Internet Engineering Task Force
IETF หน่วยงานออกมาตรฐานอินเทอร์เน็ตกลายเป็นองค์กรที่มีอิทธิพลสูงขึ้นเรื่อยๆ ในช่วงหลัง จากการออกมาตรฐานสำคัญ เช่น HTTP 2.0 หลายมาตรฐานเกี่ยวข้องกับความปลอดภัยของผู้ใช้จำนวนมาก ต้นทุนของผู้ให้บริการอินเทอร์เน็ต และผลประโยชน์ของบริษัทเอกชนและรัฐบาลทั่วโลก หากใครได้ตามข่าวการออกมาตรฐานแต่ละครั้ง การถกเถียงใน mailing list ของ IETF จะยาวนับร้อยนับพันข้อความ และหลายครั้งที่ประธานกลุ่มทำงานระบุว่าน่าจะได้ข้อสรุปก็จะมีข้อถกเถียงกันต่อไปเรื่อยๆ อีกพักใหญ่โดย IETF ไม่ได้ยึดเสียงโหวตเพื่อหาข้อสรุปให้มาตรฐาน ทำให้น่าสงสัยว่าสุดท้ายแล้วมาตรฐานต่างๆ นั้นออกมาได้อย่างไร ตอนนี้ก็มีเอกสาร
มาตรฐาน TLS 1.3 มีข้อเสนอที่ได้รับเสียงสนับสนุนในการประชุมครั้งที่ผ่านมา (IETF 89) ว่าจะเริ่มถอดกระบวนการเข้ารหัสที่ไม่รับประกันความเป็นความลับในอนาคต (forward secrecy) ออกจากมาตรฐาน ได้แก่การแลกกุญแจลับแบบ RSA
Vidya Narayanan วิศกรของกูเกิลที่ทำงานร่วมกับกลุ่ม IETF ตั้งแต่ปี 2003 ถึงปี 2010 เธอเคยถูกเสนอชื่อเข้าเป็น Internet Architecture Board (IAB) แต่เธอปฎิเสธตำแหน่งและลาออกจาก IETF หลังจากนั้นไม่นาน ตอนนี้เธอมาเขียนบทความอธิบายสาเหตุที่เธอลาออกจาก IETF ลงใน GigaOM
เธอระบุว่ากระบวนการพัฒนามาตรฐานไม่ได้เร็วขึ้นเลยในช่วงหลายปีที่ผ่านมา ขณะที่กระบวนการนำซอฟต์แวร์ไปใช้จริงนั้นเร็วขึ้นอย่างมาก กระบวนการพัฒนามาตรฐานกลับกลายเป็นสนามประลองกำลังระหว่างกลุ่มผลประโยชน์ที่มีวาระของตัวเองมากมาย
ทีมวิศวกรจาก AT&T ส่งร่างมาตรฐาน "Explicit Trusted Proxy in HTTP/2.0" เปิดทางให้ผู้ให้บริการอินเทอร์เน็ตสามารถดักฟังข้อมูลได้ทังหมดแม้จะเป็นข้อมูลเข้ารหัส HTTPS ก็ตาม
AT&T เป็นผู้ให้บริการอินเทอร์เน็ตรายใหญ่ในสหรัฐฯ เหตุผลการขอสิทธิ์เข้าถึงข้อมูลที่เข้ารหัสไว้ ก็เพื่อทำให้ผู้ให้บริการอินเทอร์เน็ตสามารถแคชข้อมูลไว้ในพรอกซี่ได้ เพื่อลดปริมาณข้อมูลที่ต้องส่งเข้าออกผ่านอัพลิงก์ที่มีราคาแพง
ร่างมาตรฐานระบุให้พรอกซี่ต้องขออนุญาตผู้ใช้เพื่อถอดรหัสอย่างเป็นทางการ
Mark Nottingham ประธานกลุ่มพัฒนามาตรฐาน HTTP/2 ของ IETF เขียนบล็อกระบุว่ามาตรฐาน HTTP/2 นั้นใกล้จะสมบูรณ์แล้ว เขาจึงมาตอบคำถามว่าหลังจากมี HTTP/2 แล้วจะมีอะไรเกิดขึ้นบ้าง
หลังจากงาน IETF-88 การโต้เถียงประเด็นความปลอดภัยของ HTTP 2.0 ยังคงไม่ได้ข้อสรุป โดยมีแนวทางสำคัญ การเข้ารหัสเท่าที่เป็นไปได้ และการบังคับเข้ารหัสเต็มรูปแบบ
