Warum benötigen wir HTTPS für statische Inhalte? Wenn wir am Ende eine vom privaten Schlüssel signierte Prüfsumme haben können, wird dies dann nicht die Gültigkeit beweisen?
Ich denke, Sie richten mit dieser Frage einen Strohmann ein. Wir brauchen kein HTTPS für statische Inhalte, und der Zweck von HTTPS besteht nicht nur darin, die Gültigkeit des Inhalts zu beweisen. Das ist nur einer von mehreren Zwecken. Der Schritt, eine große Anzahl von Websites auf HTTPS umzustellen (auch solche, die harmlose statische Inhalte wie Wikipedia bereitstellen), erfolgte in den letzten Jahren nicht in erster Linie, weil die Leute besorgt waren, die falschen Inhalte zu erhalten. Das liegt daran, dass die Leute sich Sorgen machten, dass Drei-Buchstaben-Agenturen Benutzer ausspionieren könnten. z.B. Die groß angelegte Umstellung auf HTTPS erfolgte hauptsächlich aus Datenschutzgründen (siehe zum Beispiel RFC 7258, Pervasive Monitoring ist ein Angriff - danke an Michael Kjörling für den Hinweis).
Ihr Die Idee, eine signierte Prüfsumme zu verwenden, wird bereits im gesamten Internet produziert: Software, die Sie herunterladen, wird häufig so überprüft. Paketmanager / Update-Systeme der meisten Betriebssysteme tun dies, und einzelne Softwareprojekte tun dies in kleinerem Maßstab, indem sie pgp / gpg-Signaturen zusammen mit ihren Software-Downloads veröffentlichen.
Dies alles funktioniert unabhängig davon, ob diese Downloads sind Wird über https geliefert oder nicht, obwohl https häufig zusätzlich verwendet wird.
Sie schlagen vor, neben http und https ein drittes Protokoll hinzuzufügen, möglicherweise eines mit dem Namen httpv für "verifiziert". , das die Inhaltsüberprüfung in das Protokoll einbaut, aber den Rest von ssl weglässt.
Ich stimme zu, dass es von Vorteil wäre, statischen Inhalt im Klartext bereitzustellen, damit er zwischengespeichert werden kann. Dies ist jedoch keine Option, wenn Sie sich angesichts der Programme der Geheimdienste, mit denen Sie unsere gesamte Kommunikation ausspionieren möchten, Sorgen über Datenschutzprobleme machen.
Gibt es einen bestimmten Grund, warum diese Semi-HTTPs nicht berücksichtigt werden?
Ich würde also davon ausgehen, dass Ihr drittes Protokoll nicht viel Dampf sammeln kann, da
bereits Lösungen vorhanden sind, die funktionieren, wenn wir den Inhalt wirklich überprüfen müssen, und
-
Da so viel Internet verschlüsselt wird, um unsere Privatsphäre zu schützen, scheint es, als würde ein anderes Protokoll, das nicht em nicht verwendet, nicht viel Verwendung finden > vor Spionage schützen.
ol>