HTTP/3 / QUIC
Что такое HTTP/3 / QUIC?
HTTP/3 / QUICHTTP/3 (RFC 9114) — отображение HTTP на QUIC (RFC 9000), UDP-транспорт со встроенным TLS 1.3 и потоковым мультиплексированием без head-of-line блокировки.
QUIC специфицирован в RFC 9000, восстановление потерь — в RFC 9002, интеграция TLS 1.3 — в RFC 9001. Это UDP-транспорт, который объединяет транспорт, шифрование и мультиплексирование потоков в один протокол. HTTP/3 (RFC 9114) переносит семантику HTTP поверх QUIC, сжатие заголовков обеспечивает QPACK (RFC 9204). По сравнению с HTTP/2 поверх TCP, QUIC предлагает быстрые 1-RTT-рукопожатия (опционально 0-RTT), шифрует почти каждый байт, включая заголовки, и устойчив к смене сети благодаря connection ID. Темы безопасности: ограничение усиления (правило 3x, RFC 9000 8.1), проверка адреса источника, антирепликейные ограничения 0-RTT, защита от понижения версии при согласовании и проблемы stateless reset на middlebox. Доля QUIC в публичном интернете уже превышает 30%.
● Примеры
- 01
Chrome подключается к сайту Cloudflare по QUIC v1 с TLS 1.3 и защитой 0-RTT от replay.
- 02
Корпоративный фаервол блокирует UDP/443, заставляя HTTPS-клиентов откатываться на HTTP/2 поверх TCP.
● Частые вопросы
Что такое HTTP/3 / QUIC?
HTTP/3 (RFC 9114) — отображение HTTP на QUIC (RFC 9000), UDP-транспорт со встроенным TLS 1.3 и потоковым мультиплексированием без head-of-line блокировки. Относится к категории Сетевая безопасность в кибербезопасности.
Что означает HTTP/3 / QUIC?
HTTP/3 (RFC 9114) — отображение HTTP на QUIC (RFC 9000), UDP-транспорт со встроенным TLS 1.3 и потоковым мультиплексированием без head-of-line блокировки.
Как работает HTTP/3 / QUIC?
QUIC специфицирован в RFC 9000, восстановление потерь — в RFC 9002, интеграция TLS 1.3 — в RFC 9001. Это UDP-транспорт, который объединяет транспорт, шифрование и мультиплексирование потоков в один протокол. HTTP/3 (RFC 9114) переносит семантику HTTP поверх QUIC, сжатие заголовков обеспечивает QPACK (RFC 9204). По сравнению с HTTP/2 поверх TCP, QUIC предлагает быстрые 1-RTT-рукопожатия (опционально 0-RTT), шифрует почти каждый байт, включая заголовки, и устойчив к смене сети благодаря connection ID. Темы безопасности: ограничение усиления (правило 3x, RFC 9000 8.1), проверка адреса источника, антирепликейные ограничения 0-RTT, защита от понижения версии при согласовании и проблемы stateless reset на middlebox. Доля QUIC в публичном интернете уже превышает 30%.
Как защититься от HTTP/3 / QUIC?
Защита от HTTP/3 / QUIC обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия HTTP/3 / QUIC?
Распространённые альтернативные названия: QUIC, h3, RFC 9000.
● Связанные термины
- network-security№ 498
Безопасность HTTP/2
Модель безопасности HTTP/2 (RFC 9113) поверх TLS 1.2+, а также эксплуатационные риски HPACK, мультиплексирования, CONTINUATION-кадров и атаки Rapid Reset 2023 года.
- network-security№ 1188
UDP
Транспортный протокол без установления соединения (RFC 768), доставляющий отдельные датаграммы между портами с минимальными накладными расходами, без гарантий надёжности и порядка.
- network-security№ 1134
TCP
Транспортный протокол с установлением соединения (RFC 9293), доставляющий по IP упорядоченный, надёжный поток байтов с управлением перегрузкой между двумя конечными точками.