Pedra fundamental da estrutura da Web, o protocolo HTTP (Hypertext Transfer Protocol) está passando pela maior mudança em quase uma década: uma nova versão, chamada HTTP/3 (ou H3, para os mais chegados), está sendo rapidamente implementada, trazendo consigo alterações importantes que resultam em mais segurança e desempenho para seus serviços e aplicações na web.
Neste artigo, vamos mergulhar em um dos principais aspectos do HTTP/3, a segurança, e detalhar como o novo protocolo ajuda a proteger suas aplicações contra ameaças cada vez mais presentes.
Os 5 principais benefícios do HTTP/3 para a segurança
Criptografia por default
O protocolo de rede QUIC, sobre o qual o HTTP/3 é implementado, foi projetado para ser seguro por padrão. O QUIC utiliza o protocolo de criptografia Transport Layer Security (TLS) 1.3 desde o início, o que significa que todo o tráfego HTTP/3 é obrigatoriamente criptografado. Em contraste, versões anteriores do HTTP podiam ser usadas com ou sem criptografia, com o prefixo HTTPS na URL indicando o uso da versão segura.
Essa criptografia inclui não só os dados propriamente ditos, como também os cabeçalhos e metadados de conexão. Com isso o risco de de ataques man-in-the-middle, em que invasores se aproveitam da ausência de criptografia para interceptar ou modificar as comunicações entre duas partes, é reduzido.
Proteção contra vulnerabilidades comuns
O QUIC foi projetado para proteger contra várias vulnerabilidades comuns da web. Por exemplo, inclui proteção integrada contra alguns tipos de ataques DDoS, como ataques de amplificação (amplification attacks), em que uma pequena solicitação é transformada em uma carga muito maior com o objetivo de sobrecarregar um servidor.
O QUIC também atenua o risco de sequestro de conexão (connection hijacking) ao incluir recursos de segurança que verificam a integridade da conexão e dos dados que estão sendo transferidos. Isso torna mais difícil para os invasores injetarem dados maliciosos ou assumirem o controle de uma sessão da web.
Handshake aprimorado e menor latência
O QUIC melhora o processo tradicional de handshake TLS, combinando o handshake da camada de transporte com o handshake TLS, o que reduz o número de viagens de ida e volta (round-trip time, ou RTT) necessárias para estabelecer uma conexão segura.
Isso não apenas acelera o processo de estabelecimento da conexão, mas também limita a janela de oportunidade para invasores interferirem no processo de handshake, já que dá a eles menos tempo hábil para comprometer a configuração da conexão.
TLS 1.3 também tem suporte a um recurso chamado 0-RTT Session Resumption que, grosso modo, permite que um cliente “dispense a formalidade” e reuse as chaves previamente negociadas ao iniciar uma conexão com um servidor acessado recentemente. Com isso, o processo de handshake não precisa ser reiniciado do zero, e a transferência de dados pode começar mais rapidamente.
Diagrama comparando a negociação de uma conexão segura em HTTP/2 e HTTP/3.
Menor risco de ataques baseados em “downgrade” de protocolo
Ataques de downgrade ocorrem quando um invasor força uma conexão a utilizar uma versão mais antiga e menos segura de um protocolo. Com o HTTP/3, o risco de tais ataques é bastante reduzido: como o QUIC é construído com os mais recentes padrões de segurança em mente, incluindo TLS 1.3 obrigatório, ele não suporta protocolos de criptografia ou handshake obsoletos, que muitas vezes são os alvos preferidos para ataques de downgrade.
Melhor suporte a migração de conexões e prevenção de spoofing the IP
O protocolo QUIC inclui um recurso que permite que as conexões sobrevivam a mudanças no endereço IP do cliente, um processo conhecido como migração de conexão. Isso é particularmente útil para dispositivos móveis, por exemplo, que podem alternar frequentemente de uma conexão Wi-Fi para uma usando a rede de dados de uma operadora de telefonia celular.
Cada conexão QUIC é identificada por um ID de conexão exclusivo e seguro, e não apenas pela combinação de endereços IP e portas. Isso reduz o risco de ataques de falsificação de IP (IP Spoofing), em que um invasor finge ser outro usuário falsificando o endereço IP nos cabeçalhos dos pacotes. O ID de conexão seguro garante que, mesmo se o endereço IP mudar, a conexão permaneça associada ao cliente correto.
HTTP/3 na Azion
A plataforma moderna de computação no edge da Azion potencializa os benefícios do HTTP/3. Suas mais de 100 edge locations espalhadas por todo o mundo garantem a entrega rápida de conteúdo aos seus clientes, e recursos de segurança como nosso sofisticado WAF protegem suas aplicações, mesmo as legadas, contra as principais ameaças da atualidade, de forma rápida e sem necessidade de modificação no código.
O suporte a HTTP/3 já está disponível a todos os usuários de nossa plataforma, e pode ser habilitado sem custo extra. Para isto, basta ativar a opção “Support HTTP/3” ao criar uma aplicação (ou nas configurações de uma já existente).
Este recurso pode ser habilitado sem medo de problemas de compatibilidade, já que todos os principais navegadores do mercado já suportam o novo protocolo. E caso um cliente não compatível tente estabelecer uma conexão, ela será feita usando HTTP/2, de forma transparente. Em caso de dúvidas, consulte nossa documentação.
Ativar o suporte a HTTP/3 é tão simples quanto virar uma chave na configuração de sua aplicação.
Conclusão
Como discutimos anteriormente, a chegada do HTTP/3 marca o surgimento de uma nova geração de aplicações web mais rápidas e seguras. A combinação do QUIC e do TLS 1.3 eleva o patamar de proteção ao eliminar vulnerabilidades de versões anteriores e oferecer recursos avançados contra ataques modernos.
O handshake mais ágil, a criptografia obrigatória e a resiliência a mudanças de IP garantem conexões mais seguras e robustas, protegendo dados sensíveis e melhorando a experiência dos usuários, especialmente nas conexões móveis, cada vez mais populares.
Este é apenas o começo da história do HTTP/3. Continuaremos acompanhando a evolução desse importante protocolo e os impactos positivos que ele traz para a segurança da web. Junte-se a nós nesta jornada, e habilite você também o suporte a HTTP/3 em suas aplicações. Fale com nossos experts para saber mais.