Qu'est-ce que le HTTP/3 ?

HTTP/3 est la prochaine révision majeure du protocole de transfert hypertexte (HTTP). Il améliorera la vitesse, la sécurité et la fiabilité.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Comprendre quelles améliorations sont attendues dans HTTP/3
  • Reconnaître comment le protocole façonnera l'expérience de l'utilisateur
  • Décrire les avantages prévus en matière de sécurité

Contenu associé


Vous souhaitez continuer à enrichir vos connaissances ?

Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !

Consultez la politique de confidentialité de Cloudflare pour en savoir plus sur la manière dont nous collectons et traitons vos données personnelles.

Copier le lien de l'article

Qu'est-ce que le HTTP/3 ?

Le protocole de transfert hypertexte (HTTP) est un élément essentiel d'Internet ; il détermine la manière dont les plateformes et les appareils de communication échangent des informations et récupèrent les ressources. En résumé, il s'agit de ce qui permet aux utilisateurs de charger les sites web.

HTTP/3 est la dernière version majeure de HTTP. Les navigateurs et les serveurs web peuvent l'utiliser pour améliorer considérablement l'expérience utilisateur, notamment en ce qui concerne les performances, la fiabilité et la sécurité. La négociation des versions HTTP s'effectue de manière fluide, sans qu'aucune modification de code du site web ne soit nécessaire.

Quelles sont les nouveautés de HTTP/3 ?

HTTP/3 est la première mise à niveau majeure de HTTP depuis l'approbation de HTTP/2 en 2015. Il a été publié et mis à la disposition de tous les clients Cloudflare en 2021.

HTTP/3 se distingue de la version précédente notamment par le fait qu'il s'exécute sur QUIC, un nouveau protocole de transport. QUIC est conçu pour être rapide et pour permettre le passage rapide d'un réseau à l'autre. Il repose sur le protocole UDP (User Datagram Protocol) au lieu du protocole TCP (Transmission Control Protocol), ce qui atténue un problème appelé blocage en tête de ligne dans TCP, qui se traduit par la perte de paquets réseau ou le ralentissement des connexions à hautes transactions en raison d'une réorganisation. Par ailleurs, QUIC sépare la connexion de transport de la couche 4 du flux d'adresse IP de la couche 3, permettant ainsi la migration entre différents réseaux sans perturbation.

QUIC est plus à même de prendre en charge une utilisation intensive Internet pour les appareils mobiles caractérisée par le fait que les propriétaires de smartphones passent constamment d'un réseau à l'autre au gré de leurs activités quotidiennes. Ce type d'utilisation d'Internet n'était pas courant lorsque les premières adresses IP ont été développées : les appareils étaient moins portables et ne changeaient pas très souvent de réseau.

Google a commencé à travailler sur une première version de QUIC en 2012. En 2016, il a été adopté par l'Internet Engineering Task Force (IETF), une organisation de normalisation indépendante des fournisseurs, alors qu'elle commençait à créer la nouvelle norme HTTP/3. Après avoir consulté des experts du monde entier, l'IETF a apporté une série de modifications permettant d'élaborer la version désormais standard de QUIC publiée dans le cadre de la RFC 9000.

Pourquoi une nouvelle version de HTTP est-elle nécessaire ?

QUIC permet de combler certaines des plus grandes lacunes de HTTP/2 :

  • Diminution des effets de la perte de paquets : si un paquet d'informations n'atteint pas sa destination, il ne bloquera plus tous les flux d'informations, un problème connu sous le nom de « blocage en tête de ligne »
  • Établissement de connexions plus rapides : QUIC combine les négociations cryptographiques et de transport
  • Aucun temps d'aller-retour (0-RTT) : pour les serveurs auxquels ils ont déjà été connectés, le client peut ignorer l'exigence de négociation (le processus de reconnaissance et de vérification afin de déterminer la manière dont ils communiqueront)
  • Chiffrement plus complet : QUIC est chiffré par défaut, ce qui rend HTTP/3 plus sécurisé que HTTP/2 (plus d'informations ci-dessous)
  • Protection contre les attaques par déni de service distribué (DDoS) HTTP/2 de type « Rapid Reset», qui peuvent ralentir ou bloquer un serveur web, grâce à un système de flux basé sur des crédits (un « flux » correspond à une requête HTTP unique et la réponse en retour) qui permet aux serveurs HTTP/3 de disposer d'un contrôle précis sur la concurrence de flux
  • Solution de contournement pour les performances médiocres lorsqu'un smartphone passe du Wi-Fi aux données cellulaires, par exemple lorsqu'il quitte la maison ou le bureau

Qu'est-ce qui est chiffré par défaut ?

Le fait d'exiger le chiffrement dans la couche de transport, plutôt que dans la couche applicative, a des implications importantes pour la sécurité. Cela signifie que la connexion sera toujours chiffrée. Auparavant, dans le cadre du protocole HTTPS, les connexions de la couche de chiffrement et de la couche de transport se faisaient séparément. Les connexions TCP pouvaient transporter des données chiffrées ou non chiffrées, et les négociations TCP et TLS (Transport Layer Security) étaient des événements distincts. Toutefois, QUIC établit des connexions chiffrées par défaut au niveau de la couche transport ; les données de la couche application seront toujours chiffrées.

QUIC y parvient en combinant les deux négociations en une seule action, ce qui réduit la latence puisque l'application ne doit attendre la fin que d'une seule négociation avant d'envoyer des données. Il chiffre également les métadonnées de chaque connexion, notamment les numéros de paquets et certains autres éléments de l'en-tête, afin d'éviter que les informations relatives au comportement des utilisateurs ne parviennent aux acteurs malveillants. Cette fonctionnalité n'était pas possible avec HTTP/2 car elle reposait sur TCP et TLS.

Historiquement, HTTP utilisait le TCP en texte clair, ce qui a des conséquences négatives pour la sécurité, car toute personne surveillant les communications peut lire les requêtes et les réponses. Aujourd'hui, les sites et les navigateurs web préfèrent chiffrer toutes les communications HTTP pour garantir la sécurité de tous et protéger les données sensibles. Le chiffrement de QUIC par défaut contribue à cet objectif.

HTTP/3 est-il disponible maintenant ?

Oui. HTTP/3 est mis en œuvre de manière standard dans tous les principaux navigateurs web et peut être activé par tous les clients de Cloudflare sans aucune modification de leur origine. Découvrez comment procéder à la modification pour votre domaine.

Cloudflare Radar tient à jour des statistiques sur l'utilisation des versions HTTP.