Partito in forma sperimentale dal 2019 ed iniziato a diffondersi nel 2020, il protocollo HTTP/3 può essere ormai abilitato a browser a largo consumo come Chrome o Firefox. Anche se non è ancora molto diffuso, possiamo comunque dire che questo nuovo protocollo http è diventato una realtà e sta iniziando ad essere valutato anche in ambito della cyber security. Passando alle considerazioni tecniche, va sottolineato come HTTP/3 migliora il protocollo su vari aspetti, come le prestazioni, la sicurezza e la scalabilità. Il miglioramento tecnico più evidente è stato sicuramente la semplificazione del processo di connessione 3-way handshake del TCP, continuando comunque a sfruttare il protocollo QUIC.
L’impatto sulla cyber security del protocollo HTTP/3
Come già noto ai più esperti del settore, il protocollo QUIC, a livello progettuale, si appoggia al UDP anche se si possono notare diverse caratteristiche, soprattutto a livello di sicurezza. QUIC, ad esempio, rende il protocollo HTTP/3 un “HTTPS” nativo e questo grazie al supporto della crittografia TLSvc3. Un’altra peculiare differenza è l’estensione della crittografia alla maggior parte delle informazioni del suo header e al payload, mentre TCP all’epoca esponeva fin troppi campi. Per quanto riguarda il lato della sicurezza, QUIC, offre alcune soluzioni nate grazie ad uno studio approfondito degli attacchi hacker più utilizzati in questi ultimi anni. Ad esempio, ha un ottimo livello di protezione dai replay attack grazie al riconoscimento delle copie degli stessi valori, derivati dalle chiavi crittografiche, riuscendo a sua volta a scartarle a livello del server. QUIC, inoltre, grazie al suo sistema di validazione degli indirizzi riesce anche a limitare le possibilità di IP Spoofing, dando una grande mano a tutto il mondo della cyber security.
La sicurezza del protocollo HTTP3
Il nuovo protocollo HTTP/3, integrato alla tecnologia di QUIC, nonostante offra una solida base a livello di sicurezza, ha fatto sorgere più di una perplessità riguardo alcuni aspetti. Alcuni ricercatori della Georgia Tech nel 2015 hanno dimostrato, ad esempio, che QUIC è particolarmente vulnerabile al Server Config Replay Attack e questo potrebbe mettere a repentaglio l’integrità e confidenzialità dei dati, passando nel dominio dei Denial of Service. Inoltre, con questo tipo di attacchi, si andrebbe a danneggiare e non di poco anche la prestazione della connessione. C’è anche chi ipotizza che QUIC non sia totalmente immune dal DDoS, ottenuto dopo un attacco di amplificazione UDP, ma questo è ancora in fase di studio e non c’è nulla di ufficiale a riguardo. Quel che è certo è che il nuovo protocollo HTTP/3 integra un sistema di limitazione del traffico e una validazione a breve termine dei token di connessione. Questo può quindi rappresentare un valido metodo alternativo di mitigazione.