Cos'è QUIC? Comprendere il Protocollo

Un protocollo definisce come i dati vengono trasferiti su internet tra due Dispositivi. E poiché i protocolli devono essere abbinati tra il client e il server che risponde, il settore si è affidato in modo schiacciante a pochi statali ampiamente adottati. I protocolli più longevi includono TCP e UDP, ciascuno dei quali esiste da decenni.

Questo è cambiato nel 2013, quando Google ha iniziato a sperimentare un nuovo approccio: il protocollo QUIC offre un modo per Google Applicazione di trasmettere dati più velocemente e con una latenza di protocollo inferiore rispetto ai protocolli tradizionali.

Scopri di più RICHIEDI UNA DEMO

Cos'è QUIC? Comprendere il Protocollo

Come funziona il protocollo QUIC?

QUIC è un protocollo di trasporto criptato costruito sopra UDP. È progettato per combinare la velocità dell'UDP con la sicurezza di protocolli come TLS, creando di fatto una connessione internet veloce e sicura.

A differenza dei protocolli tradizionali, dove autenticazione e crittografia sono gestite da soluzioni di livello superiore, come TLS, QUIC integra queste funzionalità direttamente nel livello di trasporto.

Questo rende QUIC più veloce ed efficiente per il traffico web moderno.

  • Funziona avviando un rapido processo di stretta di mano, che permette di stabilire rapidamente una connessione sicura.
  • Una volta completata la stretta di mano, QUIC invia simultaneamente più flussi di dati criptati al server, riducendo la latenza e migliorando le prestazioni.

Incorporando sia l'autenticazione che la Crittografia nel protocollo stesso, QUIC semplifica la comunicazione sicura mantenendo i vantaggi leggeri dell'UDP.

Fast Handshake

La stretta di mano è una parte cruciale di ogni protocollo di rete. QUIC sostituisce la tradizionale stretta di mano a tre vie usata in TCP con il processo di autenticazione e crittografia della stretta di mano TLS 1.3.

Per semplificare, una tipica connessione TCP prevede:

  • Il client che invia un pacchetto SYN
  • Il server risponde con un pacchetto SYN-ACK
  • Il client che finalizza la connessione con un pacchetto ACK

Questo processo in tre fasi è necessario prima che qualsiasi dato possa essere trasmesso.

QUIC elimina questo requisito operando su UDP. Poiché UDP non richiede l'instaurazione di una connessione allo stesso modo, QUIC consente di inviare dati immediatamente tramite collegamenti compatibili con UDP, riducendo la latenza.

In alcuni casi, QUIC può inviare dati durante il primissimo ciclo di connessione – noto come 0-RTT (zero round-trip time). È possibile quando il server ha una connessione precedentemente memorizzata nella cache con il client. Ma, sebbene lo 0-RTT migliori la velocità, non è sempre l'opzione più sicura e può esporre i dati ad attacchi di riproduzione se non gestito correttamente.

Crittografia

Oltre alla sua stretta di mano veloce, QUIC introduce Crittografia integrata. Tradizionalmente, tramite TCP, Crittografia veniva gestita separatamente tramite il protocollo TLS, che richiedeva una propria stretta di mano per negoziare la versione e la suite cifraria. Questa stretta di mano ha stabilito gli algoritmi e i protocolli di Crittografia che sarebbero stati utilizzati per la sessione.

Poiché QUIC è costruito su UDP, modifica il tradizionale handshake TLS per adattarlo alla sua architettura semplificata. QUIC riesce a raggiungere questo obiettivo inviando un Client Hello (CHLO) avvolto in due componenti specifici:

  • Un pacchetto iniziale
  • Un frame Crypto

Questo packaging permette di includere la mano-stretta crittografica all'interno del primissimo datagramma UDP inviato dal client. Di conseguenza, le strette di mano di trasporto e Crittografia vengono unite in un unico passaggio efficiente. Dopo questo primo scambio, QUIC si comporta in modo molto simile a TLS 1.3.

Tutte le comunicazioni successive tra client e server vengono criptate utilizzando le chiavi di sessione del handshake.

Ordine dei pacchetti

QUIC è costruito su UDP, un protocollo noto per la sua velocità ma non per la sua affidabilità – i pacchetti possono essere eliminati o arrivare fuori ordine. D'altra parte, TCP garantisce affidabilità ma a costo di una latenza aumentata. In TCP, se si verifica un errore in un flusso, tutti i flussi concorrenti dal client vengono messi in pausa fino a quando il problema non viene risolto.

QUIC trova un equilibrio tra velocità e affidabilità organizzando i dati in flussi indipendenti e assicurando che ogni flusso mantenga il proprio ordine interno dei pacchetti.

Tuttavia, QUIC non impone l'ordine dei pacchetti tra flussi diversi.

Ad esempio, immagina due flussi – Flusso A e Flusso B – trasferiti da un server a un client.

