Ad Code

Responsive Advertisement

Scorri i Post

6/recent/ticker-posts

HTTP/3: Il Futuro del Web È Qui (E Perché Dovresti Preoccupartene)

Cybermondo marzo 02, 2025

 

http3


Probabilmente non avrai ancora sentito parlare di http/3 ma ti assicuro che presto ne sentirai parlare…

Nel Novembre 2018, l’Internet Engineering Task Force (IETF), si è riunito a Bangkok per l’adozione di un nuovo internet draft. Cloudfare, Google Chrome e Mozilla Firefox hanno aggiunto il supporto preliminare dei protocolli http/3 e Quic, due nuovi standard per il web che consentiranno connessioni più veloci, affidabili e sicure. Il protocollo http/3 si basa su UDP (User Datagram Protocol) e aumenta la velocità alla quale vengono scambiati i pacchetti di rete.

Http/3 è la nuova versione del vecchio http (hypertext transfer protocol) che consentirà ai contenuti di spostarsi dai server ai client utilizzando il protocollo Quic ( quick udp internet connession), invece di quello Tcp. Il protocollo utilizza il supporto Tls (transport layer security) per la crittografia.

Il Quick Udp Internet Connession è stato creato unendo quindi unendo l’affidabilità del Tcp e la velocità dell’Udp. Per questo il quic protocol è ancora più affidabile e sicuro dei suoi predecessori.

I due browser, Firefox e Chrome, hanno già aggiunto il supporto per l’http/3 (in fase beta), rendendo la navigazione già disponibile sui siti che lo utilizzano tramite Chrome Canary e Firefox Nightly.

Cloudfare permetterà ai suoi utenti di attivare il supporto http/3 abilitandolo dalla dashboard utente.

Chiaramente il tutto è ancora in fase beta ma molto presto probabilmente questo nuovo protocollo verrà adottato su larga scala e sostituirà pian piano l’http/2.

Gli URls che verranno utilizzati saranno sempre gli https://url, in quanto il protocollo https è il più utilizzato sul web e si è ritenuto poco pratico e irragionevole introdurre un altro tipo di schema di URL.

Gli URL Legacy, ovvero gli http://url, verranno lasciati così come sono e con il passare del tempo e connessioni più sicure probabilmente saranno sempre meno utilizzati.

Se il protocollo http/3 quindi prenderà piede il nostro internet comincierà a diventare più affidabile e veloce.

Se lavori nel campo della sicurezza informatica o semplicemente sei un appassionato del web, avrai sicuramente sentito parlare di HTTP/3. È l'ultima iterazione del protocollo che regola il funzionamento di internet, e porta con sé un cambiamento radicale: l’abbandono di TCP a favore di QUIC.

Ma cosa significa questo per la sicurezza? HTTP/3 è davvero più sicuro o introduce nuovi vettori di attacco? In questo articolo esploreremo come funziona, quali sono i suoi vantaggi e le possibili implicazioni per la cybersecurity.


Cos'è HTTP/3 e Perché È Importante?

Per capire HTTP/3, dobbiamo fare un passo indietro e analizzare i suoi predecessori:

  • HTTP/1.1 (1997): ha dominato il web per anni, ma con il tempo ha mostrato limiti di efficienza e velocità.
  • HTTP/2 (2015): ha introdotto il multiplexing, riducendo il numero di connessioni necessarie tra client e server.
  • HTTP/3 (2022+): abbandona il protocollo TCP per usare QUIC, progettato per migliorare velocità, affidabilità e sicurezza.

L’elemento chiave di HTTP/3 è QUIC, un protocollo sviluppato da Google che sostituisce TCP con una soluzione più moderna basata su UDP. Questo elimina diversi colli di bottiglia delle versioni precedenti, come il problema dell’Head-of-Line Blocking e la necessità di effettuare handshake TLS separati.


HTTP/3 e la Sicurezza: Cosa Cambia?

HTTP/3 integra direttamente TLS 1.3, il che significa che tutte le connessioni sono criptate per default. Questo è un enorme passo avanti rispetto a HTTP/2, dove TLS era opzionale.

