Cos'è HTTP/3?

HTTP/3 è la prossima revisione importante del protocollo di trasferimento ipertestuale (HTTP) che migliorerà velocità, sicurezza e affidabilità.

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Comprendere quali miglioramenti sono previsti in HTTP/3
  • Riconoscere come il protocollo modellerà l'esperienza utente
  • Descrivere i vantaggi in termini di sicurezza previsti

Argomenti correlati


Vuoi saperne di più?

Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.

Fai riferimento all'Informativa sulla privacy di Cloudflare per scoprire come raccogliamo ed elaboriamo i tuoi dati personali.

Copia link dell'articolo

Cos'è HTTP/3?

Il protocollo HTTP (Hypertext Transfer Protocol) è una struttura portante essenziale di Internet: determina il modo in cui le piattaforme e i dispositivi di comunicazione scambiano informazioni e recuperano risorse. In breve, è ciò che consente agli utenti di caricare i siti Web.

HTTP/3 è l'ultima versione principale di HTTP. I browser Web e i server possono utilizzarlo per aggiornamenti significativi esperienza utente, comprese prestazioni, affidabilità e sicurezza. La negoziazione delle versioni HTTP avviene senza problemi, senza richiedere modifiche al codice del sito Web.

Quali sono le novità di HTTP/3?

HTTP/3 è il primo importante aggiornamento di HTTP da quando è stato approvato HTTP/2 nel 2015. È stato pubblicato e reso disponibile a tutti i clienti Cloudflare nel 2021.

Una differenza importante in HTTP/3 è che viene eseguito su QUIC, un nuovo protocollo di trasporto. QUIC è progettato per essere veloce e supportare la commutazione rapida tra le reti. Si basa sul protocollo UDP (User Datagram Protocol) anziché sul protocollo TCP (Transmission Control Protocol), il che attenua un problema chiamato blocco della linea principale nel TCP, in cui la perdita o il riordino dei pacchetti di rete può rallentare le connessioni con un elevato numero di transazioni. Inoltre, QUIC separa la connessione di trasporto di livello 4 dal flusso IP di livello 3, consentendo la migrazione tra reti diverse senza interruzioni.

QUIC può supportare meglio l'uso intensivo di Internet tramite dispositivi mobili, in cui le persone portano con sé smartphone e passano continuamente da una rete all'altra durante gli spostamenti della giornata. Questo tipo di utilizzo di Internet non era comune quando vennero sviluppati i primi protocolli Internet: i dispositivi erano meno portatili e non cambiavano rete molto spesso.

Google ha iniziato a lavorare su una prima versione di QUIC nel 2012. Nel 2016 è stato adottato dall'Internet Engineering Task Force (IETF), un'organizzazione di standardizzazione indipendente dai fornitori, quando hanno iniziato a creare il nuovo standard HTTP/3. Dopo aver consultato esperti di tutto il mondo, l'IETF ha apportato una serie di modifiche per sviluppare la versione standard di QUIC pubblicata come RFC 9000.

Perché è necessaria una nuova versione di HTTP?

QUIC aiuta a correggere alcune delle maggiori carenze di HTTP/2:

  • Riduzione degli effetti della perdita di pacchetti: quando un pacchetto di informazioni non arriva a destinazione, non bloccherà più tutti i flussi di informazioni, un problema noto come "blocco head-of-line"
  • Impostazione di una connessione più veloce: QUIC combina gli handshake di crittografia e trasporto
  • Zero tempo di andata e ritorno (0-RTT): per i server a cui si sono già connessi, i client possono saltare il requisito di handshake (il processo di riconoscimento e verifica reciproca per determinare come comunicheranno)
  • Crittografia più completa: QUIC è crittografato per impostazione predefinita, rendendo HTTP/3 più sicuro di HTTP/2 (maggiori dettagli di seguito)
  • Protezione dagli attacchi DDoS (Distributed Denial of Service) HTTP/2 "Rapid Reset", che possono rallentare o bloccare un server Web, utilizzando un sistema basato sui crediti per i flussi (un "flusso" è un singolo scambio di richiesta e risposta HTTP) per consentire ai server HTTP/3 un controllo dettagliato sulla concorrenza dei flussi.
  • Sviluppo di una soluzione alternativa per le prestazioni lente quando uno smartphone passa dal Wi-Fi ai dati cellulari, ad esempio quando esce di casa o dall'ufficio

Cos'è la crittografia predefinita?

Richiedere la crittografia a livello di trasporto, anziché a livello di applicazione, ha importanti implicazioni per la sicurezza. Significa che la connessione sarà sempre crittografata. In precedenza, in HTTPS, la crittografia e le connessioni a livello di trasporto avvenivano separatamente. Le connessioni TCP potevano trasportare dati crittografati o non crittografati e l'handshake TCP e l'handshake TLS (Transport Layer Security) erano eventi distinti. Tuttavia, QUIC imposta automaticamente le connessioni crittografate a livello di trasporto: i dati a livello di applicazione saranno sempre crittografati.

QUIC realizza questo risultato combinando i due handshake in un'unica azione, riducendo la latenza poiché le applicazioni devono attendere il completamento di un solo handshake prima di inviare i dati. Inoltre, crittografa i metadati relativi a ciascuna connessione, inclusi i numeri dei pacchetti e altre parti dell'intestazione, per impedire che informazioni sul comportamento dell'utente finiscano nelle mani degli aggressori. Questa funzionalità non era possibile con HTTP/2 perché si basava su TCP e TLS.

Storicamente, HTTP ha utilizzato il protocollo TCP in chiaro, il che ha conseguenze negative sulla sicurezza, poiché chiunque monitori le comunicazioni può leggere richieste e risposte. Oggigiorno, i siti Web e i browser Web preferiscono crittografare tutte le comunicazioni HTTP per garantire una maggiore sicurezza a tutti e proteggere i dati sensibili. Di default, la crittografia QUIC supporta questo obiettivo.

HTTP/3 è disponibile ora?

Sì. HTTP/3 è implementato come standard in tutti i principali browser Web e può essere abilitato da tutti i clienti Cloudflare senza alcuna modifica alla loro origine. Scopri come effettuare il passaggio per il tuo dominio.

Cloudflare Radar mantiene statistiche aggiornate sull'utilizzo della versione HTTP.