Was ist HTTP/3?

HTTP/3 ist die nächste große Überarbeitung des Hypertext Transfer Protocol (HTTP). Es wird die Geschwindigkeit, Sicherheit und Zuverlässigkeit verbessern.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Verstehen, welche Verbesserungen in HTTP/3 zu erwarten sind
  • Erkennen, wie das Protokoll die Benutzererfahrung beeinflussen wird
  • Die erwarteten Sicherheitsvorteile beschreiben

Ähnliche Inhalte


Möchten Sie noch mehr erfahren?

Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!

Lesen Sie die Cloudflare Datenschutzrichtlinie, um zu erfahren, wie wir Ihre persönlichen Daten sammeln und verarbeiten.

Link zum Artikel kopieren

Was ist HTTP/3?

Das Hypertext Transfer Protocol (HTTP) ist ein wesentliches Rückgrat des Internets – es bestimmt, wie Kommunikationsplattformen und Geräte Informationen austauschen und Ressourcen abrufen. Kurz gesagt, es ermöglicht Nutzern das Laden von Websites.

HTTP/3 ist die neueste Hauptversion von HTTP. Webbrowser und Server können damit die Nutzererfahrung erheblich verbessern, einschließlich der Performance, Zuverlässigkeit und Sicherheit. Die Aushandlung von HTTP-Versionen erfolgt nahtlos und erfordert keine Änderungen am Website-Code.

Was ist neu an HTTP/3?

HTTP/3 ist das erste größere Upgrade von HTTP seit der Einführung von HTTP/2 im Jahr 2015. Es wurde 2021 veröffentlicht und für alle Cloudflare-Kunden verfügbar gemacht.

Ein wichtiger Unterschied bei HTTP/3 ist, dass es auf QUIC läuft, einem neuen Transportprotokoll. QUIC ist auf Geschwindigkeit und den Wechseln zwischen Netzwerken ausgelegt. Es stützt sich auf das User Datagram Protocol (UDP) und nicht auf das Transmission Control Protokoll (TCP), wodurch ein Problem namens Head-of-Line-Blocking bei TCP angegangen wird (bei diesem Problem verlangsamen der Verlust oder die Neuordnung von Netzwerkpaketen Verbindungen mit vielen Transaktionen). Darüber hinaus trennt QUIC die Transportverbindung der Schicht 4 vom IP-Fluss der Schicht 3, so dass eine unterbrechungsfreie Migration zwischen verschiedenen Netzwerken ermöglicht wird.

QUIC bietet bessere Unterstützung für mobilintensive Internetnutzung, bei der wir immer unser Smartphone dabei haben und im Laufe des Tages von einem Netzwerk zum anderen wechseln. Diese Art der Internetnutzung bei der Entwicklung der ersten IP-Adressen noch nicht üblich. Die Geräte waren weniger mobil und wechselten seltener ihre Netzwerke.

Google begann Jahr 2012 mit der Arbeit an einer frühen Version von QUIC. Im Jahr 2016 wurde es von der Internet Engineering Task Force (IETF) – einer herstellerunabhängigen Standardisierungsorganisation – übernommen, als die Arbeitsgruppe mit der Entwicklung des neuen HTTP/3-Standards begann. Nach Beratungen mit Experten aus der ganzen Welt hat die IETF eine Reihe von Änderungen vorgenommen, um die aktuelle Standardversion von QUIC zu entwickeln, die als RFC 9000 veröffentlicht wird.

Warum ist eine neue Version von HTTP erforderlich?

QUIC hilft bei der Behebung einiger der größten Mängel von HTTP/2:

  • Verringerung der Auswirkungen von Paketverlusten – wenn ein Informationspaket nicht ans Ziel gelangt, blockiert es nicht länger alle Informationsströme (ein Problem, das als „Head-of-Line-Blocking“ bekannt ist)
  • Schnellerer Verbindungsaufbau: QUIC kombiniert den kryptografischen Handshake und den Transport-Handshake
  • Null Round-Trip Time (0-RTT): Bei Servern, mit denen sie bereits verbunden sind, können die Clients das Handshake-Verfahren überspringen (den Prozess der gegenseitigen Bestätigung und Verifizierung, bei der sie entscheiden, wie sie kommunizieren werden)
  • Umfassendere Verschlüsselung: QUIC ist standardmäßig verschlüsselt, wodurch HTTP/3 sicherer ist als HTTP/2 (mehr dazu weiter unten)
  • Schutz vor HTTP/2 „Rapid Reset“ Distributed Denial-of-Service-Angriffen (DDoS), die einen Webserver verlangsamen oder zum Absturz bringen können, durch Verwendung eines credit-basierten Systems für Streams (ein „Stream“ ist ein einzelner HTTP-Anfrage- und -Antwortaustausch), um HTTP/3-Servern eine fein abgestimmte Kontrolle über die Gleichzeitigkeit von Streams zu ermöglichen
  • Entwicklung eines Workarounds für die schleppende Performance, wenn ein Smartphone von WiFi auf Mobilfunkdaten umschaltet (z. B. beim Verlassen der Wohnung oder des Büros)

Was wird standardmäßig verschlüsselt?

Die Forderung nach Verschlüsselung auf der Transportschicht anstatt auf der Anwendungsschicht wirkt sich erheblich auf die Sicherheit aus. Es bedeutet, dass die Verbindung immer verschlüsselt ist. Bisher wurden bei HTTPS die Verschlüsselung und die Verbindungen auf der Transportschicht getrennt voneinander durchgeführt. TCP-Verbindungen konnten Daten entweder verschlüsselt oder unverschlüsselt übertragen, und der TCP-Handshake und der Transport Layer Security (TLS)-Handshake waren getrennte Schritte. QUIC stellt jedoch standardmäßig verschlüsselte Verbindungen auf der Transportschicht her – Daten auf der Anwendungsschicht werden immer verschlüsselt sein.

Dafür fasst QUIC die beiden Handshakes zu einer Aktion zusammen. Das reduziert die Latenz, da Apps vor dem Senden der Daten nur auf den Abschluss eines Handshakes warten müssen. Es verschlüsselt auch Metadaten über jede Verbindung, einschließlich der Paketnummern und einiger anderer Teile des Headers, um Informationen über das Nutzerverhalten für Angreifer unzugänglich zu machen. Dieses Feature war mit HTTP/2 nicht möglich, da es auf TCP und TLS beruhte.

In der Vergangenheit wurde bei HTTP TCP im Klartext verwendet, was sich negativ auf die Sicherheit auswirkt, da jeder, der die Kommunikation überwacht, Anfragen und Antworten lesen kann. Heutzutage bevorzugen Websites und Webbrowser die Verschlüsselung der gesamten HTTP-Kommunikation, um die Sicherheit aller zu gewährleisten und sensible Daten zu schützen. Die Verschlüsselung von QUIC unterstützt dieses Ziel standardmäßig.

Ist HTTP/3 bereits verfügbar?

Ja. HTTP/3 ist standardmäßig in allen gängigen Webbrowsern implementiert und kann von allen Cloudflare-Kunden ohne Änderungen ihres Ursprungsservers aktiviert werden. Erfahren Sie, wie Sie die Umstellung für Ihre Domain vornehmen.

Cloudflare Radar führt aktuelle Statistiken über die Verwendung von HTTP-Versionen.