Caddy-Webserver 0.10 erkennt Men in the Middle

Ab sofort steht Version 0.10 des Webservers Caddy zum Download bereit. Neben den üblichen Bugfixes enthält Caddy 0.10 auch einige neue Features, etwa die Erkennung eines Man in the Middle bei TLS-Verbindungen. Die Implementation folgt dem wissenschaftlichen Paper "The Security Impact of HTTPS Interception" und kann mit einer gewissen Wahrscheinlichkeit feststellen, dass sich ein Mittelsmann in eine mutmaßlich gesicherte Verbindung eingeschaltet hat.

Umgesetzt wurde in Caddy 0.10 auch die Server-Push-Methode des HTTP/2-Protokolls. Damit kann der Webserver von sich aus nach einem HTTP-Request die Übertragung weiterer Ressourcen an den Client initiieren. Dazu untersucht Caddy die Link-Header, die von einem Backend stammen können, das weiß, welche Ressourcen noch gebraucht werden. Alternativ dazu kann der Anwender die Push-Ressourcen auch in der Caddy-Konfiguration angeben. Im Gegensatz etwa zum H2O-Webserver berücksichtigt Caddy dabei keine Caching-Strategien des Clients.

Auch die TLS-Implementation von Caddy wurde aktualisiert, unter anderem dadurch, dass die für Caddy verwendete Programmiersprache Go in der neuen Version Algorithmen wie Curve X25519 und ChaCha20-Poly1305 unterstützt.