HTTP/3演变为RFC 9114具有安全优势,但并非没有挑战

分析HTTP/3 协议已获得RFC 9114标准化 - 对互联网安全性的提升,但对Web开发人员来说并非没有障碍。本周互联网工程任务组(IETF)发布了HTTP/3,发布为RFC 9114。HTTP协议是网络的支柱。超文本传输​​协议(HTTP)充当应用层,用于促进服务器和浏览器之间的通信、获取资源和传输数据。HTTPS是通过加密具有额外安全性的HTTP。

HTTP/3是HTTP协议的最新版本,取代了2015年的HTTP/2。HTTP/3旨在解决HTTP/2中固有的一些性能问题,改善用户体验,减少丢包的影响而无需线头阻塞,加快握手要求,并默认启用加密。

该协议利用用户数据报协议(UDP)上的空间拥塞控制。

HTTP/3的主要区别之一是QUIC。由Google开发的Quick UDP Internet Connections (QUIC)被IETF采用,量身定制的版本提供了HTTP/3的基石。

正如Cloudflare所指出的,实施QUIC默认情况下会在传输层设置加密连接,将握手组合成一个动作并加密连接之间交换的元数据。

因此,从窃听者和攻击者那里删除了数据包号和报头信息。这种改进可能会降低中间操纵者(MitM)攻击、IP欺骗和拒绝服务攻击的成功率。

“此功能未包含在HTTP/2中,”Cloudflare指出。“加密这些数据有助于防止攻击者掌握有关用户行为的可操作信息。”

传输层的加密并不是故事的结局。Akamai表示,由于HTTP/3在QUIC上运行,这也为加密传输和通信的未来创新铺平了道路——正如我们已经看到的QUIC数据报扩展(RFC 9221),一种管理UDP和TCP流量的技术安全地。

此外,该协议支持在TLS 1.3中引入的零往返时间(0-RTT),它跳过了受信任设置中的握手要求——但缺点是这可能会导致没有足够保护的重放攻击。

Cloudflare产品总监Rustam Lalkaka之前告诉我们,虽然HTTP/3具有一系列安全性和性能优势,但启用QUIC对开发人员来说可能是一个具有挑战性的前景,因为许多广泛使用的技术尚未添加QUIC和HTTP/3支持。

一些传输提供商和ISP可能对UDP流量怀有敌意,并且在实施HTTP/3时可能还需要增加CPU使用率,这对服务器和Web浏览器都不利。

对HTTP/3的支持已逐渐在包括Google Chrome、Mozilla Firefox和Microsoft Edge在内的主要浏览器中推出。Apple Safari也提供支持,但在撰写本文时,必须在开发人员菜单的“实验功能”选项卡中启用此功能。

Cloudflare扫描显示,大部分在线流量都是由HTTP/2促成的。当前大多数HTTP/3请求是由Chrome用户发出的,其次是Edge和Firefox。Safari的体积很小,但Cloudflare预计一旦Apple默认启用HTTP/3支持,体积就会增加。

Cloudflare Radar估计8%的互联网流量基于HTTP/1,其次是HTTP/2,占67%,HTTP/3占25%。

发表评论

评论已关闭。

相关文章