IRCNF
Internet & Network

HTTP/3 ya transporta un tercio de la web — y QUIC apenas empieza

Compartir:
HTTP/3 ya transporta un tercio de la web — y QUIC apenas empieza

Aproximadamente el 30% de todo el tráfico web ahora fluye a través de HTTP/3, según datos del HTTP Archive y el resumen anual de Cloudflare. Google sirve más del 90% de sus propias solicitudes — Búsqueda, YouTube, Gmail — sobre QUIC. Meta enruta la mayor parte de su tráfico de CDN de la misma manera. Fastly, Cloudflare y AWS CloudFront tienen HTTP/3 habilitado por defecto. Este ya no es un protocolo experimental. Es el transporte predeterminado para las propiedades web más grandes, y la cuota de tráfico que transporta crece aproximadamente de 3 a 5 puntos porcentuales por año.

El problema que HTTP/2 dejó sin resolver

HTTP/2 llegó en 2015 y solucionó un problema real: el bloqueo de cabeza de línea de HTTP/1.1 en la capa de aplicación, donde una respuesta lenta bloqueaba todo lo que estaba detrás en la misma conexión. HTTP/2 introdujo la multiplexación — múltiples flujos lógicos sobre una sola conexión TCP — y la compresión de encabezados mediante HPACK. Los tiempos de carga de página mejoraron notablemente, especialmente en enlaces de alta latencia.

Pero HTTP/2 mantuvo TCP como su capa de transporte, y TCP tiene su propio problema de bloqueo de cabeza de línea que la multiplexación no puede solucionar. TCP garantiza la entrega ordenada: si se pierde un segmento, todos los segmentos posteriores — incluso aquellos que pertenecen a flujos HTTP/2 completamente independientes — deben esperar a que el segmento perdido sea retransmitido antes de que TCP los entregue a la aplicación. En una conexión con un 1% de pérdida de paquetes, esto puede detener múltiples flujos de recursos independientes simultáneamente. En una red móvil con un 2-3% de pérdida de paquetes (típico para LTE en el borde de la cobertura), el impacto en la latencia se agrava severamente.

Los handshakes TLS fueron el segundo problema. HTTP/2 sobre TLS 1.2 requería 2 RTTs antes de que pudiera fluir cualquier dato de aplicación — uno para el SYN/SYN-ACK/ACK de TCP, otro para la negociación TLS. En una conexión móvil con 80ms de RTT, eso son 160ms de sobrecarga de configuración antes del primer byte de contenido. TLS 1.3 redujo esto a 1-RTT, pero el handshake de 3 vías de TCP seguía siendo inevitable. La migración de conexión — lo que sucede cuando pasas de Wi-Fi a celular — significaba que las conexiones TCP se rompían y tenían que reiniciarse desde cero.

Qué es realmente QUIC

QUIC es un protocolo de transporte que funciona sobre UDP. Fue diseñado por Google en 2012, implementado internamente alrededor de 2013 y estandarizado por la IETF como RFC 9000 en mayo de 2021. HTTP/3 (RFC 9114) es simplemente semántica HTTP sobre QUIC en lugar de TCP.

Las decisiones arquitectónicas clave en QUIC:

  • Multiplexación basada en UDP con flujos independientes: QUIC implementa la multiplexación de flujos en la capa de transporte, no en la capa de aplicación. Cada flujo tiene su propio control de flujo y recuperación de pérdidas. Un paquete perdido afecta solo al flujo al que pertenece — otros flujos continúan entregando datos sin interrupción. Esto elimina el bloqueo de cabeza de línea de TCP a nivel de transporte.
  • TLS 1.3 integrado: QUIC no superpone TLS sobre el transporte; TLS 1.3 es parte integral del protocolo. El handshake y la negociación de cifrado ocurren simultáneamente con el establecimiento de la conexión. Una conexión QUIC nueva requiere 1-RTT antes de que fluyan los datos de aplicación — un RTT menos que TLS 1.2 sobre TCP.
  • Reanudación de conexión 0-RTT: Cuando un cliente se reconecta a un servidor con el que ya se ha comunicado, QUIC puede enviar datos de aplicación con el primer paquete usando el modo 0-RTT. El cliente usa los datos del ticket de sesión de la conexión anterior para cifrar la solicitud de inmediato. En una reconexión móvil típica — cambiando entre Wi-Fi y celular — esto significa que la primera solicitud HTTP puede salir antes de que se complete el handshake, reduciendo la latencia percibida a casi cero para visitas repetidas.
  • Migración de conexión: QUIC identifica las conexiones con un ID de conexión de 64 bits, no con una 4-tupla de direcciones IP y puertos. Cuando tu dispositivo cambia de dirección IP — al pasar de Wi-Fi a 5G, o al cambiar entre torres celulares — la conexión QUIC continúa sin interrupción. Sin reinicio de TCP, sin nuevo handshake, sin flujos caídos. El servidor recibe paquetes de la nueva dirección IP que hacen referencia al mismo ID de conexión y continúa sin problemas.

