BLOG

HTTP/3 trará mudanças e desafios significativos

Miniatura de Lori MacVittie
Lori MacVittie
Publicado em 18 de março de 2019

Parece que o HTTP/2 foi o equivalente tecnológico de uma moda passageira. O padrão ratificado foi lançado em 2015 com grande alarde. Foi a primeira mudança significativa na língua franca da Internet desde 1999.

E então, de repente, tudo ficou quieto. O Painel HTTP/2 , criado e mantido por pesquisadores de diversas universidades respeitadas, ficou inativo no final de 2016. Não houve nenhuma atualização nas estatísticas de adoção desde então. Ninguém mais fala sobre isso. Seus 15 minutos de fama aparentemente já passaram.

Mas continuou ganhando força em segundo plano. Lentamente, mas seguramente, o HTTP/2 está chegando à pilha de aplicativos.

HTTP/2 AINDA SUPERA O IPv6

Como uma organização cuja existência depende de aplicativos — e em particular aplicativos executados em variantes HTTP — temos observado de perto a adoção do HTTP/2. Começamos a monitorar serviços de gateway HTTP/2 em 2018 em nossa pesquisa State of Application Services . Em 2018, 40% dos entrevistados disseram ter implantado um gateway HTTP/2. Em 2019, esse número caiu para 33%. Na nuvem pública, 19% dos entrevistados usam um gateway HTTP/2 para alguns de seus aplicativos. Ela conseguiu entrar na lista dos cinco principais serviços de aplicativos que serão implantados no próximo ano por dois anos consecutivos, com 25% dos entrevistados em 2019 planejando implantar.

O Painel HTTP/2 observou que pouco mais de 250.000 domínios anunciaram suporte ao HTTP/2 em 16 de novembro de 2016. De acordo com a Netcraft, há mais de 1,8 bilhão de sites na Internet, que rastreia esse tipo de coisa. A W3Techs mede o uso de HTTP/2 em 33% de todos os sites, o que se compara bem aos 250.000 domínios observados em 2016, se limitarmos a Internet aos principais 1 milhão de sites. Dada essa restrição, os números parecem ficar em torno de 25-35% dos sites que adotaram HTTP/2.

Se você acha que isso não é rápido o suficiente, considere que o IPv6 existe há muito mais tempo e só conseguiu reunir 13,4% dos sites em janeiro de 2019

AÍ VEM O HTTP/3

E agora o HTTP/3 está a caminho com mudanças ainda mais drásticas. Se você não estiver familiarizado com o HTTP/3, confira a proposta aceita pela IETF para renomear o HTTP-over-QUIC do Google como HTTP/3. Da mesma forma que o SPDY se tornou a base do HTTP/2, o QUIC é a base do HTTP/3.

Mas se você achou que as mudanças no HTTP/2 foram drásticas, você ainda não viu nada.

Veja, o QUIC - e portanto o HTTP/3 - é baseado no UDP. O que é uma mudança bastante drástica em relação à dependência do bom e velho e confiável TCP. E ao contrário do HTTP/2, que cedeu e removeu a exigência de criptografia (um ponto discutível, pois os desenvolvedores de navegadores decidiram que, de qualquer forma, só dariam suporte ao HTTP/2 criptografado), o HTTP/3 exigirá isso.  

 

Você pode estar pensando: "Já era hora! Criptografe todas as coisas!!"
Você pode estar pensando: "Já era hora! Criptografe todas as coisas!!"

E embora essa seja certamente uma intenção válida e talvez até nobre, as implicações terão impactos retumbantes na infraestrutura e na arquitetura — especialmente para provedores de serviços. O movimento da criptografia na pilha para incluir praticamente tudo, combinado com a mudança do TCP para o UDP, muda tudo. A maioria dos sistemas de segurança não está acostumada a examinar o conteúdo transportado pelo UDP muito de perto. A maior parte do tráfego que utiliza UDP são serviços de utilidade e infraestrutura, como DNS e NTP. No novo mundo do HTTP/3, deixar de inspecionar cuidadosamente as cargas úteis pode ser perigoso. Afinal, o conteúdo transmitido pode muito bem ser malicioso. Podem ser bots. Poderia ser um ataque. Pode ser qualquer coisa.

Os requisitos de criptografia também dificultam a inspeção do tráfego por “caixas intermediárias”. Essa inspeção é fundamental para manter a segurança dos aplicativos e dados. A mudança nos protocolos da camada de transporte também pode ser problemática. Os serviços de segurança geralmente são criados com base na premissa de que o tráfego do aplicativo (HTTP na maior parte) será transportado pelo TCP. TCP é um protocolo confiável e orientado à conexão. A mudança para UDP pode ter um impacto significativo na capacidade da infraestrutura de segurança de analisar o tráfego de aplicativos, simplesmente porque o UDP é um protocolo baseado em datagramas (pacotes) e pode ser, bem, não confiável.  

UM CAMINHO LENTO PARA A ADOÇÃO 

A adoção do HTTP/3 provavelmente será lenta enquanto o HTTP/2 continua sua disseminação lenta, porém constante. Afinal, a maior parte da web continua a depender do bom e velho HTTP/1.x. Levará algum tempo até que o HTTP/2 ultrapasse o HTTP/1.x e a probabilidade de migrar toda a infraestrutura e pilhas de aplicativos tão cedo é baixa.

O impacto na infraestrutura de segurança também deve manter a adoção lenta até que os provedores de serviços de segurança consigam se adaptar. Iniciativas de confiança zero , que incorporam maior contexto dos clientes — como ID e reputação do dispositivo — podem acabar sendo uma vantagem aqui, à medida que a segurança migra para uma estratégia mais abrangente para proteger aplicativos. A maturidade e a adoção de tecnologias de confiança zero podem fornecer uma resposta para lidar com os desafios de segurança do HTTP/3. À medida que os serviços de segurança se tornam mais dependentes da identificação de agentes mal-intencionados em tempo real, isso reduz o risco de não conseguir examinar facilmente as cargas em busca de atividades maliciosas.  

O HTTP/3 não deve ser lançado antes do verão de 2019. Dada a adoção lenta, mas constante, do HTTP/2 e os desafios de segurança impostos pelo HTTP/3, é provável que este último enfrente uma longa e árdua estrada para adoção em um futuro previsível.