O que é QUIC? Entenda o protocolo

Um protocolo define como os dados são transferidos pela internet entre dois dispositivos. E como os protocolos precisam ser compatíveis entre o cliente e o servidor que responde, o setor tem se baseado, em sua grande maioria, em alguns poucos padrões amplamente adotados. Os protocolos mais antigos incluem o TCP e o UDP, cada um deles presente no mercado há décadas.

Isso mudou em 2013, quando o Google começou a testar uma nova abordagem: o protocolo QUIC oferece aos aplicativos do Google uma maneira de transmitir dados mais rapidamente e com menor latência do que os protocolos tradicionais.

Saiba mais OBTENHA UMA DEMONSTRAÇÃO

O que é QUIC? Entenda o protocolo

Como funciona o protocolo QUIC?

QUIC é um protocolo de transporte criptografado construído sobre o UDP. Ele foi projetado para combinar a velocidade do UDP com a segurança de protocolos como o TLS, criando efetivamente uma conexão de internet rápida e segura.

Ao contrário dos protocolos tradicionais, em que a autenticação e a criptografia são gerenciadas por soluções de camadas superiores, como o TLS, o QUIC integra esses recursos diretamente na camada de transporte.

Isso torna o QUIC mais rápido e eficiente para o tráfego web moderno.

  • Ele funciona iniciando um processo de handshake rápido, o que permite estabelecer uma conexão segura rapidamente.
  • Assim que o handshake é concluído, o QUIC envia vários fluxos de dados criptografados simultaneamente para o servidor, reduzindo a latência e melhorando o desempenho.

Ao incorporar autenticação e criptografia no próprio protocolo, o QUIC simplifica a comunicação segura, mantendo os benefícios de leveza do UDP.

Fast Handshake

O aperto de mãos é uma parte crucial de todos os protocolos de rede. O QUIC substitui o handshake tradicional de três vias usado no TCP pelo processo de autenticação e criptografia do handshake TLS 1.3.

Em resumo, uma conexão TCP típica envolve:

  • O cliente enviando um pacote SYN
  • O servidor responde com um pacote SYN-ACK.
  • O cliente finaliza a conexão com um pacote ACK.

Esse processo de três etapas é necessário antes que quaisquer dados possam ser transmitidos.

O QUIC elimina essa exigência ao operar sobre UDP. Como o UDP não exige o estabelecimento de conexão da mesma forma, o QUIC permite que os dados sejam enviados imediatamente por meio de links compatíveis com UDP, reduzindo a latência.

Em alguns casos, o QUIC pode enviar dados durante o primeiro ciclo de conexão – conhecido como 0-RTT (tempo de ida e volta zero). Isso é possível quando o servidor já possui uma conexão em cache com o cliente. No entanto, embora o 0-RTT melhore a velocidade, nem sempre é a opção mais segura e pode expor os dados a ataques de repetição se não for gerenciado adequadamente.

Criptografia

Além do seu rápido handshake, o QUIC introduz criptografia integrada. Tradicionalmente, em TCP, a criptografia era tratada separadamente por meio do protocolo TLS, que exigia seu próprio handshake para negociar a versão e o conjunto de cifras. Este aperto de mãos estabeleceu os algoritmos e protocolos de criptografia que seriam usados na sessão.

Como o QUIC é baseado em UDP, ele modifica o handshake TLS tradicional para se adequar à sua arquitetura simplificada. O QUIC consegue isso enviando um Client Hello (CHLO) encapsulado em dois componentes específicos:

  • Um pacote inicial
  • Um frame criptográfico

Este encapsulamento permite que o handshake criptográfico seja incluído no primeiro datagrama UDP enviado pelo cliente. Como resultado, os processos de handshake de transporte e criptografia são combinados em uma única etapa eficiente. Após essa troca inicial, o QUIC se comporta de maneira muito semelhante ao TLS 1.3.

Toda a comunicação subsequente entre o cliente e o servidor é criptografada usando chaves de sessão obtidas durante o handshake.

Pedido de Pacotes

O QUIC é baseado no UDP, um protocolo conhecido por sua velocidade, mas não por sua confiabilidade – os pacotes podem ser descartados ou chegar fora de ordem. Por outro lado, o TCP garante confiabilidade, mas ao custo de maior latência. Em TCP, se ocorrer um erro em um fluxo, todos os fluxos simultâneos do cliente são pausados até que o problema seja resolvido.

O QUIC encontra um equilíbrio entre velocidade e confiabilidade, organizando os dados em fluxos independentes e garantindo que cada fluxo mantenha sua própria ordem interna de pacotes.

No entanto, o QUIC não impõe a ordem dos pacotes entre fluxos diferentes.

