Site Web

Hébergement Web : c’est quoi le protocole HTTP/3 ?

Les chercheurs en sécurité viennent à peine de s’attaquer à HTTP/2, mais les acteurs du web préparent déjà une mise à jour : HTTP/3.

Cette technologie offre des gains de performance et des avantages en matière de sécurité, mais seulement si l’on surmonte les nombreux problèmes de déploiement qui se posent pour ce qui, selon un expert, doit être considéré comme un changement évolutif plutôt que révolutionnaire dans le fonctionnement du web. 

Ce sujet vous intéresse et vous souhaitez en savoir plus ?

Cet article est pour vous.

HTTP/3, c’est quoi ?

HTTP/3 est une révision majeure du protocole de transfert hypertexte (HTTP), la technologie qui sous-tend le transfert d’informations sur le web.

HTTP/3 fonctionne avec QUIC, un protocole de transport général crypté qui multiplexe plusieurs flux de données sur une seule connexion.

QUIC a été initialement développé par Google. Le protocole utilise le contrôle de la congestion spatiale sur le protocole UDP (User Datagram Protocol).

Quelle est la relation entre HTTP, HTTP/2 et HTTP/3 ?

Alors que HTTP est en réalité « HTTP sur TCP » et que HTTP/2 peut être décrit comme « HTTP sur TCP », HTTP/3 pourrait être mieux décrit comme « HTTP/2 sur QUIC ».

Lors de la conférence virtuelle Black Hat Asia 2020, Nick Harper, ingénieur chez Google, a expliqué en détail comment QUIC et HTTP/3 se comparent à HTTP/2.

M. Harper a affirmé que la pile de protocoles HTTP/3 présente « une sécurité équivalente à celle de HTTP/2 », ajoutant que l’utilisation de QUIC par HTTP/3 améliore les performances tandis que QUIC renforce la confidentialité.

HTTP/3 est largement similaire à HTTP/2 dans ses caractéristiques de haut niveau, bien que leur mise en œuvre diffère, a déclaré à The Daily Swig Robin Marx, chercheur doctorant spécialisé dans les performances du Web à l’université de Hasselt, en Belgique.

Quels sont les avantages du protocole HTTP/3 ?

Le passage à QUIC permet de résoudre en grande partie un problème majeur de HTTP/2, à savoir le « blocage en tête de ligne ».

Comme la nature parallèle du multiplexage de HTTP/2 n’est pas visible pour les mécanismes de récupération des pertes de TCP, un paquet perdu ou réordonné provoque le blocage de toutes les transactions actives, qu’une transaction particulière ait été touchée ou non par le paquet perdu.

Comme QUIC fournit un multiplexage natif, les paquets perdus n’ont un impact que sur les flux où les données ont été abandonnées.

L’effet pratique de la mise à niveau vers HTTP/3 est de réduire la latence des connexions Internet de mauvaise qualité ou à perte.

QUIC est presque entièrement crypté, ce qui signifie que la sécurité devrait également être considérablement améliorée avec HTTP/3.

Ce cryptage intégré réduit les possibilités d’attaques de type « manipulateur au milieu » (MitM), tandis que QUIC comprend également d’autres caractéristiques qui contribuent à la protection contre les exploits de déni de service, selon M. Marx.

QUIC combine ses poignées de main cryptographiques et de transport de manière à permettre la connexion à un nouveau serveur en un seul aller-retour. La même technologie permet de reprendre rapidement une connexion interrompue, le client envoyant des données d’application cryptées lors de son premier vol.

Quel est le niveau de prise en charge de HTTP/3 ?

Depuis octobre 2020, le protocole HTTP/3 est un projet de norme Internet et compte de multiples implémentations.

Près de 8 % des 10 millions de sites Web les plus importants prennent en charge HTTP/3, selon les derniers chiffres de W3Techs.

HTTP/3 n’est pas pris en charge par défaut dans les versions stables des navigateurs Chrome (depuis décembre 2019) et Firefox (depuis janvier 2020).

Quels sont les avantages du déploiement de HTTP/3 ?

Les partisans de HTTP/3 estiment que la technologie offrira un temps de chargement plus rapide des sites web et de meilleures performances, notamment sur les réseaux sujets aux pertes, par rapport aux technologies précédentes.

Achiel van der Mandele, chef de produit chez Cloudflare, explique : « En termes simples, nous pensons que HTTP/3 rendra l’internet meilleur pour tout le monde. HTTP/3 est le successeur de HTTP/2, offrant des performances améliorées lors du chargement des sites Web.

« Les utilisateurs de HTTP/3 bénéficieront d’une configuration de connexion plus rapide et de meilleures performances sur les réseaux de faible qualité présentant des pertes de paquets importantes. Ces deux améliorations garantissent un chargement plus rapide et plus fiable des sites Web », a déclaré M. Mandele au Daily Swig.

Marx s’est montré plus prudent en parlant des avantages de HTTP/3 :

« Les performances devraient également être améliorées, mais pas autant que cela dans la pratique », estime-t-il. « La suppression du blocage en tête de ligne n’est pas si importante que cela pour le chargement de pages Web, par exemple.”

« La plupart des gains proviendront de la réduction des temps d’établissement de la poignée de main », a-t-il expliqué, ajoutant que HTTP/3 et QUIC représentent une « évolution, pas une révolution ».

« Les performances seront améliorées, mais pas de manière très perceptible pour des choses comme la navigation sur le Web », a ajouté M. Marx. « La sécurité devrait être meilleure et protégée contre plusieurs types d’attaques ».

Quand QUIC et HTTP/3 deviendront-ils des technologies courantes ?

La découverte de QUIC est complexe, car les connexions HTTP/2 ne peuvent pas simplement être mises à niveau vers QUIC de la même manière que HTTP/1.1 est mis à niveau vers HTTP/2. En effet, QUIC fonctionne sur UDP et non sur TCP.

Compte tenu de cet obstacle à la mise en œuvre, M. Marx a déclaré qu’au cours des prochaines années, HTTP/3 sera « probablement quelque chose que vous obtiendrez en utilisant un réseau de diffusion de contenu ou un fournisseur de services externe, et non quelque chose que vous mettrez en place sur vos propres serveurs (pour la plupart des gens) ».

Marx conclut : « QUIC est toujours un protocole très puissant et la plupart des gains de performance viendront plus tard, car il est beaucoup plus facile que TCP d’évoluer/de modifier le protocole et de nouvelles meilleures pratiques vont émerger.

Source :

portswigger.net

Author

Fan Digital Marketing

Agence web de Marketing Digital située à Alger, Algérie

Leave a comment

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *