BLOG

Agora que o HTTPS está quase em todo lugar, o que dizer do IPv6?

Miniatura de Lori MacVittie
Lori MacVittie
Publicado em 20 de abril de 2017

O Let's Encrypt foi lançado em 12 de abril de 2016 com a intenção de dar suporte e incentivar sites a habilitar o HTTPS em todos os lugares (às vezes chamado de SSL em todos os lugares, embora a web esteja migrando constantemente para o TLS como o protocolo preferencial). No final de fevereiro de 2017, a EFF (que lançou o esforço) estima que metade da web agora está criptografada . Agora, certamente nem tudo isso é atribuível à EFF e à Let's Encrypt. Afinal, tenho dados de muito antes dessa data que indicam que a maioria dos clientes do F5 habilitou HTTPS em serviços voltados para o cliente, na faixa de 70%. Então, claramente as pessoas estavam apoiando o HTTPS antes da EFF lançar seus esforços, mas dado o número significativo de certificados* que ela emitiu, o esforço não deixou de ter sucesso mensurável.

Em 11 de setembro de 2006, a ICANN “ratificou uma política global para a alocação de endereços IPv6 pela Internet Assigned Numbers Authority (IANA)”. Embora o padrão em si tenha sido ratificado muitos anos (cerca de uma década) antes, sem uma política que governasse a alocação desses endereços, ele realmente não era tão significativo. Mas em 2006 levamos a sério a mudança para o IPv6. Afinal, a web estava crescendo, os dispositivos móveis estavam explodindo e os endereços IPv4 disponíveis estavam diminuindo a ponto de desaparecer.

Precisávamos do IPv6, não por sua segurança aprimorada, mas por seu espaço de endereço expandido que nos permitiria oferecer suporte a bilhões de dispositivos e coisas conectados.

E ainda assim a taxa de adoção é péssima. Considere que “a nuvem” nasceu em uma época em que o IPv6 estava disponível. E, no entanto, demorou até o final de 2016 para que a Amazon AWS e a Microsoft Azure ativassem o IPv6 em suas ofertas de nuvem para instâncias de computação.  

Isso levou alguns a lamentar: se conseguimos implementar HTTPS em quase todos os lugares em tão pouco tempo, por que ainda vemos uma porcentagem tão pequena de sites com suporte a IPv6? O Google estima que 16,06% dos usuários têm IPv6 habilitado (o que é interessante quando comparado ao suporte dos provedores de serviços monitorado pelo World IPv6 Launch ), mas apenas 10% dos sites ( de acordo com o W3C Techs ) o suportam.

site suporte ipv6 http2

Para ser justo, o HTTPS não era novidade. A EFF estava apenas encorajando e capacitando as pessoas a possibilitar o que já estava ao seu alcance. O HTTPS é bem suportado, bem compreendido e completamente desenvolvido. Então talvez seja mais justo compará-lo a um padrão mais novo, com desvantagens semelhantes, como incompatibilidade com padrões anteriores, como HTTP/2.

Em maio de 2015, uma nova versão de um padrão web robusto foi ratificada: HTTP/2 . Assim como o IPv6, ele é incompatível com versões anteriores. Ao contrário do “SSL Everywhere”, oferecer suporte a IPv6 ou HTTP/2 não é simplesmente uma questão de adquirir um certificado e habilitar HTTPS em seus servidores web ou infraestrutura. Embora seja verdade que migrar de HTTP para HTTPS pode ser prejudicial (pode impactar sua infraestrutura de rede), não é o mesmo nível de interrupção causado pelo IPv6 ou HTTP/2.

A mudança para novos protocolos fundamentais requer uma abordagem de transição; uma que exija suporte tanto para o antigo quanto para o novo simultaneamente até algum momento futuro. Isso significa “pilhas duplas” para cada dispositivo através do qual o tráfego pode fluir. Este é um esforço hercúleo para algumas organizações e um pesadelo arquitetônico para outras. Assim como o software incorre em dívida técnica, as redes incorrem em dívida arquitetônica, e é provável que os “pagamentos de juros” sobre essa dívida arquitetônica dificultem a construção de um caso válido para a adoção do IPv6. Afinal, não é como se fosse um requisito ou algo assim. Os negócios continuarão se você não oferecer suporte ao IPv6.

Ou será que vai?

Vamos lembrar que originalmente, o HTTP/2 exigiria TLS/SSL. Houve algumas reclamações e, eventualmente, isso se tornou opcional. Os criadores de navegadores ignoraram isso alegremente e só forneceram suporte para HTTP/2 sobre TLS/SSL, efetivamente forçando o requisito para todos. No final de 2015, o Google começou a priorizar sites habilitados para HTTPS nas classificações de pesquisa. E em 2016, a Apple tomou medidas semelhantes que exigiram que todos os aplicativos nativos usassem o App Transport Security, forçando novamente a mudança para HTTPS.

Basicamente, o HTTPS foi forçado por aqueles do lado do cliente a suportá-lo.

Para IPv6, no momento, não há nenhum requisito semelhante. Todos nós observamos o desaparecimento dos endereços IPv4, mas isso teve relativamente pouco ou nenhum impacto. Então, ninguém sente um verdadeiro ímpeto (ainda) para fazer uma mudança que pode ser potencialmente disruptiva e cara. Mas, à medida que mais coisas surgem, é bem possível que elas acabem saindo da caixa com suporte apenas para IPv6. As coisas têm formatos pequenos e seu poder de processamento é limitado. Menos é mais na Internet das Coisas. Essa é uma das razões pelas quais muitos dispositivos de IoT evitam o HTTP em favor do MQTT; ele é menor, mais rápido e mais eficiente do que seu primo mais pesado da web. O suporte a IPv4 e IPv6 é semelhante. Como são incompatíveis, a maioria dos dispositivos suporta um ou outro. E eventualmente eles vão escolher um e todos vão se esforçar para apoiá-lo.

iot fabricado

Mesmo que isso não aconteça, o IPv4 endereçado disponível hoje pode acomodar menos de 20% dos 20 bilhões de dispositivos que devem estar em uso até 2020 (Gartner). O IPv6 suporta muito mais do que as previsões mais agressivas da Cisco, de 50 bilhões de dispositivos. E isso é apenas a IoT.

A nuvem também é problemática porque não consegue comprar endereços IPv4 suficientes para dar suporte à sua crescente base de clientes. Para que o IaaS cresça conforme o previsto, os provedores de nuvem precisam migrar para o IPv6. O que sem dúvida está em parte por trás da decisão da Amazon e da Microsoft de fazer isso.

O que tudo isso significa é que eventualmente surgirá uma função de imposição que exigirá suporte ao IPv6. Pode ser a IoT ou a própria nuvem. Pode ser a força combinada explosiva e disruptiva dos dois no seu negócio. De qualquer forma, teremos que fazer a transição em algum momento, e é sempre melhor não se apressar. Tivemos muito tempo para resolver os problemas com o IPv6, e há soluções mais do que suficientes no mercado hoje para dar suporte à abordagem de pilha dupla e dar início à transição. Então, se você ainda não o fez, é hora de considerar seriamente habilitar o IPv6, antes que você seja forçado a isso pelas necessidades dos negócios para continuar crescendo.

* Sim, poderíamos nos aprofundar no número de certificados aparentemente fraudulentos e que distribuí-los cegamente como doces é repleto de riscos, mas esse é outro assunto para outro dia.