BLOG

HTTP/3 bringt erhebliche Änderungen und Herausforderungen mit sich

Lori MacVittie Miniaturbild
Lori MacVittie
Veröffentlicht am 18. März 2019

Es scheint, als wäre HTTP/2 das technologische Äquivalent eines Strohfeuers gewesen. Der ratifizierte Standard wurde 2015 mit großem Tamtam veröffentlicht. Es handelte sich um die erste bedeutende Änderung der Lingua Franca des Internets seit 1999.

Und dann, ebenso plötzlich, war es still. Um das HTTP/2-Dashboard , das von Forschern mehrerer angesehener Universitäten erstellt und gepflegt wird, ist es Ende 2016 still geworden. Seitdem gab es keine Aktualisierung der Adoptionsstatistik. Niemand spricht mehr darüber. Seine 15 Minuten Ruhm sind offenbar vorbei.

Dennoch hat es im Hintergrund weiterhin an Bedeutung gewonnen. Langsam aber sicher findet HTTP/2 seinen Weg in den App-Stack.

HTTP/2 übertrifft IPv6 immer noch

Als Organisation, deren Existenz von Anwendungen abhängt – und insbesondere von Anwendungen, die über HTTP-Varianten laufen – haben wir die Einführung von HTTP/2 aufmerksam beobachtet. Wir haben im Jahr 2018 im Rahmen unserer Studie „State of Application Services“ mit der Verfolgung von HTTP/2-Gateway-Diensten begonnen. Im Jahr 2018 gaben 40 % der Befragten an, ein HTTP/2-Gateway eingesetzt zu haben. Im Jahr 2019 sank dieser Anteil auf 33 %. In der öffentlichen Cloud verwenden 19 % der Befragten für einige ihrer Anwendungen ein HTTP/2-Gateway. Der Dienst hat es zwei Jahre in Folge auf die Liste der fünf wichtigsten Anwendungsdienste geschafft, die im kommenden Jahr eingesetzt werden; im Jahr 2019 planen 25 % der Befragten die Bereitstellung.

Das HTTP/2-Dashboard stellte fest, dass am 16. November 2016 etwas mehr als 250.000 Domänen Unterstützung für HTTP/2 angekündigt hatten. Laut Netcraft, das derartige Dinge verfolgt, gibt es im Internet über 1,8 Milliarden Websites. W3Techs misst die HTTP/2-Nutzung auf 33 % aller Websites, was im Vergleich zu den 250.000 Domänen im Jahr 2016 gut aussieht, wenn wir das Internet auf die Top 1 Million Websites beschränken. Angesichts dieser Einschränkung scheinen die Zahlen bei etwa 25–35 % der Websites zu liegen, die HTTP/2 eingeführt haben.

Wenn Sie meinen, dass das nicht schnell genug ist, bedenken Sie, dass IPv6 bereits viel länger existiert und bis Januar 2019 nur 13,4 % der Websites erreichten. 

HIER KOMMT HTTP/3

Und jetzt ist HTTP/3 auf dem Weg, mit noch dramatischeren Änderungen unter der Haube. Wenn Sie mit HTTP/3 nicht vertraut sind, sollten Sie sich den von der IETF akzeptierten Vorschlag ansehen, Googles HTTP-over-QUIC in HTTP/3 umzubenennen. So wie SPDY die Grundlage für HTTP/2 wurde, ist QUIC die Grundlage für HTTP/3.

Aber wenn Sie dachten, die Änderungen an HTTP/2 wären dramatisch, dann liegen Sie falsch.

Sie sehen, QUIC – und daher HTTP/3 – basiert auf UDP. Dies stellt eine ziemlich drastische Änderung gegenüber dem Vertrauen auf das gute alte, zuverlässige TCP dar. Und anders als bei HTTP/2, bei dem nachgegeben und die Anforderung zur Verschlüsselung entfernt wurde (ein strittiger Punkt, da die Browserentwickler ohnehin beschlossen, nur verschlüsseltes HTTP/2 zu unterstützen), wird HTTP/3 sie erfordern.  

