Dal 2019, seppur in forma sperimentale e non ancora maturo, ha iniziato a diffondersi HTTP/3, che dal 2020 può essere abilitato in browser di largo consumo quali Chrome e Firefox. Il nuovo protocollo http, sebbene non ancora diffuso, è di fatto una realtà. Ma quali sono le caratteristiche che lo renderanno un aiuto irrinunciabile alla lotta al cybercrime? È davvero così sicuro? Gli esperti ritengono che, oltre a portare a una serie di considerazioni tecniche, questa nuova realtà deve essere valutata nell’ambito della cyber security e sull’impatto che genererà su di essa.
Addio TCP, benvenuto QUIC
Sotto l’aspetto progettuale, HTTP/3 è un salto quantico rispetto alla precedente versione. HTTP/3 migliora il protocollo su più fronti: prestazioni scalabilità e sicurezza, risultato ottenuto attraverso una lunga serie di accorgimenti tecnici. Il più evidente (e discusso) è la semplificazione del processo di connessione 3-way handshake del TCP. Tutto, sfruttando in sua vece il protocollo QUIC.
Questione di prestazioni
Una delle principali criticità del HTTP/2, in modo evidente soprattutto negli ultimi anni con la diffusione dell’utilizzo di servizi in streaming, risiede proprio nell’uso del Transfer Control Protocol, incapace di gestire la trasmissione di più file contemporaneamente su un’unica connessione.
C’è poi il problema sostanziale che il TCP considera tutti i dati come un unico flusso (byte stream). Di conseguenza, se si perde un pacchetto, i successivi vengono messi in attesa fino al suo recupero. HTTP/2 aggira il problema sfruttando il multiplexing, ma di fatto solo operando nell’application layer, con alcune conseguenze importanti sia a livello di sicurezza che di prestazioni.
Gli esperti, su queste ultime, sottolineano che il mai-troppo-lodato 3-way handshake ha fatto il suo tempo, dal momento che si tratta di un processo lento e poco efficiente che può richiedere da solo anche più di 200 millisecondi. Da qui l’adozione del QUIC per HTTP/3.
HTTP/3, un parente del UDP
Il protocollo QUIC (Quick UDP Internet Connections) nasce ad opera di Google nel 2012 e rappresenta un’evoluzione dello storico UDP. Siccome anche in QUIC non esiste il concetto di connessione, l’eventuale perdita di un pacchetto non compromette tutto il flusso ma solo il byte stream di quello specifico pacchetto.
In questo modo le prestazioni migliorano: Google Cloud Platform ha introdotto QUIC nei load balancer, portando a una diminuzione dei tempi di caricamento dell’8% a livello medio globale e fino al 13% in regioni specifiche senza alcun tipo di ottimizzazione ma solo cambiando protocollo.
L’impatto cyber
Naturalmente, come già noto agli addetti ai lavori, QUIC si appoggia a livello progettuale al UDP contraddistinguendosi però da questo per molte importanti caratteristiche, in particolare per garantirne la sicurezza. Ad esempio, QUIC supporta di default la crittografia tramite TLSvc3, rendendo quindi HTTP/3 un “HTTPS” nativo.
Inoltre, QUIC estende la crittografia alla gran parte delle informazioni del suo header e al payload, laddove TCP esponeva fin troppi campi, e vanta alcune soluzioni di sicurezza sviluppate su studi approfonditi degli attacchi più largamente utilizzati negli ultimi anni. Tra queste, per esempio, QUIC presenta una forma di protezione dai replay attack in quanto è in grado di riconoscere copie dei medesimi valori derivati dalle chiavi crittografiche, scartandole a livello del server. Inoltre, grazie a un sistema di validazione degli indirizzi, QUIC limita le possibilità di IP Spoofing. Il tutto si traduce in un grande aiuto per la cyber security.
Dubbi sulla sicurezza di HTTP/3
La tecnologia di QUIC, e quindi di HTTP/3, pertanto si mostra solida anche sul versante della sicurezza. Tuttavia, sorgono delle perplessità legittime su alcuni aspetti. Ad esempio, alcuni ricercatori della Georgia Tech nel 2015 dimostrarono che il QUIC poteva essere vittima di un Server Config Replay Attack, le cui conseguenze non sfiorerebbero l’integrità e confidenzialità dei dati, passando invece nel dominio dei Denial of Service, un tipo di attacco col quale si riuscirebbe a degradare molto le prestazioni della connessione. In tal senso, c’è anche chi ipotizza che il QUIC non sia immune dal DDoS, ottenuto tramite un attacco di amplificazione UDP.
Per questo motivo HTTP/3 integra un sistema di limitazione del traffico e una validazione a breve termine dei token di connessione, che possono rappresentare dei validi metodi di mitigazione.
Il futuro del terzo protocollo http
Oggi, la principale preoccupazione in merito alla sicurezza di HTTP/3 è relativa alla sua implementazione pratica, ossia quel processo che permetterà (lentamente) di imporre HTTP/3 in modo omogeneo.
Attualmente sono poche le realtà a supportare appieno HTTP/3 e occorreranno molto tempo e investimenti per far sì che si crei un circolo virtuoso nella sua implementazione. Ci vorranno anni prima che firewall, load balancer, proxie, sistemi SIEM, e via dicendo, supporteranno HTTP/3.
Nel frattempo, si ricorrerà, ineluttabilmente, a stratagemmi per far convivere HTTP/2, se non HTTP/1.1 o addirittura HTTP/1.0, col nuovo arrivato. Di conseguenza, ci sarà un lungo periodo fatto di forward e downgrade delle connessioni su cui difficilmente si avrà visione e questo si tradurrà in possibili vulnerabilità.
Fermo restando che HTTP/3 è un protocollo ancora “sperimentale”, solo il tempo stabilirà quali criticità dovremo eventualmente affrontare in termini di sicurezza informatica essendo la stessa tecnologia un bene che non può escludere a nessun’altra tecnologia dall’essere sicura per sempre.