กระบวนการเข้ารหัสเท่าที่เป็นไปได้ (opportunistic encryption) คือการเปิดให้เบราว์เซอร์พยายามเข้ารหัสก่อนเสมอ แม้จะไม่มีใบรับรองดิจิตอลเต็มรูปแบบก็ตาม เบราว์เซอร์ก็ยังยอมรับการเข้ารหัสกับเซิร์ฟเวอร์เหล่านี้ แต่จะแสดงผลกับผู้ใช้ว่ากำลังใช้งานเป็น HTTP และไม่แจ้งผู้ใช้ว่ากำลังเข้ารหัสอยู่
IETF เตรียมการประชุมเพื่อพิจารณามาตรฐาน HTTP 2.0 ถึงคราวเปลี่ยนแปลงอีกครั้ง เมื่อข่าว NSA จำนวนมากสร้างความวิตกไปทั่วโลก จากเดิมมาตรฐาน HTTP 2.0 เคยตกลงกันในประเด็นการเข้ารหัสเมื่อการประชุม IETF-83 ช่วงมีนาคมปี 2012 ว่าจะไม่มีการบังคับให้เข้ารหัส แต่ในการประชุม IETF-88 สัปดาห์หน้า ประเด็นนี้จะถูกยกขึ้นมาถกกันอีกครั้ง
นอกจากมาตรฐาน HTTP ที่น่าจะมีผลต่อคนทั่วไปเป็นวงกว้างแล้ว มาตรฐานอื่นๆ ในอินเทอร์เน็ตกำลังถูกยกขึ้นมาว่าควรมีการเข้ารหัสเพิ่มเติมหรือไม่ เช่น มาตรฐาน RTCWeb สำหรับการเชื่อมต่อผ่านเบราว์เซอร์
มาตรฐาน HTTP 2.0 กำลังพัฒนาร่วมกันหลายหน่วยงาน ที่สำคัญคือมีทั้งไมโครซอฟท์และกูเกิล ตอนนี้มาถึงดราฟท์ที่ 04 (เริ่มจากดราฟท์ที่ 00) โดยความเปลี่ยนแปลงสำคัญในรุ่นนี้คือการรองรับโปรโตคอลแบบไบนารี คาดว่าจะเริ่มทดสอบความเข้ากันได้ของโปรโตคอลภายในเดือนสิงหาคมนี้ และน่าจะประกาศมาตรฐานได้จริงภายในปีหน้า
ฟีเจอร์อื่นๆ ที่เพิ่มเข้ามาใน HTTP 2.0 คือ การมัลติเพล็กซ์การเชื่อมต่อทำให้การร้องขอข้อมูลหลายๆ ชุดสามารถรวมเข้าไว้ในการเชื่อมต่อ TCP เดียวกันได้ และยังสามารถจัดสำดับความสำคัญของการเชื่อมต่อแต่ละชุดได้
เทคโนโลยี VP8 เป็นกระบวนการบีบอัดวิดีโอที่กูเกิลไปซื้อมาจากบริษัท On2 โดยเป็นการซื้อทั้งบริษัท และพยายามทำให้เป็นฟอร์แมตมาตรฐานสำหรับอินเทอร์เน็ต (เสนอเป็น RFC6386) และตอนนี้โนเกียก็ยื่นเรื่องต่อ IETF ระบุว่าตัวเองเป็นเจ้าของสิทธิบัตรทั้งสิ้น 64 รายการ และคำขอรับสิทธิบัตรอีก 22 รายการที่คาบเกี่ยวกับ VP8
ต่อเนื่องจากข่าวเก่าเรื่องการตั้งคณะทำงานขึ้นมาร่างมาตรฐาน HTTP/2.0 ตอนนี้คณะทำงานที่ว่านี้เป็นรูปเป็นร่างขึ้นมาแล้วครับ เมื่อทาง IESG ที่เป็นหน่วยงานย่อยใน IETF หรือ Internet Engineering Task Force ที่เป็นหน่วยงานออกแบบร่างและรับรองมาตรฐานทางอินเทอร์เน็ตได้ให้อนุญาตให้มีคณะทำงานร่างมาตรฐาน HTTP/2.0 อย่างเป็นทางการแล้วครับ
มาตรฐาน OAuth ที่ได้รับความนิยมอย่างมากในตอนนี้และกำลังร่าง OAuth 2.0 อาจจะมีปัญหาใหม่ เมื่อ Eran Hammer หนึ่งในผู้เขียน OAuth เวอร์ชั่นแรกและมีส่วนร่วมในการร่างมาตรฐานใหม่มาตลอดสามปีประกาศลาออก และถอนชื่อออกจากมาตรฐาน
เขาระบุว่า OAuth 2.0 เป็นสิ่งที่น่าผิดหวังที่สุดในชีวิตการทำงานของเขา, มันเป็นมาตรฐานที่แย่, WS-* เป็นสิ่งที่แย่ ความแย่นี้อยู่ในระดับที่เขาไม่อยากให้ชื่อของเขาไปเกี่ยวข้องกับมันอีกต่อไป
