Hoy, nos complace anunciar que la próxima compatibilidad de HTTP/3 con Cloudflare Gateway, nuestra puerta de enlace web segura integral. Actualmente, el 25 % de Internet se basa en HTTP/3, que ofrece una experiencia de navegación más rápida, sin poner en riesgo la seguridad. Hasta ahora, los administradores que querían filtrar e inspeccionar los sitios web o las API habilitados para HTTP/3 tenían que poner en riesgo el rendimiento al recurrir a HTTP/2, o perder la visibilidad al omitir la inspección. Con la compatibilidad con HTTP/3 en Cloudflare Gateway, puedes tener una visibilidad total de todo el tráfico y proporcionar la experiencia de navegación más rápida a tus usuarios.
¿Por qué la web está adoptando HTTP/3?
La tecnología HTTP es una de las más antiguas que hacen posible Internet. En 1996, la seguridad y el rendimiento eran aspectos secundarios, y la encriptación la gestionaba la capa de transporte. Este modelo no se adapta a las necesidades de rendimiento actuales de Internet, y llevó a reemplazar HTTP con HTTP/2, y ahora con HTTP/3.
HTTP/3 acelera la actividad de navegación con el uso de QUIC, un protocolo de transporte moderno que siempre está encriptado por defecto. Proporciona un rendimiento más rápido, al reducir los viajes de ida y vuelta entre el usuario y el servidor web, y es más eficaz para usuarios que tengan conexiones poco fiables. Para obtener más información sobre las ventajas de rendimiento de HTTP/3, consulta nuestro blog anterior aquí.
Desarrollo y adopción de HTTP/3
La misión de Cloudflare es ayudar a mejorar Internet. Consideramos HTTP/3 un elemento fundamental para que Internet sea más rápido y seguro. Hemos trabajado estrechamente con el IETF para reiterar los documentos de los estándares HTTP/3 y QUIC. Estos esfuerzos, junto con los progresos realizados por los navegadores más populares, como Chrome y Firefox, para activar QUIC por defecto, han llevado a que el 25 % de todos los sitios web ahora utilicen HTTP/3, y a un análisis todavía más exhaustivo.
En los últimos años, hemos recomendado mucho HTTP/3. Primero añadimos la compatibilidad con QUIC de la capa de transporte subyacente en septiembre de 2018 y, a partir de ahí, trabajamos para añadir la compatibilidad con HTTP/3 para nuestros servicios de proxy inverso el año siguiente, en septiembre de 2019. Desde entonces, no hemos reducido nuestros esfuerzos, y hoy proporcionamos compatibilidad con la última revisión de HTTP/3, utilizando el identificador final "h3" que coincide con RFC 9114.
Obstáculos de la inspección HTTP/3
Aunque HTTP/3 tiene muchas ventajas, su introducción ha llevado a que los administradores que quieren filtrar e inspeccionar el tráfico HTTP en sus redes se enfrenten a una mayor complejidad de implementación y a desventajas en materia de la seguridad. HTTP/3 ofrece la conocida semántica de solicitud y respuesta de HTTP, pero el uso de QUIC cambia su aspecto y comportamiento "en el cable". Puesto que QUIC se ejecuta sobre UDP, es arquitectónicamente distinto de los protocolos heredados basados en TCP, y apenas es compatible con las puertas de enlace web seguras heredadas. Como resultado de la combinación de estos dos factores, para los administradores supone un desafío mantenerse al día acerca del panorama tecnológico en continua evolución, al mismo tiempo que se mantienen las expectativas de rendimiento de los usuarios y se garantiza la visibilidad y el control del tráfico de Internet.
Sin la adecuada compatibilidad de puerta de enlace web segura para HTTP/3, los administradores han tenido que elegir entre poner en riesgo la seguridad y/o el rendimiento para sus usuarios. Las concesiones en materia de seguridad incluyen no inspeccionar el tráfico UDP, o peor aún, renunciar a funciones de seguridad fundamentales como el análisis antivirus en línea, la prevención de pérdida de datos, el aislamiento de navegador y/o el registro del tráfico. Naturalmente, para cualquier organización preocupada por la seguridad, descartar la seguridad y la visibilidad no es un enfoque aceptable, y esto ha llevado a los administradores a desactivar proactivamente HTTP/3 en sus dispositivos de usuario final. Esto aumenta la complejidad de la implementación y sacrifica el rendimiento, ya que requiere desactivar la compatibilidad con QUIC en los navegadores web de los usuarios.
Cómo activar la inspección HTTP/3
Una vez que la compatibilidad con la inspección HTTP/3 esté disponible para determinados navegadores a finales de este año, podrás activar la inspección HTTP/3 en el panel de control. Una vez iniciada la sesión en el panel de control de Zero Trust, deberás activar el redireccionamiento mediante proxy, hacer clic en la casilla correspondiente al tráfico UDP y activar el descifrado TLS en Configuración > Red > Firewall. Una vez activados estos ajustes, es posible aplicar el escaneado AV, el aislamiento remoto del navegador, DLP y el filtrado HTTP mediante las políticas HTTP a todo el tráfico HTTP redireccionado mediante proxy de tu organización.
¿Y ahora qué?
Los administradores ya no tendrán que hacer concesiones en materia de seguridad en función de la evolución del panorama tecnológico, y podrán centrarse en la protección de su organización y de sus equipos. Cuando la inspección HTTP/3 esté disponible, nos pondremos en contacto con todos los clientes de Cloudflare One. Nos complace simplificar las implementaciones de puertas de enlace web seguras para los administradores.
La inspección del tráfico HTTP/3 estará disponible para todos los administradores de todos los tipos de planes. Si todavía no te has registrado, haz clic aquí para empezar.