Google empfiehlt den Einsatz des vergleichsweise sicheren TLS-Protokolls (HTTPS). Es wird sogar vermutet, dass Seiten, die verschlüsselt erreichbar sind, ein besseres Ranking erhalten als unverschlüsselte Seiten. Doch geht es Google dabei wirklich um Sicherheit? Nicht in erster Linie, denn vor allem die Geschwindigkeit steht im Blickpunkt - und damit Googles selbst entwickeltes Protokoll SPDY bzw. zukünftig das neue HTTP/2-Protokoll.
SPDY (gesprochen "Speedy") ist ein auf HTTP basierendes Protokoll, das von Google entwickelt wurde. Es bietet im Vergleich zum derzeit am weitesten verbreiteten HTTP/1.1-Standard mehrere Vorteile:
- Komprimierung der Header: Im Gegensatz zu HTTP/1.1 werden bei SPDY die Header nicht im Klartext übertragen, sondern können komprimiert werden. Das spart vor allem bei einer großen Zahl kleinerer zu übertragender Ressourcen wie Bilder, Icons etc. viel Bandbreite und sorgt für eine Beschleunigung.
- Parallele Übertragung: Per TCP-Verbindung können beliebig viele Dokumente übertragen werden (Multiplexing). Einzelne Dokumente können priorisiert werden, um die wichtigen Dokumente zuerst zu übertragen. Dadurch lassen sich unnötige Roundtrips zwischen Client und Server vermeiden.
- Server-initiierte Übertragung: Per Server-Push kann die Übertragung von Dokumenten vom Server angestoßen werden (bei HTTP/1.1 muss die Anfrage stets vom Client ausgehen). So kann der Server beispielsweise die Übertragung wichtiger Dateien wie Javascript oder CSS anstoßen. Das Abfragen auf Verdacht durch den Client kann reduziert werden.
Bei allen genannten Vorteilen stellt SPDY aber auch Anforderungen. Die wichtigste Anforderung ist, dass SPDY nur für verschlüsselte Übertragungen funktioniert. SPDY setzt die TLS-Erweiterung Next Protocol Negotiation (NPN) voraus, so dass sowohl Browser als auch Server unter HTTPS laufen müssen. Der Hauptgrund für diese Anforderung ist, dass bei einer Übertragung zwischen Client und Server viele Knoten im Netz durchlaufen werden. Bei einer unverschlüsselten Verbindung per HTTP müssten diese alle SPDY-fähig sein. Bei der Verwendung von HTTPS (TLS) wird dagegen ein so genanntes Tunneling eingesetzt, so dass die Übertragung für die zwischengelagerten Knoten transparent ist.SPDY wird derzeit unter anderem von den Browsern Chome, Firefox ab Version 11 und Opera ab der Version 12.1 unterstützt, soll aber in nächster Zeit zugunsten des HTTP/2-Protokolls abgelöst werden. Die Funktionsweise von SPDY und HTTP/2 zeigt das folgende Video sehr anschaulich:
HTTP/2
Inzwischen wurde auch der offizielle Nachfolger des HTTP/1.1-Protokolls veröffentlicht. Auch HTTP/2 sieht die Komprimierung der Header und die Möglichkeit zum Übertragen mehrerer Dokumente in einer TCP-Verbindung vor. Dabei soll HTTP/2 kompatibel zum bestehenden HTTP/1.1-Standard sein. Im Gegensatz zu SPDY ist eine Übertragung per HTTP/2 auch ohne Verschlüsselung möglich, allerdings setzen beispielsweise die Browser Chrome und Firefox eine Verschlüsselung voraus. Zur Verschlüsselung muss mindestens TLS 1.2 eingesetzt werden.
Der wahre Grund für HTTPS
Mit wachsenden Datenmengen steigen die Anforderungen an die Datenübertragung. Bestehende Standards wie HTTP/1.1 werden diesen Ansprüchen immer weniger gerecht und bieten viele Ansatzmöglichkeiten zur Optimierung. Sowohl SPDY als auch HTTP/2 setzen auf die Komprimierung der Header und die Übertragung von mehreren Dokumenten per TCP-Verbindung. Zwar ist bei HTTP/2 grundsätzlich auch eine unverschlüsselte Verbindung möglich, doch ist diese durch den Zwang zur Verschlüsselung, wie sie bei Chrome oder Firefox besteht, faktisch ausgeschlossen.
Es zeigt sich, dass über kurz oder lang alle Webseiten per HTTPS aufrufbar sein müssen, um den neuen Übertragungsstandards gerecht zu werden und die Optimierungsvorteile der neuen Protokolle nutzen zu können. Hier dürfte auch die Hauptmotivation Googles liegen. Die mit der Umstellung einhergehende, erhöhte Sicherheit der Datenübertragung stellt lediglich einen Nebennutzen dar.
