Piedra angular de la estructura web, el protocolo HTTP (Hypertext Transfer Protocol, protocolo de transferencia de hipertexto) está pasando por su mayor cambio en casi una década: una nueva versión llamada HTTP/3 (coloquialmente, H3) está siendo rápidamente implementada, trayendo consigo cambios importantes que resultan en más seguridad y desempeño para tus servicios y aplicaciones web.
En este artículo, vamos a profundizar en uno de los aspectos principales del HTTP/3, la seguridad, y detallar cómo el nuevo protocolo ayuda a proteger tus aplicaciones contra amenazas cada vez más presentes.
Los 5 principales beneficios de HTTP/3 para la seguridad
Cifrado por defecto
El protocolo de red QUIC (Quick UDP Internet Connections, conexiones UDP rápidas en internet), sobre el cual se implementa HTTP/3, ha sido diseñado para ser seguro por defecto. QUIC utiliza el protocolo TLS (Transport Layer Security, seguridad de la capa de transporte) 1.3 desde su creación, lo que significa que todo el tráfico HTTP/3 es obligatoriamente cifrado. En contraste, las versiones anteriores del HTTP podían ser utilizadas con o sin cifrado, y el prefijo HTTPS en la URL indicaba el uso de la versión segura.
Este cifrado incluye no solo los datos propiamente dichos, sino también los encabezados y metadatos de conexión. Con esto se reduce el riesgo de ataques man-in-the-middle, en que los atacantes aprovechan la ausencia de cifrado para interceptar o modificar las comunicaciones entre dos partes.
Protección contra vulnerabilidades comunes
QUIC ha sido diseñado para proteger contra varias vulnerabilidades web comunes. Por ejemplo, incluye protección integrada contra algunos tipos de ataques DDoS, como los ataques de amplificación (amplification attacks), en los que una pequeña solicitud se transforma en una carga mucho mayor con el objetivo de sobrecargar un servidor.
QUIC también mitiga el riesgo de secuestro de conexión (connection hijacking), al incluir características de seguridad que verifican la integridad de la conexión y los datos que se están transfiriendo. Esto hace que sea más difícil para los atacantes inyectar datos maliciosos o tomar el control de una sesión web.
Handshake mejorado y menor latencia
QUIC mejora el proceso tradicional de handshake TLS, combinando el handshake de la capa de transporte con el handshake TLS, lo que reduce el número de viajes de ida y vuelta necesarios para establecer una conexión segura.
Esto no solo acelera el proceso de establecimiento de la conexión, sino que también limita la ventana de oportunidad para que los atacantes interfieran en el proceso de handshake, ya que les da menos tiempo para comprometer la configuración de la conexión.
TLS 1.3 también tiene soporte para un recurso llamado 0-RTT Session Resumption que, básicamente, permite que un cliente “omita la formalidad” y reutilice las claves previamente negociadas al iniciar una conexión con un servidor al que se accedió recientemente. Con esto, el proceso de handshake no necesita ser reiniciado desde cero y la transferencia de datos puede comenzar más rápidamente.
Diagrama comparando la negociación de una conexión segura en HTTP/2 y HTTP/3.
Menor riesgo de ataques basados en “downgrade” de protocolo
Los ataques de downgrade ocurren cuando un atacante fuerza una conexión a utilizar una versión más antigua y menos segura de un protocolo. Con el HTTP/3, el riesgo de estos ataques queda muy minimizado, pues QUIC se construye de acuerdo con los estándares de seguridad más recientes —incluyendo el TLS 1.3 obligatorio— y no soporta protocolos de cifrado o handshake obsoletos, que a menudo son los objetivos preferidos para los ataques de downgrade.
Mejor soporte para la migración de conexiones y prevención del spoofing de IP
El protocolo QUIC incluye un recurso que permite que las conexiones sobrevivan a cambios en la dirección IP del cliente, un proceso conocido como migración de conexión. Esto es particularmente útil para los dispositivos móviles, por ejemplo, que pueden cambiar frecuentemente de una conexión Wi-Fi a una que utilice la red de datos de un operador de telefonía móvil.
Cada conexión QUIC se identifica por un ID de conexión único y seguro, y no solo por la combinación de direcciones IP y puertos. Esto reduce el riesgo de ataques de suplantación de IP (IP spoofing), en los que un atacante se hace pasar por otro usuario falsificando la dirección IP en los encabezados de los paquetes. El ID seguro de la conexión garantiza que, incluso si la dirección IP cambia, la conexión permanezca asociada al cliente correcto.
HTTP/3 en Azion
La plataforma moderna de edge computing de Azion potencia los beneficios del HTTP/3. Sus más de 100 edge locations en todo el mundo garantizan la rápida entrega de contenido a tus clientes, y características de seguridad como nuestro sofisticado WAF protegen tus aplicaciones, incluso las legadas, contra las principales amenazas actuales, todo ello de manera rápida y sin necesidad de modificar código.
El soporte para HTTP/3 ya está disponible para todos los usuarios de nuestra plataforma, y se puede activar sin ningún costo adicional. Para ello, solo necesitas activar la opción “Support HTTP/3” al crear una aplicación (o en las configuraciones de una ya existente).
Esta característica puede ser habilitada sin miedo a sufrir problemas de compatibilidad, pues todos los principales navegadores del mercado ya admiten el nuevo protocolo. Y en caso de que un cliente no compatible intente establecer una conexión, se hará utilizando HTTP/2, de un modo transparente. Si tienes alguna duda, consulta nuestra documentación.
Para habilitar HTTP/3, basta con activar el botón deslizante en las propiedades de tu aplicación.
Conclusión
Como ya exploramos anteriormente, la llegada de HTTP/3 marca el surgimiento de una nueva generación de aplicaciones web más rápidas y seguras. La combinación de QUIC y TLS 1.3 eleva el nivel de protección, al eliminar vulnerabilidades de versiones anteriores y brindar características avanzadas contra ataques modernos.
El handshake más rápido, el cifrado obligatorio y la resistencia a los cambios de IP garantizan conexiones más seguras y robustas, protegiendo los datos sensibles y mejorando la experiencia de los usuarios, especialmente en las conexiones móviles, cada vez más populares.
Esto es solo el comienzo de la historia de HTTP/3. Seguiremos acompañando la evolución de este importante protocolo y los impactos positivos que traiga para la seguridad de la web. Únete a nosotros en este viaje y activa el soporte para HTTP/3 en tus aplicaciones. Habla con nuestros experts para saber más.