根據W3Techs的調查數據顯示，目前大約有11%的網站使用了新型的互聯網通信協議–HTTP/2，而在一年之前，其占比只有2.3%。

沒錯，這個新的協議的確可以提供更好的性能，而且也可以與之前的HTTP/1.1兼容，但是我們真的有必要急于升級到HTTP/2嗎？雖然協議本身暫時還沒有漏洞，但是很多網站在使用這個協議時所采用的實現方法是存在安全漏洞的，這將導致網站的數據流量很可能會被攻擊者嗅探到。所以各位網站管理員們在沒有十足把我的情況下，建議以觀望為主。

安全公司Corvil產品管理部門的主管Graham Ahearne認為：

“很多網站之所以會升級協議，主要是企業業務規劃所決定的。他們希望自己的電子商務門戶網站能夠給客戶提供性能更好的服務和體驗。但是，由于現在網站所需處理的數據量非常的大，而且各種新型的安全漏洞也在不斷涌現，企業必須時刻關注網站信息安全方面的問題。新的東西固然是好的，但是新的東西同樣也意味著它們還沒有經歷過時間的考驗，而這就會導致很多意想不到的安全風險出現。”

作為請求網頁數據和網站資源時的底層信息傳輸標準，HTTP/1.1協議誕生至今已經有16年多了。協議只允許一次發送一個請求，所以某些瀏覽器會使用多條鏈接來并行發送網站請求，而這樣就有可能導致服務器發生擁堵。與此同時，Web網站也會采用各種技術來提高數據內容的傳輸速度。

HTTP/2旨在引入多路復用技術來解決請求數量受限的問題，而這對于那些頁面擁有大量小工具的網站來說絕對是一個福音。

Limelight Networks公司的高級產品經理Brett Mertens認為：

“HTTP/1.1是一個非常棒的協議，但是它并不是為性能而生的。但是現在，人們更加關注的是網站的性能和用戶的體驗度。在HTTP/1.1時代，一個瀏覽器可能會打開四到六個鏈接來獲取Web服務器中的數據內容。但是在HTTP/2時代，一條鏈接再加上多路復用技術，我們就可以獲取到所需的全部數據，所以效率得到了大幅提升。但是這對于用戶來說，其實并沒有多大的改變，只是網站的加載速度稍微快了一點而已。”

仍需進行加密，但并非強制要求

協議本身并不要求進行強制加密，但是目前所有的瀏覽器都需要TLS加密。Mertens表示：“很多網站在實現協議本身的基本要求之后，還會使用很多其他的安全技術。這對于整體安全性而言，這是一種非常好的現象。”

但是對于某些公司而言，加密很可能會成為一把雙刃劍，安全公司Fireglass的首席執行官GuyGuzner認為：

“在客戶端和服務器之間，還有很多類似入侵防御系統和防火墻這樣的安全保護設備，它們可以分析網站的通信數據，并檢測惡意流量。所以我擔心的是，這些設備是否能夠適應HTTP/2。某些廠商現在已經在提供HTTPS和SSL加密解決方案了，但是如果要改為使用HTTP/2的話，那么目前的很多方案很可能都要從底層開始修改了。HTTP/2允許會話復用，以及將文件以內容和資源的形式進行發送。這樣一來，現在很多的安全產品和反病毒引擎將更加難以進行安全檢測，它們將無法追蹤會話線程，而且也無法有效地檢測其中的惡意內容。”

解決這個問題其實并不容易，廠商如果要使用HTTP/2，那么就必須要更新他們的產品，但是產品碎片化等問題使得整個升級過程會非常困難。而且有的用戶并不想升級，因此某些產品的升級周期很可能會持續數年之久。

因此，企業在決定采用HTTP/2之前，最好先檢測一下自家產品是否真的能夠有效地檢測HTTP/2流量，如果不行的話，我們建議這些企業先“按兵不動”。

新的漏洞也隨之出現

安全公司Imperva在今年夏天的BlackHat黑客大會上報告了多個與HTTP/2有關的安全漏洞，相應的廠商已經收到了漏洞信息，并且也在已經修復了這些漏洞。

該公司的首席安全研究專家ItsikMantin說到：

“HTTP/2協議本身并不存在安全問題，主要是協議的實現方式有問題。Imperva的安全專家對目前主流的Web服務器進行了分析，包括Apache、IIS、Jetty、Nghttpd和Nginx在內，并且發現每一款服務器都存在一定的問題。在某些情況下，攻擊者甚至只需要發送一個請求，就足以讓服務器崩潰。這也就意味著，攻擊者可能只需要一臺筆記本電腦就可以發動類似大規模DDoS這樣的攻擊了。

雖然漏洞都已經被修復了，但是這也并不意味著所有的Web服務器都安裝了更新補丁。因為安裝補丁是需要一定成本的，管理員必須知道自己的設備中存在安全問題，他們必須要被通知到位。當他們拿到更新補丁之后，還要評估這些補丁會給自己的服務器帶來怎樣的影響，所以并非所有人都會急于安裝更新補丁。”

HTTP/2的現狀如何？

雖然11%的占比看起來是一個非常低的采用率，但考慮到HTTP/2是一個在2015年剛剛誕生的新協議，而且目前所有主流的PC端和移動端瀏覽器都支持HTTP/2，所以現在的情況也算不錯了。

Akamai技術公司的首席Web架構師Stephen Ludin認為：“目前包括Google和Twitter在內的很多大型網站都開始使用HTTP/2了，而升級協議的主要驅動力在于網站希望給用戶提供更好地性能體驗。使用HTTP/2之后，網站性能平均可以提升10%，而有的網站其效率甚至可以提升30-50個百分點。如果網站開發人員希望使用HTTP/2的話，他們應該從網站的底層架構開始著手。”

* 參考來源：networkworld，FB小編Alpha_h4ck編譯，轉載請注明來自FreeBuf.COM