Seguridad HTTP/2
¿Qué es Seguridad HTTP/2?
Seguridad HTTP/2El modelo de seguridad de HTTP/2 (RFC 9113) sobre TLS 1.2+ y los problemas operativos de HPACK, multiplexacion, tramas CONTINUATION y el ataque Rapid Reset de 2023.
HTTP/2 (RFC 9113, que deroga al RFC 7540) multiplexa muchas peticiones simultaneas en una sola conexion TLS, usando HPACK (RFC 7541) para comprimir cabeceras y un marco binario. En la practica, todo el trafico HTTP/2 de navegadores se ejecuta sobre TLS 1.2 o 1.3 con las restricciones de cifrado obligatorias del apartado 9.2 del RFC 9113. Las implementaciones deben mitigar abusos conocidos: HPACK Bomb (amplificacion de memoria), inundacion de CONTINUATION (CVE-2024-27316), HTTP request smuggling en la frontera H2 a H1 y el ataque Rapid Reset (CVE-2023-44487, divulgado en octubre de 2023) que abria y cancelaba streams para saturar la CPU del servidor con DDoS record. El endurecimiento del servidor incluye cuotas de streams y tramas, limites de RST_STREAM e implementaciones actualizadas.
● Ejemplos
- 01
CVE-2023-44487 (Rapid Reset): atacantes abriendo y cancelando streams HTTP/2 alcanzando picos de DDoS de ~398 millones de peticiones por segundo.
- 02
CVE-2024-27316: nginx y otros agotan memoria al aceptar secuencias HEADERS+CONTINUATION sin limites.
● Preguntas frecuentes
¿Qué es Seguridad HTTP/2?
El modelo de seguridad de HTTP/2 (RFC 9113) sobre TLS 1.2+ y los problemas operativos de HPACK, multiplexacion, tramas CONTINUATION y el ataque Rapid Reset de 2023. Pertenece a la categoría de Seguridad de red en ciberseguridad.
¿Qué significa Seguridad HTTP/2?
El modelo de seguridad de HTTP/2 (RFC 9113) sobre TLS 1.2+ y los problemas operativos de HPACK, multiplexacion, tramas CONTINUATION y el ataque Rapid Reset de 2023.
¿Cómo funciona Seguridad HTTP/2?
HTTP/2 (RFC 9113, que deroga al RFC 7540) multiplexa muchas peticiones simultaneas en una sola conexion TLS, usando HPACK (RFC 7541) para comprimir cabeceras y un marco binario. En la practica, todo el trafico HTTP/2 de navegadores se ejecuta sobre TLS 1.2 o 1.3 con las restricciones de cifrado obligatorias del apartado 9.2 del RFC 9113. Las implementaciones deben mitigar abusos conocidos: HPACK Bomb (amplificacion de memoria), inundacion de CONTINUATION (CVE-2024-27316), HTTP request smuggling en la frontera H2 a H1 y el ataque Rapid Reset (CVE-2023-44487, divulgado en octubre de 2023) que abria y cancelaba streams para saturar la CPU del servidor con DDoS record. El endurecimiento del servidor incluye cuotas de streams y tramas, limites de RST_STREAM e implementaciones actualizadas.
¿Cómo defenderse de Seguridad HTTP/2?
Las defensas contra Seguridad HTTP/2 combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Seguridad HTTP/2?
Nombres alternativos comunes: RFC 9113, h2.
● Términos relacionados
- network-security№ 499
HTTP/3 / QUIC
HTTP/3 (RFC 9114) es la asignacion de HTTP sobre QUIC (RFC 9000), un transporte cifrado basado en UDP que integra TLS 1.3 y multiplexa streams sin bloqueo en cabeza de linea.
- vulnerabilities№ 494
HTTP Request Smuggling
Ataque que aprovecha discrepancias entre un proxy front-end y un servidor back-end sobre dónde termina una petición HTTP, para colar una segunda petición oculta.
- network-security№ 1227
Cortafuegos de aplicaciones web (WAF)
Proxy inverso que inspecciona tráfico HTTP/HTTPS para bloquear ataques web como inyección SQL, XSS o abuso de bots antes de llegar a la aplicación.