Ilustração 2D mostra homem e mulher apontando para navegador na tela de um grande computador com HTTP/3 escrito na janela
Freepik/vectorjuice

O HTTP/3, a próxima grande revisão do protocolo de transferência de hipertexto (HTTP), promete revolucionar a forma como navegamos na web, trazendo melhorias significativas em velocidade, segurança e confiabilidade, representando um salto importante na evolução da internet.

O HTTP é a base da comunicação na web, definindo como dispositivos e plataformas trocam informações e acessam recursos. Desde o seu lançamento, em 1991, iterações subsequentes otimizaram a velocidade dos sites sem modificar o código subjacente. O HTTP/3, no entanto, marca uma ruptura significativa.

Ainda em desenvolvimento, o HTTP/3 irá impactar a comunicação entre navegadores e servidores, aprimorando substancialmente a experiência do usuário em aspectos como desempenho, estabilidade e proteção.

Novidades do HTTP/3

O HTTP/3 será a primeira grande atualização do protocolo HTTP desde a aprovação do HTTP/2 em 2015. Uma mudança crucial é a utilização do QUIC, um novo protocolo de transporte projetado para o uso massivo da internet móvel, onde os smartphones frequentemente mudam de rede. Essa realidade era inexistente quando os primeiros protocolos de internet foram criados, pois os dispositivos eram menos portáteis e a troca de redes era menos comum.

O QUIC se baseia no Protocolo de Datagrama do Usuário (UDP) em vez do Protocolo de Controle de Transmissão (TCP). Essa mudança possibilitará conexões mais rápidas e uma melhor experiência geral de navegação.

Desenvolvido pelo Google em 2012 e posteriormente adotado pela Força-Tarefa de Engenharia de Internet (IETF), o QUIC foi fundamental na criação do novo padrão HTTP/3. Após consultas com especialistas internacionais, a IETF implementou diversas modificações para desenvolver sua própria versão do QUIC.

O que o HTTP/3 precisa corrigir

O HTTP/3 solucionará algumas das principais deficiências do HTTP/2:

  • Lentidão na Troca de Redes: O HTTP/3 resolverá o problema de desempenho lento quando um dispositivo muda de Wi-Fi para dados móveis (por exemplo, ao sair de casa ou do trabalho).
  • Perda de Pacotes: Com o HTTP/3, a perda de um pacote de informações não bloqueará mais todos os fluxos de dados (um problema conhecido como “bloqueio de head-of-line”).

Além disso, o HTTP/3 oferece outras vantagens:

  • Estabelecimento de conexão mais rápido: O QUIC permite que a negociação da versão TLS ocorra simultaneamente aos handshakes (o processo de reconhecimento e verificação mútua para determinar como se comunicarão) criptográfico e de transporte.
  • Tempo de ida e volta zero (0-RTT): Para servidores já conectados anteriormente, os clientes podem pular o handshake.
  • Criptografia mais abrangente: A nova abordagem de handshake do QUIC fornecerá criptografia por padrão – um grande avanço em relação ao HTTP/2 – e ajudará a mitigar o risco de ataques.

Veja também:

Criptografia por padrão

Exigir criptografia na camada de transporte, em vez da camada de aplicação, tem implicações importantes para a segurança. Isso significa que a conexão sempre será criptografada. Anteriormente, no HTTPS, a criptografia e as conexões da camada de transporte ocorriam separadamente. As conexões TCP podiam transportar dados criptografados ou não criptografados, e os handshakes TCP e TLS eram eventos distintos. No entanto, o QUIC configura conexões criptografadas por padrão na camada de transporte – os dados da camada de aplicação sempre serão criptografados.

O QUIC realiza isso combinando os dois handshakes em uma única ação, reduzindo a latência, pois os aplicativos precisam aguardar apenas a conclusão de um handshake antes de enviar dados. Ele também criptografa metadados sobre cada conexão, incluindo números de pacotes e algumas outras partes do cabeçalho, para ajudar a manter informações sobre o comportamento do usuário fora das mãos de invasores. Esse recurso não estava presente no HTTP/2. A criptografia desses dados ajuda a proteger informações úteis sobre o comportamento do usuário.

O uso tradicional de texto simples pelo HTTP para solicitações e respostas tem consequências negativas para a segurança, pois qualquer pessoa que monitore as comunicações pode lê-las. A criptografia por padrão ajudará a manter todos seguros e protegerá dados confidenciais.