Por exemplo, imagine dois fluxos – Fluxo A e Fluxo B – sendo transferidos de um servidor para um cliente.

  • Fluxo A. Se um pacote do Fluxo A for perdido, o Fluxo A lidará com a retransmissão de forma independente.
  • O fluxo B continua ininterrupto e pode concluir sua transferência sem ser afetado pela perda no fluxo A.

Esse nível de independência de fluxo é uma melhoria fundamental em relação a protocolos anteriores, como o HTTP/2, em que a perda de pacotes em um fluxo podia interromper outros que compartilhavam a mesma conexão.

Os desafios do protocolo QUIC

Embora o QUIC já transporte uma parcela significativa dos dados dos aplicativos do Google, sua adoção em ambientes distribuídos globalmente ainda é limitada.

Uma das principais barreiras é o ritmo lento das mudanças na infraestrutura da internet. O TCP tem sido o protocolo dominante na camada de transporte por mais de 40 anos e é capaz de transportar praticamente qualquer tipo de dado. Embora o QUIC ofereça vantagens claras, especialmente na redução da latência em longas distâncias, como conexões intercontinentais, seus benefícios são frequentemente vistos como limitados em comparação com a versatilidade do TCP.

O Google tem promovido agressivamente a adoção do QUIC, impulsionando seu desenvolvimento e integração em todos os seus serviços. No entanto, isso fez com que muitas empresas tivessem que se esforçar para se adaptar aos padrões e tendências.

Consequentemente, os desafios de implementação do QUIC continuam sendo consideráveis, principalmente para organizações com infraestrutura complexa, sistemas legados ou falta de conhecimento especializado interno.

Riscos do 0-RTT

Para conexões em cache, o QUIC permite que os dados sejam enviados durante a primeira viagem de ida e volta – conhecida como 0-RTT. Embora essa abordagem elimine efetivamente a latência do handshake, ela introduz preocupações de segurança notáveis.

Um dos principais riscos é a ausência de um novo handshake criptográfico. Caso a conexão original usada para armazenar em cache as informações da sessão tenha sido comprometida, quaisquer dados do aplicativo enviados durante a retomada da conexão também poderão ser expostos.

Outra preocupação envolve ataques de repetição. Os dados do aplicativo enviados via 0-RTT podem ser interceptados por um atacante on-path e reproduzidos várias vezes para o mesmo servidor. Na maioria dos casos, a criptografia ajuda a mitigar esse tipo de ameaça, mas o 0-RTT enfraquece essa camada de proteção ao contornar a renegociação completa.

Consequentemente, embora o 0-RTT ofereça benefícios de desempenho, ele deve ser usado com cautela, especialmente em cenários que envolvam dados sensíveis ou altos requisitos de segurança.

Incompatibilidade de firewall

Do ponto de vista da segurança empresarial, o QUIC introduz desafios adicionais – particularmente para organizações que dependem de inspeção profunda de pacotes e descriptografia de tráfego.

Uma questão fundamental é que o QUIC não suporta a descriptografia SSL, um método comum usado por firewalls corporativos para inspecionar e proteger o tráfego de rede. Em vez disso, o QUIC usa sua própria criptografia proprietária. Como está amplamente implementado em todo o conjunto de aplicativos do Google, isso cria um ponto cego significativo na visibilidade e no controle da rede para as equipes de TI.

Outro desafio reside na filosofia de design da QUIC.

O Google criou o QUIC para ser flexível e facilmente atualizável, ao contrário da infraestrutura TCP, rígida e obsoleta. Embora essa abordagem favoreça a inovação rápida, ela também exige que as ferramentas de firewall e segurança se adaptem rapidamente às mudanças no nível do protocolo. Essa necessidade constante de atualizações pode sobrecarregar as equipes de TI e a infraestrutura.

Consequentemente, alguns fornecedores de firewall recomendam bloquear completamente o QUIC até que ferramentas de segurança mais maduras e compatíveis estejam disponíveis. Desde a documentação em constante evolução até a implementação inconsistente, os desafios de segurança do QUIC continuam a se acumular, principalmente em ambientes corporativos.

Reforce a segurança de alta velocidade com Check Point

Check Point is an industry-leading firewall that now supports QUIC. But Check Point Network Security offers far more than visibility into Google applications: it delivers Check Point’s deep threat awareness alongside SandBlast zero-day protection. To gain an understanding of those cutting-edge threats, explore our 2025 risk report.

On-demand hyperscale infrastructure keeps latency low and provides seamless scalability as an organization’s needs evolve. For better, clearer management, Check Point offers a unified management system that integrates visibility into networks, clouds, and IoT environments.

Experience the full capabilities of Check Point by starting your free demo today.