HTTP/3 traerá cambios y desafíos significativos

Pareciera como si el HTTP/2 fuera el equivalente tecnológico de un fenómeno pasajero. La norma ratificada se publicó en 2015 con gran fanfarria. Fue el primer cambio significativo en la lengua franca de Internet desde 1999.

Y luego, de repente, todo quedó en silencio. El panel de control HTTP/2 , creado y mantenido por investigadores de varias universidades muy respetadas, dejó de funcionar a fines de 2016. No ha habido una actualización en las estadísticas de adopción desde entonces. Ya nadie habla de ello. Sus 15 minutos de fama aparentemente ya pasaron.

Aun así, ha seguido ganando terreno en segundo plano. Lenta pero seguramente, HTTP/2 se está abriendo camino en la pila de aplicaciones.

HTTP/2 SIGUE SUPERANDO A IPv6

Como organización cuya existencia depende de aplicações (y en particular de aplicações que se ejecutan en variantes HTTP), hemos observado de cerca la adopción de HTTP/2. Comenzamos a rastrear los servicios de enlace HTTP/2 en 2018 en nuestra investigación sobre el estado de los servicios de aplicação . En 2018, el 40% de los encuestados afirmaron haber implementado una puerta de enlace HTTP/2. En 2019, esa cifra se redujo al 33%. En la nube pública, el 19% de los encuestados utiliza una puerta de enlace HTTP/2 para algunas de sus aplicações. Ha logrado figurar en la lista de los cinco principales servicios de aplicação que se implementarán el año próximo durante dos años consecutivos, con un 25 % de los encuestados en 2019 planeando implementarlo.

El panel de control HTTP/2 señaló que poco más de 250.000 dominios habían anunciado su soporte para HTTP/2 el 16 de noviembre de 2016. Según Netcraft, que rastrea este tipo de cosas, hay más de 1.800 millones de sitios en Internet. W3Techs mide el uso de HTTP/2 en el 33% de todos los sitios web, lo que coincide bien con los 250.000 dominios observados en 2016 si limitamos Internet al millón de sitios principales. Dada esa restricción, las cifras parecen rondar entre el 25 y el 35 % de sitios que han adoptado HTTP/2.

Si cree que esto no es lo suficientemente rápido, tenga en cuenta que IPv6 existe desde hace mucho más tiempo y solo logró reunir el 13,4 % de los sitios web a enero de 2019 . 

AQUÍ VIENE HTTP/3

Y ahora HTTP/3 está en camino con cambios aún más dramáticos bajo el capó. Si no está familiarizado con HTTP/3, le recomendamos consultar la propuesta aceptada por IETF para cambiar el nombre de HTTP-over-QUIC de Google a HTTP/3. De la misma manera que SPDY se convirtió en la base para HTTP/2, QUIC es la base para HTTP/3.

Pero si pensabas que los cambios en HTTP/2 eran dramáticos, todavía no has visto nada.

Verá, QUIC (y por lo tanto HTTP/3) se basa en UDP. Lo cual supone un cambio bastante drástico con respecto a la confianza depositada en el viejo y fiable sistema TCP. Y a diferencia de HTTP/2, que cedió y eliminó el requisito de cifrado (un punto discutible ya que los desarrolladores de navegadores decidieron que de todos modos solo soportarían HTTP/2 cifrado), HTTP/3 lo requerirá.  

Y si bien esa es sin duda una intención válida y quizás hasta noble, las implicaciones tendrán impactos rotundos en la infraestructura y la arquitectura, especialmente para los proveedores de servicios. El movimiento del cifrado hacia arriba en la pila para incluir prácticamente todo, combinado con el paso de TCP a UDP, lo cambia todo. La mayoría de los sistemas de seguridad no están acostumbrados a examinar muy de cerca el contenido transportado por UDP. La mayor parte del tráfico que utiliza UDP son servicios públicos y de infraestructura como DNS y NTP. En el nuevo mundo de HTTP/3, no inspeccionar de cerca las cargas útiles podría ser peligroso. Después de todo, el contenido que se transmite podría muy bien ser malicioso. Podrían ser bots. Podría ser un ataque. Podría ser cualquier cosa.

Los requisitos de cifrado también dificultan que los “intermedios” inspeccionen el tráfico. Esta inspección es fundamental para mantener la seguridad de datos de las aplicação y los datos. El cambio en los protocolos de la capa de transporte también puede resultar problemático. Los servicios de seguridad a menudo se construyen partiendo de la premisa de que el tráfico de la aplicação (HTTP en su mayor parte) se transportará a través de TCP. TCP es un protocolo confiable y orientado a la conexión. El cambio a UDP podría tener un impacto significativo en la capacidad de la infraestructura de seguridad para analizar el tráfico de aplicação simplemente porque UDP es un protocolo basado en datagramas (paquetes) y puede ser, bueno, poco confiable.  

UN CAMINO LENTO HACIA LA ADOPCIÓN 

La adopción de HTTP/3 probablemente será lenta mientras que HTTP/2 continúa su lenta pero constante difusión. Después de todo, la mayor parte de la web sigue dependiendo del viejo y bueno protocolo HTTP/1.x. Pasará algún tiempo antes de que HTTP/2 supere a HTTP/1.x y la probabilidad de migrar toda la infraestructura y las pilas de aplicação tan pronto es baja.

También es probable que el impacto sobre la infraestructura de seguridad mantenga la adopción lenta hasta que los proveedores de servicios de seguridad puedan adaptarse. Las iniciativas de confianza cero , que incorporan un mayor contexto de los clientes (como la identificación y la reputación del dispositivo), pueden resultar en última instancia una bendición en este caso, a medida que la seguridad migra a una estrategia más integral para proteger las aplicações. La maduración y adopción de tecnologías de confianza cero pueden proporcionar una respuesta para abordar los desafíos de seguridad de HTTP/3. A medida que los servicios de seguridad se vuelven más dependientes de la identificación de actores maliciosos en tiempo real, se mitiga el riesgo de no poder examinar fácilmente las cargas útiles en busca de actividad maliciosa.  

No se espera que HTTP/3 se lance hasta el verano de 2019. Dada la lenta pero constante adopción de HTTP/2 y los retos de seguridad que plantea HTTP/3, es probable que este último se enfrente a un camino largo y cuesta arriba para su adopción en un futuro previsible.