 2 a TLS, ya que se sabe que TLS no es la solución óptima para la diversidad de autenticación. , cifrado y problemas de privacidad: en algunos casos, usted quiere tener una mejor protección de la que TLS puede ofrecer y en otros casos no necesita la protección, pero la sobrecarga de TLS le está molestando.

(*) Para dejar más claro lo que considero político: es menos geopolítica o política de la empresa, pero sobre todo opiniones personales influenciadas por estas políticas más amplias. Esto lleva a argumentos basados en la visión personal de cómo debería funcionar el mundo y no por razones técnicas. A veces, estos argumentos políticos son incluso ciegos a los argumentos técnicos porque no encajan en la visión personal del mundo. Esto incluye la argumentación de que todos los casos de uso requieren privacidad (que TLS no ofrece de todas formas), que los sistemas pequeños sin grandes recursos solo deberían crecer o no usar HTTP, que el almacenamiento en caché no es una cosa importante que no necesita ser considerada (es decir, tenemos mucho ancho de banda y no nos importa si otros no lo hacen) etc.

El cifrado obligatorio presenta al menos una cosa que la comunicación no cifrada no. La comunicación verdaderamente encriptada (al menos http sobre SSL) es imposible de almacenar en caché y requiere más ancho de banda. Requerir SSL / TLS limitaría el caso de que la información no confidencial sea almacenada en caché por algún servidor proxy intermedio.

El cifrado también tiene un costo. Añade algo de sobrecarga, y agrega un poco de poder de procesamiento. Pero también lo hacen muchas características de cualquier protocolo. Entonces, es una pregunta justa preguntar por qué el cifrado es especial y es opcional.

También hay otras preocupaciones, pero creo que implica mucho lo que se valora. Stephen llama a esto "político", pero esto parece una simplificación excesiva sobre un argumento de estándares. Lo político puede significar muchas cosas. A veces significa intereses en conflicto. A veces significa "geopolítico" y, a veces, se trata de ideología política. Y a veces significa ... ni siquiera sé qué. Poner todo eso en un cubo parece un poco reductor en mi opinión.