@ArtemDenezhny https://tools.ietf.org/html/rfc2818 HTTP over TLS.

ну и, можно ли шифровать траффик в http 1.1 - можно, можно ли зашифровать  весь траффик в http 1.1 - ответ нельзя, потому что это не входит в спецификацию

при использовании http/2 - шифруется весь траффик

@ArtemDenezhny Не входит в спецификацию - звучит как - не написано на бумаге. Вопрос, как оно на самом деле сейчас работает? Я открываю странницу по https:// - первое, что делает клиент устанавливает SSL/TLS соединение. И соответственно шифруется весь траффик.

Значит ответ: можно, потому что можно сделать так, чтобы оно так работало.

А не нельзя, потому что там что-то входит в спецификацию.

HTTP over TLS - вообще отдельно.

тут обычная логика

http 1.1 допускает одновременно устанавливать защищенные и не защищенные соединения при включенном шифровании

в http/2 нельзя установить незащищенное соединение при включенном шифровании

кстати некоторые браузеры, Mozilla точно,  предупреждают на https сайтах, если будет установленно соединение без шифрования

эх все-равно никуда не деться от Nginx, а как бороться с DDoS-ами на Cowboy ((

@ArtemDenezhny Но можно устанавливать всегда защищённые соединения и с http 1.1. Т.е. опять же возвращаясь к тому, о чём я говорил с самого начала и продолжаю. Нет ничего в http 2/0 что можно сделать с http 1.1 для безопасности и шифрования. Да, можно устанавливать незащищённые соединения, а можно и не устанавливать и тогда не будет разницы.

@ArtemDenezhny "эх все-равно никуда не деться от Nginx" - о чём я тоже говорил вначале дискуссии, те кто использовали nginx будут продолжать использовать по другим причинам, к примеру, там куча плагинов(под cowboy самому нужно писать). plug в Эликсире тоже позволяет легко модифицировать обработку http запросов и в принципе уже есть варианты защиты от ddos для плага: https://github.com/michalmuskala/plug_attack .

тут ответ риторический, если бы ПДД давали возможность автомобилистам ездить как по левой стороне, так и по правой на выбор и правила с четко установленной стороной движения, в каком случае аварий было бы больше

опять же, этот выбор - это уже не поле влияния http 1.1

вот читаю релиз Cowboy 2.0

основная фича - http/2, все остальное как бы из этого вытекает + небольшие доработки

https://ninenines.eu/articles/cowboy-2.0.0/

Да что за бред то про http1 и шифрование?!

Нельз плейнтекстом подключиться к https порту

а openssl s_client?

@maxlapshin,  а что значит "подключиться"?

@maxlapshin Я понял его так, что можно из сайта, загруженного по https делать запросы на другой http порт(там из яваскрпта), что он это имеет ввиду. Я пытаюсь, но могу понять как http/2 здесь помогает этого избежать. Или может он имеет ввиду инициативу браузеров не разрешать http/2 без TLS использовать, а http можно. Типа браузеры имплементируя http/2 только овер TLS, а http 1 до сих пор браузеры позволяют использовать без TLS.

тут нужно немного вспомнить историю развития http как стандарта

были в начале два направления, корпоративное и для народа

корпоративное - это Oracle, ASP.net ипрочие. И открытый стандарт это наше горячё любимый http с открытой спецификацией

и тут ребята из народа говорят, блин, нам тоже нужно шифрование, у нас есть секреты и запилили htpps

по сути https - это возможность создавать в обычной http сессии шифрованные соединения для передачи своих супер-пупер важных данных

то есть нам https говорит о том, что среди обычных соединений в нашей сессии у нас могут существовать и защищенные

а вот http/2 - уже подобен корпоративному стандарту где шифруется все, даже смайлики)