De organisatie die gaat over de fundamentele protocollen van het internet heeft in een document aangegeven hoe het de standaardencryptie van het web wil aanpakken. De IETF (Internet Engineering Taskforce) gaat niet gelijk voor encryptie van HTTP-verbindingen voor alle soorten webverkeer. De nieuwe versie 2.0 van webprotocol HTTP krijgt encryptie ingebouwd, maar die zal in eerste instantie niet universeel van toepassing zijn.

De ingebouwde versleuteling van webverkeer via HTTP 2.0 geldt aanvankelijk alleen voor webadressen die beveiliging ingesteld hebben en dus HTTPS gebruiken. "Dit kan uitgevoerd worden zonder enige veranderingen aan ons huidige document [voor de HTTP-standaard - red.]", schrijft de HTTP-werkgroep van het IETF.

Browsermakers zijn namelijk op dit moment niet verplicht om HTTP 2.0 te implementeren voor 'gewone' HTTP-adressen. "We gaan echter wel bespreken hoe dit te formaliseren met gepaste vereisten om interoperabiliteit aan te moedigen." Het beveiligingswerk aan de fundamenten van het internet is een reactie op de massale spionage (middels aftappen, kraken en monitoren) door de Amerikaanse inlichtingendienst NSA.

Optie 3, is stap 1

De werkgroep voor het basisprotocol van het web benadrukt dat hiermee de kous zeker niet af is. De nu geponeerde gedeeltelijke invoer van standaardencryptie voor webverkeer is slechts één van de drie geformuleerde mogelijkheden. Het is waarschijnlijk ook de eerste stap; de andere opties zijn namelijk in staat om voort te bouwen op de nu geprefereede optie (C).

Verder zal het gebruik van HTTP 2.0 voor onbeveiligde verbindingen ook worden gedefinieerd. De nieuwe versie van het webprotocol heeft naast encryptie nog veel meer verbeteringen ingebouwd. Dit omvat onder meer een flinke versnelling, dankzij het door Google ontwikkelde SPDY.

Voorwaartse gerichte versleuteling

Wat encryptie betreft, heeft het IETF nog andere plannen. Dit omvat alternatieve benaderingen voor caching via proxy-verbindingen, mogelijk via peer-to-peer caching-protocollen. Daarnaast kijkt het IETF ernaar om encryptieprotocol TLS (gebruikt voor beveiligde netwerkverbindingen) te voorzien van toekomstbestendige encryptie.

De IETF noemt dit perfect forward security, wat neerkomt op 'wegwerpencryptie': elke keer dat een beveiligde verbinding wordt gelegd, wordt daarvoor een nieuwe krachtigere sleutel gebruikt. Een eenmaal gekraakte sleutel kan dan geen dienst doen versleuteld verkeer dat eerder is opgevangen alsnog te ontcijferen. Google heeft dit al ingevoerd voor zijn eigen browser Chrome én voor Internet Explorer (van Microsoft) en Safari (van Apple).