 

Sie denken vielleicht: „Es ist an der Zeit! Verschlüsseln Sie alles!!"
Sie denken vielleicht: „Es ist an der Zeit! Verschlüsseln Sie alles!!"

Auch wenn dies zweifellos eine berechtigte und vielleicht sogar edle Absicht ist, wird dies verheerende Auswirkungen auf die Infrastruktur und Architektur haben – insbesondere für Dienstanbieter. Die Verschiebung der Verschlüsselung nach oben, um praktisch alles einzubeziehen, kombiniert mit der Umstellung von TCP auf UDP ändert alles. Die meisten Sicherheitssysteme sind nicht daran gewöhnt, die per UDP übertragenen Inhalte sehr genau zu untersuchen. Der Großteil des Datenverkehrs, der UDP nutzt, besteht aus Versorgungs- und Infrastrukturdiensten wie DNS und NTP. In der neuen Welt von HTTP/3 kann es gefährlich sein, die Nutzdaten nicht genau zu prüfen. Schließlich könnte es sich bei den weitergegebenen Inhalten durchaus um bösartigen Inhalt handeln. Es könnten Bots sein. Es könnte ein Angriff sein. Es könnte alles sein.

Auch Verschlüsselungsanforderungen erschweren es „Middle Boxes“, den Datenverkehr zu überprüfen. Eine solche Überprüfung ist für die Aufrechterhaltung der Anwendungs- und Datensicherheit von entscheidender Bedeutung. Auch die Änderung der Transportschichtprotokolle könnte sich als problematisch erweisen. Sicherheitsdienste werden häufig auf der Grundlage erstellt, dass der Anwendungsverkehr (hauptsächlich HTTP) über TCP transportiert wird. TCP ist ein zuverlässiges, verbindungsorientiertes Protokoll. Die Umstellung auf UDP könnte die Fähigkeit der Sicherheitsinfrastruktur, Anwendungsverkehr zu analysieren, erheblich beeinträchtigen, einfach weil UDP ein datagrammbasiertes (Paket-)Protokoll ist und, nun ja, unzuverlässig sein kann.  

EIN LANGSAMER WEG ZUR ANNAHME 

Die Einführung von HTTP/3 wird wahrscheinlich langsam erfolgen, während sich HTTP/2 weiterhin langsam, aber stetig verbreitet. Schließlich basiert der Großteil des Webs weiterhin auf dem guten alten HTTP/1.x. Es wird einige Zeit dauern, bis HTTP/2 HTTP/1.x überholt, und die Wahrscheinlichkeit, dass die gesamte Infrastruktur und Anwendungsstapel so schnell migriert werden, ist gering.

Auch die Auswirkungen auf die Sicherheitsinfrastruktur werden die Einführung wahrscheinlich verlangsamen, bis die Anbieter von Sicherheitsdiensten in der Lage sind, sich anzupassen. Zero-Trust-Initiativen , die einen größeren Kontext von Clients einbeziehen – wie Geräte-ID und Reputation – könnten sich hier letztlich als Segen erweisen, da die Sicherheit zu einer umfassenderen Strategie zum Schutz von Anwendungen übergeht. Die Reifung und Einführung von Zero-Trust-Technologien könnte eine Antwort auf die Sicherheitsherausforderungen von HTTP/3 bieten. Da Sicherheitsdienste sich immer stärker darauf verlassen können, böswillige Akteure in Echtzeit zu identifizieren, verringert sich das Risiko, dass die Nutzdaten nicht mehr so einfach auf bösartige Aktivitäten untersucht werden können.  

Mit der Veröffentlichung von HTTP/3 ist erst im Sommer 2019 zu rechnen. Angesichts der langsamen, aber stetigen Einführung von HTTP/2 und der Sicherheitsherausforderungen, die HTTP/3 mit sich bringt, dürfte der Weg bis zur Einführung von HTTP/3 in absehbarer Zukunft lang und steinig sein.