BLOG

HTTP/3 apportera des changements et des défis importants

Miniature de Lori MacVittie
Lori MacVittie
Publié le 18 mars 2019

Il semble que HTTP/2 ait été l’équivalent technologique d’un feu de paille. La norme ratifiée a été publiée en grande pompe en 2015. Il s’agit du premier changement significatif apporté à la lingua franca d’Internet depuis 1999.

Et puis, tout d’un coup, ce fut le silence. Le tableau de bord HTTP/2 , créé et maintenu par des chercheurs de plusieurs universités réputées, est devenu silencieux à la fin de 2016. Il n’y a pas eu de mise à jour des statistiques d’adoption depuis lors. Personne n'en parle plus. Ses 15 minutes de gloire sont apparemment passées.

Et pourtant, le mouvement continue de gagner du terrain en coulisses. Lentement mais sûrement, HTTP/2 fait son chemin dans la pile d’applications.

HTTP/2 DÉPASSE TOUJOURS IPv6

En tant qu’organisation dont l’existence repose sur des applications – et en particulier des applications qui s’exécutent sur des variantes HTTP – nous avons suivi de près l’adoption de HTTP/2. Nous avons commencé à suivre les services de passerelle HTTP/2 en 2018 dans notre recherche sur l'état des services d'application . En 2018, 40 % des répondants ont déclaré avoir déployé une passerelle HTTP/2. En 2019, ce chiffre est tombé à 33 %. Dans le cloud public, 19 % des répondants utilisent une passerelle HTTP/2 pour certaines de leurs applications. Il a réussi à figurer dans la liste des cinq principaux services d'application qui seront déployés au cours de l'année à venir pendant deux années consécutives, avec 25 % des répondants en 2019 prévoyant de les déployer.

Le tableau de bord HTTP/2 a noté qu'un peu plus de 250 000 domaines avaient annoncé leur prise en charge de HTTP/2 le 16 novembre 2016. Il existe plus de 1,8 milliard de sites sur Internet selon Netcraft, qui suit ce genre de choses. W3Techs mesure l'utilisation de HTTP/2 sur 33 % de tous les sites Web, ce qui correspond bien aux 250 000 domaines recensés en 2016 si nous limitons Internet au million de sites les plus importants. Compte tenu de cette restriction, les chiffres semblent tous se situer autour de 25 à 35 % des sites ayant adopté HTTP/2.

Si vous pensez que ce n'est pas assez rapide, sachez qu'IPv6 existe depuis bien plus longtemps et n'a réussi à rassembler que 13,4 % des sites Web en janvier 2019

VOICI HTTP/3

Et maintenant, HTTP/3 est en route avec des changements encore plus spectaculaires sous le capot. Si vous n'êtes pas familier avec HTTP/3, vous voudrez peut-être consulter la proposition acceptée par l'IETF de renommer HTTP-over-QUIC de Google en HTTP/3. De la même manière que SPDY est devenu la base de HTTP/2, QUIC est la base de HTTP/3.

Mais si vous pensiez que les changements apportés à HTTP/2 étaient spectaculaires, vous n’avez encore rien vu.

Vous voyez, QUIC - et donc HTTP/3 - est basé sur UDP. C'est un changement assez radical par rapport au bon vieux TCP fiable. Et contrairement à HTTP/2, qui a cédé et supprimé l'exigence de cryptage (un point discutable puisque les créateurs de navigateurs ont décidé qu'ils ne prendraient en charge que le HTTP/2 crypté de toute façon), HTTP/3 l'exigera.  

 

Vous pensez peut-être : « Il était temps ! Cryptez toutes les choses !!"
Vous pensez peut-être : « Il était temps ! Cryptez toutes les choses !!"

Et même si c’est certainement une intention valable et peut-être même noble, les implications auront des répercussions retentissantes sur l’infrastructure et l’architecture, en particulier pour les fournisseurs de services. Le déplacement du chiffrement vers le haut de la pile pour inclure à peu près tout, combiné au passage de TCP à UDP, change tout. La plupart des systèmes de sécurité ne sont pas habitués à examiner de très près le contenu véhiculé par UDP. La plupart du trafic qui utilise UDP est constitué de services utilitaires et d'infrastructures tels que DNS et NTP. Dans le nouveau monde de HTTP/3, ne pas inspecter minutieusement les charges utiles pourrait s’avérer dangereux. Après tout, le contenu transmis pourrait très bien être malveillant. Il pourrait s'agir de robots. Cela pourrait être une attaque. Cela pourrait être n'importe quoi.

Les exigences de chiffrement rendent également plus difficile pour les « boîtiers intermédiaires » d’inspecter le trafic. Une telle inspection est essentielle pour maintenir la sécurité des applications et des données. Le changement des protocoles de la couche de transport peut également s’avérer problématique. Les services de sécurité sont souvent construits sur le principe que le trafic des applications (HTTP pour la plupart) sera transporté via TCP. TCP est un protocole fiable et orienté connexion. Le passage à UDP pourrait avoir un impact significatif sur la capacité de l'infrastructure de sécurité à analyser le trafic des applications, simplement parce que UDP est un protocole basé sur des datagrammes (paquets) et peut être, eh bien, peu fiable.  

UN CHEMIN LENT VERS L'ADOPTION 

L’adoption de HTTP/3 sera probablement lente tandis que HTTP/2 continue sa propagation lente mais régulière. Après tout, la majeure partie du Web continue de s’appuyer sur le bon vieux HTTP/1.x. Il faudra un certain temps avant que HTTP/2 ne dépasse HTTP/1.x et la probabilité de migrer l'ensemble de l'infrastructure et des piles d'applications si tôt est faible.

L’impact sur l’infrastructure de sécurité devrait également ralentir l’adoption jusqu’à ce que les fournisseurs de services de sécurité soient en mesure de s’adapter. Les initiatives Zero Trust , qui intègrent un contexte plus large provenant des clients (comme l'identifiant et la réputation de l'appareil), pourraient finalement s'avérer une aubaine à mesure que la sécurité migre vers une stratégie plus globale pour protéger les applications. La maturation et l’adoption des technologies Zero Trust peuvent apporter une réponse aux défis de sécurité du HTTP/3. À mesure que les services de sécurité dépendent de plus en plus de l’identification des mauvais acteurs en temps réel, le risque de ne pas pouvoir facilement analyser les charges utiles à la recherche d’activités malveillantes diminue.  

La sortie de HTTP/3 n'est pas prévue avant l'été 2019. Compte tenu de l’adoption lente mais régulière de HTTP/2 et des défis de sécurité posés par HTTP/3, ce dernier est susceptible de faire face à un long et difficile chemin vers l’adoption dans un avenir prévisible.