Was ist HTTP/3?

HTTP/3 ist die nächste große Überarbeitung des Hypertext Transfer Protocol (HTTP). Es wird die Geschwindigkeit, Sicherheit und Zuverlässigkeit verbessern.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Verstehen, welche Verbesserungen in HTTP/3 zu erwarten sind
  • Erkennen, wie das Protokoll die Benutzererfahrung beeinflussen wird
  • Die erwarteten Sicherheitsvorteile beschreiben

Link zum Artikel kopieren

Was ist HTTP/3?

HTTP ist ein wesentliches Rückgrat des Internets – es bestimmt, wie Kommunikationsplattformen und Geräte Informationen austauschen und Ressourcen abrufen. Kurz gesagt, es ermöglicht Nutzern das Laden von Websites.

HTTP/3 ist ein neuer, in der Entwicklung befindlicher Standard, der sich auf die Kommunikation zwischen Webbrowsern und Servern auswirkt und erhebliche Verbesserungen für die Nutzererfahrung, einschließlich Performance, Zuverlässigkeit und Sicherheit, mit sich bringen wird.

Nachdem das erste Hypertext-Transfer-Protokoll (HTTP) im Jahr 1991 veröffentlicht wurde, haben die nachfolgenden Iterationen Websites beschleunigt, ohne den zugrunde liegenden Code zu ändern.

Was ist neu an HTTP/3?

HTTP/3 wird das erste größere Upgrade des Hypertext-Übertragungsprotokolls seit der Einführung von HTTP/2 im Jahr 2015 sein.

Ein wichtiger Unterschied bei HTTP/3 ist, dass es auf QUIC läuft, einem neuen Transportprotokoll. QUIC wurde für die intensive mobile Internetnutzung entwickelt, bei der wir Smartphones mit uns führen, die im Laufe des Tages ständig von einem Netzwerk zum anderen wechseln. Das war bei der Entwicklung der ersten Internetprotokolle noch nicht der Fall: Die Geräte waren weniger mobil und wechselten nicht so häufig das Netzwerk.

Die Verwendung von QUIC bedeutet, dass HTTP/3 auf das User Datagram Protocol (UDP) und nicht auf das Transmission Control Protocol (TCP) angewiesen ist. Der Wechsel zu UDP ermöglicht schnellere Verbindungen und eine schnellere Nutzererfahrung beim Surfen im Internet.

Das QUIC-Protokoll wurde 2012 von Google entwickelt und von der Internet Engineering Task Force (IETF) – einer herstellerneutralen Standardisierungsorganisation – übernommen, als sie mit der Erstellung des neuen HTTP/3-Standards begann. Nach Rücksprache mit Experten aus aller Welt hat die IETF eine Reihe von Änderungen vorgenommen, um ihre eigene Version von QUIC zu entwickeln.

Warum ist eine neue Version von HTTP erforderlich?

QUIC wird dazu beitragen, einige der größten Schwächen von HTTP/2 zu beheben:

  • Entwicklung eines Workarounds für die schleppende Performance, wenn ein Smartphone von WiFi auf Mobilfunkdaten umschaltet (z. B. beim Verlassen der Wohnung oder des Büros)
  • Verringerung der Auswirkungen von Paketverlusten – wenn ein Informationspaket nicht ans Ziel gelangt, blockiert es nicht länger alle Informationsströme (ein Problem, das als „Head-of-Line-Blocking“ bekannt ist)

Weitere Vorteile sind:

  • Schnellerer Verbindungsaufbau: QUIC ermöglicht die Verhandlung der TLS-Version zur gleichen Zeit wie die kryptografischen und Transport-Handshakes
  • Null Umlaufzeit (0-RTT): Bei Servern, mit denen sie bereits verbunden sind, können die Clients das Handshake-Verfahren überspringen (den Prozess der gegenseitigen Bestätigung und Verifizierung, bei der sie entscheiden, wie sie kommunizieren werden)
  • Umfassendere Verschlüsselung: Der neue Ansatz von QUIC für Handshakes bietet standardmäßig Verschlüsselung – eine enorme Verbesserung gegenüber HTTP/2 – und hilft das Risiko von Angriffen zu reduzieren

Was wird standardmäßig verschlüsselt?

Die Forderung nach Verschlüsselung auf der Transportebene anstatt auf der Anwendungsebene wirkt sich erheblich auf die Sicherheit aus. Es bedeutet, dass die Verbindung immer verschlüsselt ist. Bisher wurden bei HTTPS die Verschlüsselung und die Verbindungen auf der Transportebene getrennt voneinander durchgeführt. TCP-Verbindungen konnten Daten entweder verschlüsselt oder unverschlüsselt übertragen, und der TCP-Handshake und der TLS-Handshake waren getrennte Schritte. QUIC stellt jedoch standardmäßig verschlüsselte Verbindungen auf der Transportebene her – Daten auf der Anwendungsebene werden immer verschlüsselt sein.

Dafür fasst QUIC die beiden Handshakes zu einer Aktion zusammen. Das reduziert die Latenz, da Anwendungen vor dem Senden der Daten nur auf den Abschluss eines Handshakes warten müssen. Es verschlüsselt auch Metadaten über jede Verbindung, einschließlich der Paketnummern und einiger anderer Teile des Headers, um Informationen über das Nutzerverhalten für Angreifer unzugänglich zu machen. Dieses Feature war in HTTP/2 nicht enthalten. Die Verschlüsselung dieser Daten hilft, verwertbare Informationen über das Verhalten der Nutzer von Angreifern fernzuhalten.

Die klassische Verwendung von Klartext für HTTP-Anfragen und -Antworten senkt das Sicherheitsniveau. Jeder, der die Kommunikation überwacht, kann sie lesen. Die standardmäßige Verschlüsselung erhöht die Sicherheit für alle Beteiligten und schützt sensible Daten.

Ist HTTP/3 bereits verfügbar?

Während sich der Standard noch in der Entwicklung befindet, können Websitebesitzer und Besucher bereits Unterstützung für HTTP/3 durch Browser, Betriebssysteme und andere Clients erhalten. Wahrscheinlich wird es noch weitere Änderungen an dem Standard geben; er hat bereits mehrere Implementierungen durchlaufen.

Die Einführung von HTTP/3 bedeutet nicht gleich die Umstellung de gesamten Webs. Schließlich arbeiten viele Websites noch nicht einmal mit HTTP/2.

Ein potenzielles Hindernis für das neue Protokoll: Es erfordert eine höhere CPU-Auslastung sowohl für den Server als auch für den Client. Mit der Weiterentwicklung der Technologie wird sich diese Auslastung wahrscheinlich verringern.

Wer entscheidet, was in HTTP/3 aufgenommen wird?

Die IETF hat die QUIC-Arbeitsgruppe im Jahr 2016 gebildet. Personen aus vielen Organisationen und Unternehmen sind an der Entwicklung beteiligt – darunter auch Cloudflare.

Bevor der Standard seinen aktuellen Namen HTTP/3 erhielt, hieß er „HTTP-over-QUIC“ und „HTTP/2 Semantics Using The QUIC Transport Protocol“.

Wie können Websitebesitzer HTTP/3 jetzt einschalten?

Cloudflare ermöglicht Websitebesitzern, die Unterstützung für HTTP/3 zu aktivieren, ohne dass sie ihren Ursprung ändern müssen. Erfahren Sie, wie Sie die Umstellung für Ihre Domain vornehmen.