Qu'est-ce que HTTP/3 ?

HTTP/3 est la prochaine révision majeure du protocole de transfert hypertexte (HTTP). Il améliorera la vitesse, la sécurité et la fiabilité.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Comprendre quelles améliorations sont attendues dans HTTP/3
  • Reconnaître comment le protocole façonnera l'expérience de l'utilisateur
  • Décrire les avantages prévus en matière de sécurité

Copier le lien de l'article

Qu'est-ce que HTTP/3 ?

HTTP est une colonne vertébrale essentielle de l'internet. Il détermine la manière dont les plateformes et les appareils de communication échangent des informations et récupèrent des ressources. En bref, c'est ce qui permet aux utilisateurs de charger les sites web.

HTTP/3 est une nouvelle norme en cours de développement qui affectera la manière dont les navigateurs et les serveurs web communiquent, avec des améliorations significatives pour l'expérience utilisateur, notamment en termes de performances, de fiabilité et de sécurité.

Après la publication du premier protocole de transfert hypertexte (HTTP) en 1991, les itérations suivantes ont permis de rendre les sites web plus rapides sans modifier le code sous-jacent.

Quelles sont les nouveautés de HTTP/3 ?

HTTP/3 sera la première mise à niveau majeure du protocole de transfert hypertexte depuis l'approbation de HTTP/2 en 2015.

Une différence importante de HTTP/3 est qu'il fonctionne avec QUIC, un nouveau protocole de transport. QUIC est conçu pour un usage intensif de l'Internet mobile, où les gens ont des smartphones qui passent constamment d'un réseau à l'autre au gré de leurs déplacements. Ce n'était pas le cas lorsque les premiers protocoles Internet ont été développés : les appareils étaient moins portables et ne changeaient pas de réseau très souvent.

L'utilisation de QUIC signifie que HTTP/3 repose sur le protocole de datagramme utilisateur (UDP), et non sur le protocole de contrôle de transmission (TCP). Le passage à l'UDP permettra des connexions plus rapides et une meilleure expérience utilisateur lors de la navigation en ligne.

Le protocole QUIC a été développé par Google en 2012 et a été adopté par l'Internet Engineering Task Force (IETF) - un organisme de normalisation neutre vis-à-vis des fournisseurs - lorsqu'ils ont commencé à créer la nouvelle norme HTTP/3. Après avoir consulté des experts du monde entier, l'IETF a apporté une foule de modifications pour développer sa propre version de QUIC.

Pourquoi une nouvelle version de HTTP est-elle nécessaire ?

QUIC contribuera à corriger certaines des principales lacunes de HTTP/2 :

  • Mise au point d'une solution de contournement pour la lenteur des performances lorsqu'un smartphone passe du WiFi aux données cellulaires (par exemple, lorsqu'il quitte la maison ou le bureau).
  • Diminution des effets de la perte de paquets - lorsqu'un paquet d'informations ne parvient pas à sa destination, il ne bloque plus tous les flux d'informations (problème connu sous le nom de "blocage en tête de ligne").

Les autres avantages sont les suivants :

  • Établissement plus rapide des connexions : QUIC permet à TLS de négocier la version en même temps que les poignées de main cryptographiques et de transport .
  • Zéro round-trip time (0-RTT) : Pour les serveurs auxquels ils se sont déjà connectés, les clients peuvent sauter l'exigence de la poignée de main (le processus d'acquittement et de vérification de l'autre pour déterminer comment ils vont communiquer).
  • Un chiffrement plus complet : La nouvelle approche de QUIC en matière de poignée de main fournira un chiffrement par défaut - une amélioration considérable par rapport à HTTP/2 - et contribuera à atténuer le risque d'attaques.

Qu'est-ce qui est crypté par défaut ?

Le fait d'exiger le cryptage dans la couche de transport, plutôt que dans la couche d'application, a des implications importantes pour la sécurité. Cela signifie que la connexion sera toujours chiffrée. Auparavant, dans le cadre du protocole HTTPS, les connexions de la couche de chiffrement et de la couche de transport se faisaient séparément. Les connexions TCP pouvaient transporter des données cryptées ou non cryptées, et la poignée de main TCP et la poignée de main TLS étaient des événements distincts. Toutefois, QUIC établit des connexions cryptées par défaut au niveau de la couche transport - les données de la couche application seront toujours cryptées.

QUIC y parvient en combinant les deux poignées de main en une seule action, ce qui réduit la latence puisque les applications doivent attendre la fin d'une seule poignée de main avant d'envoyer des données. Il crypte également les métadonnées de chaque connexion, y compris les numéros de paquets et certaines autres parties de l'en-tête, afin que les informations sur le comportement des utilisateurs ne tombent pas entre les mains d'attaquants. Cette fonctionnalité n'était pas incluse dans HTTP/2. Le chiffrement de ces données permet d'éviter que des informations exploitables sur le comportement des utilisateurs ne tombent entre les mains d'attaquants.

L'utilisation traditionnelle de HTTP ( ) en texte clair pour les demandes et les réponses a des conséquences négatives pour la sécurité, puisque toute personne surveillant les communications peut les lire. Le cryptage par défaut contribuera à la sécurité de tous et à la protection des données sensibles.

HTTP/3 est-il disponible maintenant ?

Bien que la norme soit encore en cours de développement, les propriétaires de sites Web et les visiteurs peuvent commencer à bénéficier de la prise en charge de HTTP/3 par les navigateurs, les systèmes d'exploitation et d'autres clients. Bien entendu, d'autres changements sont à prévoir pour cette norme, qui a déjà fait l'objet de plusieurs mises en œuvre.

Après la sortie de HTTP/3, l'ensemble du web ne basculera pas d'un coup. De nombreux sites ne sont même pas encore sous HTTP/2.

L'un des obstacles potentiels du nouveau protocole est qu'il nécessite une utilisation accrue du processeur, tant pour le serveur que pour le client. Son impact diminuera probablement avec le temps, à mesure que la technologie évolue.

Qui décide de ce qui est inclus dans HTTP/3 ?

L'IETF a réuni le groupe de travail QUIC en 2016. Des personnes de nombreuses organisations et sociétés sont impliquées dans le processus de développement - y compris Cloudflare.

Avant d'obtenir son nom actuel de HTTP/3, la norme était connue sous les noms de "HTTP-over-QUIC" et "HTTP/2 Semantics Using The QUIC Transport Protocol".

Comment les propriétaires de sites Web peuvent-ils activer HTTP/3 dès maintenant ?

Cloudflare permet aux propriétaires de sites Web d'activer la prise en charge de HTTP/3 sans aucune modification de leur origine. Découvrez comment faire la transition pour votre domaine.