HTTP/3: Navegar por Internet de forma más rápida y segura

HTTP/3

La tecnología HTTP/3 lleva años desarrollándose y tiene previsto llegar oficialmente a lo largo del 2020, para ofrecer una navegación por Internet más rápida y segura.

HTTP (Protocolo de transferencia de hipertexto) es el protocolo de comunicación que permite las transferencias de información en Internet. La nueva versión HTTP/3 supone un cambio crucial: deja de utilizar por primera vez el protocolo TCP y lo sustituye por un nuevo protocolo llamado QUIC desarrollado por Google. En relación a la ciberseguridad, una de las características claves del protocolo QUIC es que está cifrado por defecto mediante TLS 1.3.

TCP y UDP

Para comprender las implicaciones de HTTP/3 vamos a ver brevemente dos protocolos fundamentales en Internet: TCP y UDP.
TCP (Protocolo de Control de Transmisión) da soporte a múltiples protocolos de la capa de aplicación, como por ejemplo, HTTP (web) y HTTPS (web segura).
La principal característica del protocolo TCP es que es un protocolo orientado a conexión. Para poder establecer la comunicación es totalmente necesario establecer una conexión previa entre cliente y servidor. Para establecer la conexión se usa el procedimiento llamado “negociación en tres pasos” (3-way handshake):

El cliente (quien inicia la conexión) envía un mensaje SYN al servidor (quien recibe la conexión).
El servidor le enviará un mensaje de tipo SYN-ACK, indicando que puede empezar a enviar información.
El cliente envía un ACK indicando que lo ha recibido correctamente, y ya se empieza a enviar toda la información entre cliente y servidor de manera bidireccional.

Una de las vulnerabilidades de TCP radica en la posibilidad de realizar un ataque de denegación de servicio (DoS) mediante el envío de una gran cantidad de segmentos TCP SYN, con el objetivo de «saturar» de conexiones al receptor.
UDP (Protocolo de Datagramas de usuario) a diferencia de TCP, permite el envío de datos sin necesidad de establecer una conexión previa. UDP se utiliza principalmente cuando es más importante la rapidez que la fiabilidad (por ejemplo los protocolos DHCP y DNS). UDP es muy utilizado para la trasmisión de audio y vídeo a través de Internet.

Ventajas de HTTP/3

Como ya hemos comentado, HTTP/3 deja de utilizar el protocolo TCP y lo sustituye por un nuevo protocolo llamado QUIC.
QUIC (Conexiones UDP rápidas en Internet) es un protocolo de red sobre la capa de transporte diseñado por Jim Roskind en Google. QUIC soporta un conjunto de conexiones multiplexadas entre dos extremos sobre UDP. El principal objetivo de QUIC es mejorar el rendimiento percibido de aplicaciones web orientadas a conexión que usan actualmente TCP.
QUIC viene cifrado por defecto usando el protocolo TLS 1.3. Esto es una característica fundamental para la ciberseguridad, ya que utilizando HTTP3 ninguna comunicación por Internet se realizará sin encriptar (en texto plano), evitando tener que añadir una capa adicional de seguridad como actualmente ocurre con HTTPS.
Referencias:
https://www.adslzone.net/reportajes/tecnologia/que-es-tecnologia-http3/
https://www.redeszone.net/tutoriales/internet/tcp-udp-caracteristicas-uso-diferencias/

Empresas en peligro por la ciberseguridad

Red teams y test de penetración en Next Security