¿Qué es el protocolo HTTP/3 y por qué Chrome y Firefox lo están agregando?

Acorde a especialistas en seguridad de aplicaciones web, cada vez más compañías están integrando soporte para HTTP/3, la próxima iteración del protocolo HTTP. Entre los navegadores web que ya se han sumado a esta actualización se encuentran Google Chrome, Mozilla Firefox y sistemas de seguridad en Internet como Cloudflare.

En el caso de Cloudflare, desde este fin de semana los clientes podrán habilitar una opción un sus paneles de control para activar el soporte HTTP3 en sus dominios, informó la compañía. En otras palabras, cuando los usuarios visiten sitios web alojados en Cloudflare desde un cliente con soporte HTTP/3, la conexión se actualizará de forma automática al nuevo protocolo, dejando atrás las implementaciones anteriores.

Respecto a los navegadores, los expertos en seguridad de aplicaciones web mencionan que Chrome Canary ha agregado soporte para el protocolo HTTP/3 desde hace un par de semanas. Para activarlo, los usuarios sólo deben usar una línea de comando. Por otra parte, Mozilla también anunció la inclusión de soporte para HTTP/3; el lanzamiento está previsto para finales de este otoño junto con la última versión de Firefox Nightly.

¿Qué es exactamente HTTP/3?

HTTP/3, o HTTPv3, será la próxima versión principal del protocolo HTTP para mover contenido de servidores a clientes a través de aplicaciones web, navegadores o apps móviles, entre otras. Para esta nueva versión se reescribió pro completo HTTP, que usa el protocolo QUIC en lugar de TCP. Además incluye soporte para TLS.

Especialistas en seguridad de aplicaciones web mencionan que HTTPv3 es la conjunción de distintas implementaciones que funcionan como una sola para volver la carga de sitios web más rápida y usando conexiones cifradas de forma predeterminada.

Para entender HTTP/3, es importante entender el modelo de red OSI. Por defecto, HTTP (protocolo de capa 7) usa TCP (capa 4) como base. A su vez, TCP se usa para negociar conexiones entre cliente y servidor para después mover los datos entre las dos partes, por lo que se le considera un protocolo de transporte.

No obstante, el protocolo TCP fue designado en la década de 1970, por lo que con el paso del tiempo quedó demostrado que no fue diseñado pensando en la velocidad de transporte.  Múltiples especialistas trataron de diseñar un protocolo más eficiente. Expertos de Google lograron crear SPDY, un protocolo que solucionó algunas de las fallas de TCP y que a la postre se convirtió oficialmente en HTTP/2, usado en alrededor del 40% de todos los sitios de Internet actualmente.

Posteriormente, los ingenieros de Google descubrieron que era posible combinar diversas implementaciones, como TCP y UDP, para la creación de un protocolo completamente nuevo. De este modo nació el Quick UPD Internet Connections (QUIC), un protocolo de transporte de capa 4 mucho más rápido.  

En pocas palabras, el protocolo HTTP/3 es lo mismo que implementar QUIC al interior de HTTP, reemplazando TCP y SPDY a nivel de transporte. Acorde a especialistas en seguridad de aplicaciones web del Instituto Internacional de Seguridad Cibernética (IICS), HTTPv3 fue aprobado formalmente desde octubre de 2018, aunque aún falta tiempo para que las compañías integren soporte y adopten su uso. Por el momento, aproximadamente el 3% de todos los sitios web existentes han adoptado HTTPv3, por lo que el proceso podría alargarse.