  • Flusso A. Se un pacchetto del Flusso A viene perso, il Flusso A gestirà la ritrasmissione in modo indipendente.
  • Il flusso B continua senza interruzioni e può completare il trasferimento senza essere influenzato dalla perdita nel flusso A.

Questo livello di indipendenza dal flusso è un miglioramento chiave rispetto ai protocolli precedenti come HTTP/2, dove la perdita di pacchetti in un flusso poteva bloccare altri che condividevano la stessa connessione.

Le sfide del protocollo QUIC

Sebbene QUIC trasporti già una parte significativa dei dati Applicazione di Google, la sua adozione più ampia in ambienti distribuiti a livello globale rimane limitata.

Uno dei principali ostacoli è il lento ritmo dei cambiamenti nell'infrastruttura internet. TCP è stato il protocollo dominante del livello di trasporto per oltre 40 anni ed è in grado di trasportare praticamente qualsiasi tipo di dato. Sebbene il QUIC offra vantaggi evidenti, soprattutto nella riduzione della latenza su lunghe distanze, come le connessioni intercontinentali, i suoi vantaggi sono spesso considerati ristretti rispetto alla versatilità del TCP.

Google ha promosso con decisione l'adozione del QUIC, promuovendo il suo sviluppo e l'integrazione tra i suoi servizi. Tuttavia, questo ha lasciato molte imprese a lottare per adattarsi a standard e tendenze.

Di conseguenza, le sfide nell'implementazione del QUIC rimangono considerevoli, in particolare per organizzazioni con infrastrutture complesse, sistemi legacy o mancanza di competenze interne.

Rischi dello 0-RTT

Per le connessioni in cache, QUIC consente di inviare dati durante il primissimo viaggio di andata e ritorno – noto come 0-RTT. Sebbene questo approccio elimini efficacemente la latenza della stretta di mano, introduce notevoli preoccupazioni di sicurezza.

Un rischio importante è l'assenza di una nuova stretta di mano crittografica. Se la connessione originale utilizzata per memorizzare in cache le informazioni della sessione veniva compromessa, anche qualsiasi dato Applicazione inviato durante la ripresa della connessione poteva essere esposto.

Un'altra preoccupazione riguarda gli attacchi di rigiocata. I dati applicati inviati tramite 0-RTT possono essere intercettati da un attaccante on-path e riprodotti più volte sullo stesso server. Nella maggior parte dei casi, Crittografia aiuta a mitigare questo tipo di minaccia, ma lo 0-RTT indebolisce questo livello di protezione bypassando la rinegoziazione completa.

Di conseguenza, sebbene lo 0-RTT offra benefici in termini di prestazioni, deve essere utilizzato con cautela, specialmente in scenari che coinvolgono dati sensibili o requisiti di sicurezza elevati.

Firewall Incompatibilità

Dal punto di vista della sicurezza aziendale, QUIC introduce ulteriori sfide – in particolare per le organizzazioni che si affidano a ispezioni approfondite dei pacchetti e decrittazione del traffico.

Un problema chiave è che QUIC non supporta la decrittazione SSL, un metodo comune usato dai firewall aziendali per ispezionare e proteggere il traffico rete. Invece, QUIC utilizza la propria Crittografia proprietaria. Poiché è ampiamente distribuito nella suite Applicazione di Google, questo crea un significativo punto cieco nella visibilità e nel controllo delle rete per i team IT.

Un'altra sfida risiede nella filosofia di design di QUIC.

Google ha costruito QUIC per essere flessibile e facilmente aggiornabile, a differenza dell'infrastruttura TCP rigida e ormai datata. Sebbene questo approccio supporti l'innovazione rapida, richiede anche che gli strumenti di firewall e sicurezza si adattino rapidamente ai cambiamenti a livello di protocollo. Questa necessità costante di aggiornamenti può rappresentare un pesante onere sui team IT e sulle infrastrutture.

Di conseguenza, alcuni provider di firewall raccomandano di bloccare completamente il QUIC fino a quando non saranno disponibili strumenti di sicurezza più maturi e compatibili. Dalla documentazione in evoluzione all'implementazione incoerente, le sfide di sicurezza di QUIC continuano ad accumularsi, in particolare per gli ambienti aziendali.

Fai rispettare la sicurezza di rete ad alta velocità con Check Point

Check Point Quantum è un firewall leader nel settore che ora supporta QUIC. Ma Quantum rete Security offre molto più della semplice visibilità su Google Application: offre una profonda consapevolezza delle minacce di Check Pointinsieme SandBlast protezione zero-day. Per comprendere queste minacce all'avanguardia, esplora il nostro rapporto sui rischi 2025.

L'infrastruttura Hyperscale on-demand mantiene bassa la latenza e offre scalabilità senza soluzione di continuità man mano che le esigenze di un'organizzazione si evolvono. Per una gestione migliore e più chiara, Quantum offre un sistema di gestione unificato che integra la visibilità negli ambienti rete, cloud e IoT.

Sperimenta tutte le capacità di Check Point Quantum iniziando oggi stesso la tua demo gratuita.