ที่งาน Internet Governance Forum เมื่อเช้านี้ ผมได้มีโอกาสพบกับ Jari Arkko ประธานคณะทำงานวิศวกรรมอินเทอร์เน็ต (รู้จักกันในนาม IETF หรือ Internet Engineering Task Force) เลยได้มีโอกาสสัมภาษณ์สั้นๆ เกี่ยวกับเรื่องของมาตรฐาน HTTP 2.0 ครับ Jari Arkko ปัจจุบันทำงานอยู่ที่ Ericsson โดยอยู่ในสายงายวิจัยของบริษัท และเคยเป็นประธานคณะกรรมการดำเนินงานผลักดันด้านวิศวกรรมอินเทอร์เน็ต (Internet Engineering Steering Group: IESG) โดยเขารับหน้าที่เป็นประธาน IETF เมื่อเดือนมีนาคมปีที่แล้ว (อ่านประวัติโดยย่อได้ที่นี่) นโยบายการเข้ารหัสที่เริ่มใช้เป็นมาตรฐานกับ HTTP 2.0 จะขยายออกไปยังมาตรฐานตัวอื่นๆ หรือไม่ครับ? สิ่งที่เราทำคือความพยายามที่จะทำให้อินเทอร์เน็ตมีความปลอดภัยและได้รับการปกป้อง แต่การปรับปรุงความปลอดภัยของอินเทอร์เน็ตไม่ใช่งานเพียงด้านเดียวที่เราทำ ตัวอย่างเช่น ในกรณีของ HTTP 2.0 ที่กำลังอยู่ระหว่างการหารือนั้น ก็มีการถกเถียงจำนวนมากว่าเราจะทำอย่างไร รวมถึงบทบาทของ proxy และการที่เราจะทำอย่างไรในการรวมระบบต่างๆ จากผู้มีส่วนร่วมเข้าด้วยกัน ดังนั้นในข้อกำหนดของมาตรฐานปัจจุบันไม่ได้ระบุว่าคุณต้องทำการเข้ารหัสเป็นค่าเริ่มต้น กล่าวคือ มันก็ยังทำงานเป็น HTTP แบบเดิม เพียงแต่มันทำให้ง่ายขึ้นที่จะทำให้มันปลอดภัยมากขึ้น คือในปัจจุบัน ไม่ว่าจะ HTTP หรือ HTTPS เอง คุณก็สามารถใช้ TLS ในการทำให้มันปลอดภัยมากขึ้น แต่มันไม่จำเป็นที่จะเป็นค่าเริ่มต้นในการที่จะบังคับใช้ใช้สำหรับความปลอดภัยตั้งแต่แรก คำถามต่อมาคือ ผู้ให้บริการอินเทอร์เน็ต (ISP) เสนอว่า พวกเขาต้องการทำ cache สำหรับข้อมูลอินเทอร์เน็ต จะรักษาความสมดุลนี้ได้อย่างไร นั่นเป็นสิ่งที่เรากำลังถกเถียงกันอยู่ การพูดคุยยังคงมีอยู่ต่อไป ตอนนี้มาตรฐาน HTTP 2.0 ยังอยู่ระหว่างการทำงานของคณะทำงาน (working group) ผมเองก็หวังว่าจะสามารถออกมาได้ทันภายในสิ้นปีนี้ เราเองก็หวังว่าจะหาทางออกในเรื่องนี้ได้เช่นกัน ทาง ISP เอง ก็กังวลกับประเด็นของการเข้ารหัสอยู่เหมือนกัน เนื่องจากเขาอ้างว่าการเข้ารหัสจะทำให้เขาไม่สามารถ cache ข้อมูลอะไรไว้ได้เลย เป็นอย่างนั้นจริงหรือเปล่าครับ เพราะเวลาเราพิจารณาข้อกังวลของ ISP ก็ถือว่ามีน้ำหนักอยู่พอสมควร ผมคิดว่านั่นเป็นสิ่งที่สวยงามมากกว่าในการทำงานแบบนี้ เพราะเราต้องมีหลายฝ่ายเข้ามาร่วมในการเข้ามามีส่วนร่วม ดังนั้นจึงเป็นไปไม่ได้ที่เราจะทำอะไรบางอย่างเฉพาะกับคนทำเว็บเบราเซอร์อย่างเดียว แต่ต้องคำนึงถึงผู้ให้บริการอินเทอร์เน็ตด้วย เรามีคนจำนวนมากใน IETF ที่รู้ว่าความแตกต่างในแต่ละส่วนเป็นอย่างไรบ้าง ดังนั้นเราถึงมีการพูดคุยและถกเถียงกัน แต่แน่นอนว่ามันไม่ใช่เรื่องแบบขาว-ดำ อย่างแน่นอน สิ่งสำคัญคือทำให้ระบบอินเทอร์เน็ตที่สำคัญสามารถทำงานได้ แต่ในเวลาเดียวกันเราก็ต้องทำให้มันปลอดภัยด้วยเช่นเดียวกัน ซึ่งมันเป็นเรื่องสำคัญที่จะต้องปกป้องความเป็นส่วนตัวของผู้ใช้ ตลอดจนถึงธุรกรรมสำคัญต่างๆ เช่น ธนาคาร การซื้อขาย หรือแม้กระทั่งอีเมลที่ปัจจุบันก็เชื่อมต่อในรูปแบบที่เป็นการรักษาความปลอดภัยจากปลายทางสู่ปลายทาง (end-to-end security) ซึ่งถึงแม้ว่าเราจะไม่เปลี่ยนแปลงมาตรฐานอะไรเลย แต่แนวโน้มในอุตสาหกรรมก็ให้ความสนใจในเว็บที่มีความปลอดภัยลักษณะนี้มากขึ้น ตัวอย่างเช่นการใช้ HTTPS ก็เริ่มมากขึ้นเรื่อยๆ พวกเราที่ IETF ยังไม่ตัดสินใจว่าเราจะใช้อะไร นอกเหนือไปจากการพิจารณาในวิธีการทางเทคนิค เราสร้างเครื่องมือให้มากขึ้น และเรายังคงมุ่งมั่นพัฒนา HTTPS, HTTP,TLS ต่อไป โดยทำให้มันเร็วขึ้นในการใช้งาน และปลอดภัยมากขึ้น แต่เราก็พยายามจะรักษาสมดุลความแตกต่างของแต่ละฝ่ายเอาไว้ให้ได้ IGF2014, Internet, IETF, Interview