HTTP / 3 нуждается в нас (и других людях) для внесения изменений в брандмауэр

HTTP / 3 нуждается в нас (и других людях) для внесения изменений в брандмауэр

4 июня, 2021

На днях я немного осознал :

Сегодня я понял, что растущее включение HTTP / 3 означает, что нам нужно разрешить UDP 443 через наши брандмауэры (по крайней мере, исходящие), а не только TCP 443. Хотя в то же время его блокировка защищает наших пользователей от любых проблем с HTTP / 3. (Что случилось.)

Как и во многих других местах, в нашей схеме сети есть брандмауэры, на самом деле их довольно много. Конечно, у нас есть брандмауэр по периметру, затем у нас есть брандмауэры между нашими внутренними подсетями, в нашей беспроводной сети есть брандмауэр, а наши VPN-серверы имеют собственный набор правил брандмауэра. Все наши межсетевые экраны имеют ограничения на исходящий трафик, а не только на входящий.

По очевидным причинам все наши межсетевые экраны разрешают исходящий трафик на TCP-порт 443 (и порт 80, и ряд других). Однако некоторые из них не разрешают исходящий трафик на порт UDP 443, потому что не было протокола, который использовал бы это. До настоящего времени. HTTP / 3 использует QUIC , который работает через UDP и, таким образом, генерирует трафик на порт UDP 443. Прямо сейчас такой трафик, вероятно, не проходит.

Google Chrome уже некоторое время включает HTTP / 3 (и QUIC), Firefox по умолчанию включает HTTP / 3 в Firefox. 443, и в Microsoft Edge он тоже был некоторое время (в Safari Apple еще не включен по умолчанию). Все эти браузеры теперь будут отправлять трафик на порт UDP 443 при правильных обстоятельствах или, по крайней мере, пытаясь это сделать; хотя наши брандмауэры блокируют этот трафик, они не продвинутся далеко. Я не знаю, как здесь ведут себя реализации HTTP / 3, но я не удивлюсь, если это вызовет хотя бы небольшое замедление.

(Конечно это может защитить людей от значительного замедления работы, если HTTP / 3 будет работать больше .)

Мы не единственные места, кому потребуется обновить брандмауэры, чтобы включить исходящий UDP-порт 443, конечно. Но я подозреваю, что Google (создатели всей идеи QUIC ) изучил это и определил, что меньше блоков брандмауэра, чем я мог ожидать.

В конце концов, мы можем также захотеть включить входящий UDP на порт 443, чтобы люди могли запускать веб-серверы, поддерживающие HTTP / 3. Но это, вероятно, займет гораздо больше времени, потому что поддержка серверов явно недостаточна прямо сейчас (на основе списка Википедии

). Пока что на большинстве веб-серверов , которые мы запускаем, даже не включен HTTP / 2. тем не менее, по разным причинам.