¿Qué es HTTP/3?

HTTP/3 es la próxima gran revisión del protocolo de transferencia de hipertexto (HTTP). Mejorará la velocidad, la seguridad y la fiabilidad.

Metas de aprendizaje

Después de leer este artículo podrás:

  • Entender qué mejoras se esperan en HTTP/3
  • Reconocer cómo el protocolo perfilará la experiencia del usuario
  • Describir los beneficios de seguridad previstos

Contenido relacionado


¿Quieres saber más?

Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar el enlace del artículo

¿Qué es HTTP/3?

El Protocolo de transferencia de hipertexto (HTTP) es el eje central de Internet: establece cómo las plataformas y dispositivos de comunicación intercambian información y obtienen recursos. En resumen, es lo que permite a los usuarios cargar sitios web.

HTTP/3 es la última versión principal de HTTP. Los servidores y navegadores web pueden usarlo para mejorar significativamente la experiencia del usuario, el rendimiento, la confiabilidad y la seguridad. La negociación de las versiones HTTP se hace de manera efectiva y no se necesitan cambios en el código del sitio web.

¿Cuáles son las novedades de HTTP/3?

HTTP/3 es la primera actualización importante de HTTP desde que se aprobó HTTP/2 en 2015. Se publicó y se puso a disposición de todos los clientes de Cloudflare en 2021.

Una diferencia importante en HTTP/3 es que se ejecuta en QUIC, un nuevo protocolo de transporte. El diseño de QUIC ofrece rapidez y admite cambios rápidos entre redes. Se basa en el User Datagram Protocol (UDP) en lugar del protocolo de control de transmisión (TCP), que mitiga un problema que se denomina bloqueo de encabezado de línea en TCP, donde la pérdida o resolicitud de paquetes de red puede ralentizar las conexiones de muchas transacciones. Además, QUIC separa la conexión de transporte de capa 4 del flujo IP de capa 3, lo que permite la migración entre diferentes redes sin interrupciones.

QUIC admite mejor el uso intensivo de Internet celular en el que las personas llevan teléfonos inteligentes y cambian constantemente de una red a otra a medida que avanza el día. Este tipo de uso de Internet no era común cuando se desarrollaron los primeros protocolos de Internet: los dispositivos eran menos portátiles y no cambiaba de red con tanta frecuencia.

Google comenzó a trabajar en una primera versión de QUIC en 2012. En 2016, fue adoptado por el Grupo de Trabajo de Ingeniería de Internet (IETF), una organización de estándares independiente del proveedor, cuando comenzaron a crear el nuevo estándar HTTP/3. Luego de consultar con expertos de todo el mundo, el IETF hizo un serie de cambios para desarrollar la versión ahora estándar de QUIC publicada como RFC 9000.

¿Por qué es necesaria una nueva versión de HTTP?

QUIC ayuda a corregir algunas de las mayores deficiencias de HTTP/2:

  • Reduce los efectos de la pérdida de paquetes: cuando un paquete de información no llega a su destino, deja de bloquear todos los flujos de información (este problema se conoce como "bloqueo del encabezado de línea")
  • Establecimiento de conexión más rápido: QUIC combina los protocolos de enlace criptográficos y de transporte
  • Tiempo de ida y vuelta cero (0-RTT): en el caso de los servidores a los que ya se han conectado, los clientes pueden omitir el requisito del "protocolo de enlace" (el proceso de reconocimiento y verificación mutua para determinar cómo se establecerá la comunicación)
  • Cifrado más completo: QUIC está cifrado de forma predeterminada, lo que hace que HTTP/3 sea más seguro que HTTP/2 (más información a continuación)
  • Proteger contra los ataques de denegación de servicio distribuido (DDoS) HTTP/2 "Rapid Reset", que pueden ralentizar o bloquear un servidor web, mediante el uso de un sistema de créditos para las transmisiones (una "transmisión" es una única solicitud HTTP e intercambio de respuesta) para permitir a los servidores HTTP/3 un control detallado sobre la concurrencia de flujo
  • Desarrollar una solución para el rendimiento lento cuando un teléfono inteligente cambia del WiFi a datos (por ejemplo, al salir de casa o de la oficina)

¿Qué es la encriptación por defecto?

El cifrado en la capa de transporte, en lugar de la capa de aplicación, tiene implicancias importantes para la seguridad. Significa que la conexión siempre estará cifrada. Anteriormente, en HTTPS, las conexiones entre el cifrado y la capa de transporte ocurrían en forma separada. Las conexiones TCP podían transportar datos tanto cifrados como no cifrados, y el protocolo de enlace TCP y el protocolo de enlace TLS (Transport Layer Security) eran eventos distintos. Sin embargo, QUIC asigna conexiones cifradas predeterminadas en la capa de transporte —es decir, los datos de la capa de aplicación siempre estarán cifrados.

QUIC logra esto al combinar los dos protocolos de enlace en una sola acción, lo que reduce la latencia, ya que la aplicación debe esperar que finalice solo un protocolo de enlace antes de enviar los datos. También cifra los metadatos sobre cada conexión, incluidos los números de paquetes y algunas otras partes del encabezado, para ayudar a mantener la información sobre el comportamiento del usuario fuera del alcance del atacante. Esta función no era posible con HTTP/2 porque dependía de TCP y TLS.

Históricamente, HTTP empleaba TCP de texto sin formato , lo que tiene consecuencias negativas para la seguridad, ya que cualquiera que monitorea las comunicaciones puede leer las solicitudes y las respuestas. En la actualidad, los sitios y los navegadores web prefieren cifrar todas las comunicaciones HTTP para ayudar a mantener la seguridad de todos y proteger los datos confidenciales. El cifrado predeterminado de QUIC es compatible con ese objetivo.

¿Ya está disponible HTTP/3?

Sí. HTTP/3 se implementa de forma estándar en los principales navegadores web y todos los clientes de Cloudflare pueden activarlo sin ningún cambio en su origen. Aprende a hacer el cambio para tu dominio.

Cloudflare Radar mantiene estadísticas actualizadas sobre el uso de la versión HTTP.