La Internet Engineering Task Force (IETF), responsabile della manutenzione del protocollo internet, ha annunciato mercoledì la disponibilità dello standard per HTTP/2.0 che sarà introdotto dall’aprile del 2014 e formalizzato dal novembre dell’anno prossimo. Le differenze, rispetto all’implementazione corrente, dal punto di vista tecnico sono numerose: quella più importante riguarda l’obbligo a utilizzare HTTPS — ovvero, le connessioni sicure via SSL o TSL. HTTP/2.0 non supporterà quelle non criptate, ma le gestirà con HTTP/1.1.

Non tutti hanno accolto favorevolmente la notizia, specie perché HTTPS può essere violato in trenta secondi, ma io la approvo: sostengo da tempo che servirebbe un obbligo legislativo sulle connessioni sicure a prescindere dai limiti che comunque il meccanismo propone. Soprattutto quando a essere trasmesse sono delle informazioni sensibili, provvedere al massimo livello di sicurezza possibile è una necessità e non un’opzione. Prevederlo già nello standard del protocollo HTTP/2.0 impedisce che esistano delle eccezioni alla regola.

È improbabile che nel giro di qualche mese tutti i web server passino da HTTP/1.1 a HTTP/2.0 – tant’è che ne esistono ancora sulla versione 1.0 del protocollo – ed è da escludere che tutti i siti siano aggiornati in breve tempo, ma l’acquisto di un certificato e l’attivazione di HTTPS è urgente per chi intenda creare un sito. Io arrivo a “forzarlo”, reindirizzando i visitatori in entrata, e salvo gli eventuali cookie che fossero previsti istruendo le funzioni per JavaScript e PHP col valore opportuno. Idem nell’invio di e-mail.

Photo Credit: Paul Downey via Photo Pin (CC)