Ecco alcune delle principali migliorie in termini di sicurezza:

1. Eliminazione dell'Handshaking Lento di TLS

In HTTP/2 su TCP, l'inizializzazione della connessione richiede più round-trip (andata e ritorno tra client e server). Con QUIC e TLS 1.3, si riduce il numero di scambi necessari, velocizzando il tutto senza sacrificare la sicurezza.

2. Connessioni Resilienti al Packet Loss

QUIC permette di mantenere la sessione aperta anche se cambia l’indirizzo IP (ad esempio passando da Wi-Fi a rete mobile). Questo può rendere più difficile per un attaccante interrompere una connessione con attacchi basati sul reset delle sessioni.

3. Migliore Protezione Contro il Man-in-the-Middle (MITM)

Poiché HTTP/3 richiede obbligatoriamente TLS 1.3, non esiste una versione "in chiaro" del protocollo. Questo riduce drasticamente il rischio di attacchi MITM basati su downgrade (es. attacchi come POODLE che hanno colpito SSL/TLS più vecchi).

4. Minore Esposizione agli Attacchi di Packet Sniffing

Essendo basato su UDP, QUIC cripta anche le informazioni di livello trasporto, rendendo più difficile l'analisi del traffico da parte di attori malevoli.

Le Possibili Minacce di HTTP/3

Nonostante i vantaggi, HTTP/3 introduce anche nuove sfide di sicurezza:

1. Attacchi DDoS più Efficaci

Il passaggio a UDP potrebbe rendere più difficile mitigare attacchi di tipo reflection e amplification. Inoltre, l'assenza del meccanismo di tre-way handshake di TCP potrebbe facilitare attacchi di spoofing.

2. Nuove Superfici di Attacco per QUIC

Essendo un protocollo relativamente nuovo, QUIC potrebbe presentare vulnerabilità non ancora scoperte. Inoltre, gli strumenti di ispezione del traffico attualmente faticano a gestire QUIC, rendendo più difficile il rilevamento di minacce avanzate.

3. Impatti sulle Soluzioni di Intrusion Detection

Molti firewall e IDS/IPS attuali sono ottimizzati per TCP. Poiché QUIC incapsula le informazioni di trasporto, potrebbe diventare più difficile per questi strumenti intercettare attività sospette.

Come Prepararsi a HTTP/3 dal Punto di Vista della Sicurezza?

  1. Aggiorna i tuoi strumenti di monitoraggio
    Strumenti di sicurezza come firewall, IDS e proxy dovranno essere aggiornati per supportare QUIC e HTTP/3.

  2. Abilita solo versioni sicure di TLS
    HTTP/3 richiede TLS 1.3, ma assicurati che le configurazioni non permettano downgrade.

  3. Monitora l'adozione di HTTP/3 nei tuoi sistemi
    Alcuni siti e servizi potrebbero iniziare a usarlo senza che l'IT aziendale ne sia pienamente consapevole. Controlla le configurazioni dei server web e CDN.

  4. Testa la compatibilità delle tue applicazioni
    Alcune applicazioni interne o API potrebbero non essere compatibili con HTTP/3. Verifica eventuali problemi di compatibilità prima di un’adozione massiva.

Conclusione

HTTP/3 segna un cambiamento epocale nel modo in cui il web funziona, con vantaggi significativi in termini di prestazioni e sicurezza. Tuttavia, come ogni nuova tecnologia, introduce anche nuove sfide per chi si occupa di cybersecurity.

Sebbene HTTP/3 offra protezioni avanzate grazie a TLS 1.3 e a una migliore gestione delle connessioni, i professionisti della sicurezza dovranno adattarsi rapidamente ai nuovi scenari di minaccia. Gli strumenti di monitoraggio e difesa dovranno evolversi per non rimanere indietro.

Nel frattempo, se gestisci un’infrastruttura IT, inizia a testare HTTP/3 e a preparare il tuo stack di sicurezza per questa rivoluzione.

Sei pronto per HTTP/3? 🚀


Cybermondo

Pubblicato da Cybermondo

Posta un commento

0 Commenti

Ad Code

Responsive Advertisement