Wer ganz genau auf meinen Webserver schaut, wird vielleicht bemerkt haben, dass ich jegliche Komprimierung ausgeschaltet habe. Der Grund dafür ist die Nutzung von SSL für SPDY und das hier: http://arstechnica.com/security/2012/09/crime-hijacks-https-sessions/ sowie das hier: https://community.qualys.com/blogs/securitylabs/2012/09/14/crime-information-leakage-attack-against-ssltls
SSL mit Komprimierung birgt das Risiko, daß Angreifer die übertragenen Daten deutlich einfacher entschlüsseln können. Die derzeit einzig zuverlässige Abhilfe ist, jegliche Komprimierung zu vermeiden.
Nur um es klarzustellen: SPDY baut zwar auf SSL auf – aber das Problem ist SSL und die Reduzierung der übertragenen Daten durch Komprimierung. Ohne Komprimierung ist SSL wie auch SPDY gefahrlos nutzbar.
Update 2012-10-31: Das Komprimieren der Inhalte ist nicht so problematisch, da die für Angreifer interessanten Daten, wie Session-Cookies, im Header übertragen werden, der auch bei aktiver Komprimierung der Inhalte nicht komprimiert wird. Ggf. ist sicherzustellen, dass die Konfiguration für mod_ssl in Apache mit der Option SSLCompression off versehen ist. Daher habe ich mich entschlossen, die Komprimierung von Inhalten wieder zu aktivieren und lediglich sicherzustellen, dass die SSL-Komprimierung abgeschaltet ist (siehe auch den Test dazu auf https://www.ssllabs.com/ssltest/analyze.html?d=arnowelzel.de).