WS-*
มาตรฐาน HTTP Strict Transport Security (HSTS) เป็นส่วนเสริมของ HTTP/HTTPS ที่เปิดให้เว็บ "บังคับ" ให้เบราว์เซอร์เชื่อมต่อกับเว็บแบบเข้ารหัสเสมอ แม้ผู้ใช้จะไม่ระบุว่าต้องการใช้ HTTPS ก็ตามที กระบวนการนี้ทำให้ไม่มีการเชื่อมต่อแบบ HTTP ที่ดักฟังได้เลย ช่วยลดความเสี่ยงของผู้ใช้ลง
ที่ผ่านมามาตรฐานนี้ยังอยู่ในช่วงรับฟังความคิดเห็น แม้ว่ากูเกิลจะนำไปใช้งานในโครมอยู่นานแล้วก็ตาม โดยการโจมตีผ่านใบรับรองของ DigiNotar รอบล่าสุดเว็บจำนวนมากของกูเกิลก็รอดมาได้เพราะ HSTS
มีข่าวลือมานานว่าจีนนั้นต้องการจะแยก root DNS ออกเป็นของตัวเอง เพราะทุกวันนี้ระบบ DNS ทั้งโลกนั้นถูกควบคุมโดน ICANN และเมื่อสัปดาห์ที่แล้ว ข้อเสนอนี้ก็ยื่นเข้าไปยัง IETF แล้วจริงๆ
ข้อเสนอ Autonomous Internet(AIP) เป็นข้อเสนอจากวิทยาลัยการค้ากวางตุ้ง, ไชน่าโมบาย, และไชน่าเทเลคอม เสนอให้ขยายโปรโตคอล DNS ให้รองรับ "พื้นที่ดูแลตัวเอง" ของอินเทอร์เน็ต ทำให้แต่ละโซนนั้นควบคุมตัวเองได้อย่างสมบูรณ์
ภายในข้อเสนอ แสดงเจตจำนงชัดเจนว่าเพื่อให้แต่ละส่วนของอินเทอร์เน็ตสามารถลดการพึ่งพิงโดเมนต่างชาติได้ โดนเมื่อต้องเข้าถึงโดเมนต่างชาติ จะต้องขอข้อมูล DNS ผ่านทาง AIP DNS gateway เสียก่อน
เรื่องราวแปลกประหลาดบางทีก็เกิดขึ้นได้ในโลกไอทีเมื่อทีม IETF หรือ Internet Engineering Task Force (ที่ไมโครซอฟท์เพิ่งส่งมาตรฐาน HTTP 2.0 ให้พิจารณา) ได้ไปประชุมกันที่โรงแรม Concorde Lafayette ในปารีส และพบว่าอินเทอร์เน็ตใช้งานแทบไม่ได้ แพ็กเก็ตสูญหายไปถึง 30% และเวลา latency ของเครือข่ายนั้นสูงถึง 5-6 วินาที
เหตุผลของเรื่องนี้คือผู้เข้าประชุมกับ IETF นั้นล้วนใช้อินเทอร์เน็ตกันทุกคน พอคนใช้มากๆ เข้าช่องความถี่วิทยุของ Wi-Fi ก็เต็มจนใช้งานไม่ได้
แต่ในเมื่อวิศวกรที่ออกแบบอินเทอร์เน็ตมารวมกันจนเต็มโรงแรม จะมีอะไรต้องกลัวอีก?
IETF เริ่มเปิดกลุ่มทำงานเพื่อสร้างมาตรฐาน HTTP 2.0 หน่วยงานต่างๆ ที่มีผลประโยชน์ในเทคโนโลยีก็ต้องเร่งสร้างโปรโตคอลออกมาเสนอกัน โดยก่อนหน้านี้กูเกิลเสนอโปรโตคอล SPDY ของตัวเองที่ใช้งานใน Chrome มาก่อนเพื่อเข้าเป็นมาตรฐานกลางแล้ว มาวันนี้ฝั่งไมโครซอฟท์ก็ประกาศว่าจะเสนอโปรโตคอลของตัวเองเข้าเป็นมาตรฐานเช่นกัน โดยใช้ชื่อว่า HTTP Speed+Mobility
ตัวโปรโตคอลยังไม่มีให้อ่าน แต่ไมโครซอฟท์ระบุว่าโปรโตคอลยุคใหม่ควรคิดถึงความเร็วและการใช้งานผ่านแอพพลิเคชั่นอื่นที่ไม่ใช่เว็บ นอกจากนั้นยังควรคำนึงถึงการใช้งานผ่านอุปกรณ์เคลื่อนที่ที่ต้องระวังถึงพลังงานและค่าแบนวิดท์
on
on