A compressão TLS torna os browsers vulneráveis aos ataques CRIME (Compression Ratio Info-leak Made Easy)
O ataque CRIME permite o roubo de sessão de usuário pelo atacante.
A compressão pode ser desabilitada no cliente ou no servidor.
Uma variação do ataque CRIME explora a compressão do próprio HTTP, chamado BREACH
Fonte: https://acunetix.com/vulnerabilities/web/crime-ssl-tls-attack
http://security.stackexchange.com/questions/20216/should-i-disable-ssl-compression-because-of-crime
Existem uma série de regras a serem cumpridas na utilização do HTTP em sua versão 2 com o TLS. Caso estes pontos não sejam cumpridos, a conexão simplesmente não fecha uma vez que não há critérios de segurança estabelecidos.
De fato, desabilitar a compressão do TLS é um aspecto obrigatório e não simplesmente recomendado, dando a entender a possibilidade de implementação sem esse protocolo. Conforme temos no link a seguir, na seção 9.2.1: https://http2.github.io/http2-spec/#TLSUsage
Desse modo, entendo que este item caiba recurso sob a justificativa acima. Percebam o trecho:
“A deployment of HTTP/2 over TLS 1.2 MUST disable compression. TLS compression can lead to the exposure of information that would not otherwise be revealed [RFC3749]. Generic compression is unnecessary since HTTP/2 provides compression features that are more aware of context and therefore likely to be more appropriate for use for performance, security, or other reasons.”
Portanto, fica o comentário para apreço por parte de vocês.
http://www.estrategiaconcursos.com.br/blog/tjdft-2015-prova-comentada-de-tecnologia-da-informacao-ti-cargo-4-analista-judiciario-suporte-em-ti/