Поддержка от крупных компаний, производительность и новые угрозы — что происходит с HTTP/3

21 июня 2023
Технологии
Поддержка от крупных компаний, производительность и новые угрозы — что происходит с HTTP/3
В прошлом году IETF опубликовал RFC для HTTP/3 — сетевого протокола нового поколения. На практике компании начали внедрять его поддержку ещё несколько лет назад. Посмотрим, каких результатов им удалось добиться, и оказался ли протокол более эффективным.

Пара цифр

В 2013 году одна из крупнейших ИТ-корпораций мира представила экспериментальный сетевой протокол QUIC на базе UDP. Его поддержку начали добавлять разработчики браузеров, облачные провайдеры и другие поставщики сетевых услуг. Позже он лег в основу протокола HTTP/3. В июне 2022 года IETF опубликовала соответствующую RFC.

Сейчас примерно 26% сайтов в интернете поддерживают HTTP/3. Но это значение практически не изменилось с прошлого года. Большинство ресурсов принадлежит крупным ИТ-компаниям, которые предлагают сервисы не его основе своим клиентам. Так, 80% трафика по HTTP/3 приходится на браузеры Chrome. Однако по популярности протокол все еще сильно уступает HTTP/2.

Производительность

Разработка HTTP/3 велась с прицелом на увеличение скорости отправки данных в сетях с потерями пакетов. Но на практике рост производительности оказался неоднозначным. Проведённое ещё в 2021 году исследование показало, что HTTP/3 увеличивает скорость пакетной передачи, если в сети наблюдаются высокие задержки. В остальных случаях показатели были сопоставимы с возможностями HTTP/2.

К похожим выводам пришли отдельные поставщики облачных сервисов, которые провели собственный анализ. Одной американской компании потребовалось ускорить работу поисковой системы. Её время отклика порой достигало 400–450 мс. Но активация HTTP/3 сократила задержку всего на 5–15 мс. Двухнедельный тест с 300 тыс. ежедневных запросов показал, что большинство пользователей не заметит изменений.

К аналогичным выводам пришли специалисты другого облачного провайдера. По их оценкам HTTP/3 позволяет сократить задержку на 15 мс при загрузке небольших веб-страниц. Но при увеличении объёма данных хотя бы до 1 МБ, протокол показывает себя на 0,03 мс медленнее HTTP/2. Реальные тесты на страницах блога компании продемонстрировали, что HTTP/3 действительно немного медленнее предыдущего поколения.

Таким образом, общая картина получается неоднозначной. Для некоторых пользователей из Азии провайдерам удалось сократить задержку на 77–200 мс. Впрочем, как отмечают резиденты Hacker News, для эффекта en masse одного HTTP/3 все равно будет недостаточно.

Безопасность и первые проблемы

HTTP/3 по умолчанию предлагает ряд заметных улучшений в плане безопасности по сравнению с предыдущим поколением. QUIC объединяет в себе большинство функций протокола TLS 3 и шифрует все соединения на транспортном уровне. HTTP/3 также использует криптографическое рукопожатие. Но к протоколу все же есть вопросы с точки зрения ИБ.

Некоторые браузеры ещё со времён HTTP/2 разрешают переиспользовать информацию о предыдущих подключениях при отправке запросов на сайт с тем же IP-адресом и действительным для обоих устройств TLS-сертификатом. Но в этом случае существует вероятность неправильной маршрутизации. Это открывает возможности для проведения атаки типа cross-site scripting (XSS). Впрочем, чтобы закрыть уязвимость, достаточно запретить прокси-серверу проводить маршрутизацию по первому запросу.

Что происходит с HTTP3

Аналитики также отмечают, что HTTP/3 позволяет хакерам анализировать трафик. Они могут оценить размер пакетов, порядок их следования, общий объём данных. Все это позволяет понять, к каким сайтам происходят запросы. Максимальная точность такой атаки будет на 73% выше у QUIC, чем при использовании HTTPS.

Пользователи критикуют HTTP/3 не только за безопасность. Некоторые системные администраторы намеренно отключат поддержку нового протокола, так как считают его слишком «сырым». Другие специалисты отмечают, что HTTP/3 заточен под корпоративную среду и слабо адаптирован под домашнее использование. Протокол не позволяет подключиться к другому устройству с самозаверяющимся сертификатом. Некоторые считают такие требования слишком высокими и неактуальными для персональных и некоммерческих сайтов.

Из других вопросов аналитики и пользователи отмечают, что UDP в основе HTTP/3 будет потреблять больше ресурсов процессора, чем TCP. Это придётся учитывать при дальнейшей настройке и выборе серверов. По сути, речь идёт об изменениях на аппаратном уровне, а также в библиотеках и ядре. Не у всех есть ресурсы и желание заниматься этими вопросами.

Мы используем файлы cookies для оптимизации функциональности сайта и улучшения качества услуг. Нажимая «Принять», вы даете согласие на работу с этими файлами. Чтобы узнать больше, пожалуйста, прочтите нашу Политику конфиденциальности.