Evidencia de rendimiento: lo que muestran los números

Las ganancias de rendimiento de QUIC son más pronunciadas bajo dos condiciones: alta pérdida de paquetes y transiciones frecuentes de red. Google publicó resultados internos de pruebas A/B que muestran que QUIC redujo la latencia de búsqueda en un 8% en la mediana y hasta un 28% en el percentil 99 (latencia de cola) en comparación con HTTPS sobre TCP. Los datos de QUIC de YouTube mostraron una reducción del 15% en eventos de rebúfer.

Los benchmarks de Cloudflare de 2023 de HTTP/3 frente a HTTP/2 en una red simulada con 1% de pérdida de paquetes mostraron mejoras en el tiempo de carga de página mediano del 12-18% para páginas con muchos recursos. Con un 3% de pérdida de paquetes — realista para redes móviles congestionadas — la mejora creció al 25-35%. En una conexión limpia de baja latencia con 0% de pérdida de paquetes, la diferencia de rendimiento entre HTTP/2 y HTTP/3 es pequeña (menos del 5%), porque el bloqueo de cabeza de línea de TCP solo se manifiesta cuando se pierden segmentos.

El beneficio de reanudación 0-RTT es más difícil de aislar pero medible. Meta informó que habilitar 0-RTT para visitantes recurrentes en su CDN redujo el tiempo hasta el primer byte (TTFB) en 30-60ms en conexiones móviles, lo que se traduce directamente en puntuaciones más rápidas de Largest Contentful Paint (LCP) — el Core Web Vital más correlacionado con la experiencia del usuario y el ranking de búsqueda de Google.

Una advertencia: 0-RTT conlleva una vulnerabilidad de reproducción. Un atacante que capture datos 0-RTT puede reproducirlos para enviar solicitudes duplicadas. Por eso 0-RTT es seguro para solicitudes idempotentes (GET, HEAD) pero debe deshabilitarse o manejarse con cuidado para operaciones que cambian el estado (POST, pagos). Las implementaciones modernas del servidor manejan esto automáticamente, pero vale la pena saber que existe la restricción.

Quién ejecuta HTTP/3 hoy

El panorama de adopción a mediados de 2026 es sustancial:

  • Cloudflare: HTTP/3 habilitado por defecto para todos los clientes desde 2020. Cloudflare también opera una de las implementaciones de QUIC más utilizadas (quiche), que es de código abierto y utilizada por Firefox y otros proyectos.
  • Google: Ejecuta QUIC internamente para Búsqueda, YouTube, Gmail, Google Drive y Maps. El navegador Chrome ha incluido soporte para QUIC desde 2015. La implementación de QUIC de Google (quic-go y cronet en C++) es la implementación de referencia para gran parte del ecosistema.
  • Meta: Ejecuta HTTP/3 para el tráfico de CDN de Facebook, Instagram y WhatsApp. Meta mantiene su propia implementación de QUIC (mvfst), de código abierto desde 2019, utilizada en producción a escala de miles de millones de usuarios.
  • Fastly, Akamai, AWS CloudFront: Todos ofrecen HTTP/3 como opción de CDN, con Fastly habilitándolo por defecto desde 2022.

En el lado del software del servidor: nginx agregó soporte para QUIC/HTTP/3 en la versión v1.25.0 (publicada en junio de 2023) como una función estable. Caddy ha incluido HTTP/3 habilitado por defecto desde v2.4. LiteSpeed y su variante de código abierto OpenLiteSpeed tienen soporte para HTTP/3 desde 2020. Apache httpd ofrece HTTP/3 a través del módulo mod_quic, aún experimental a partir de Apache 2.4.55. El servidor H2O tiene soporte para QUIC. Node.js tiene una API QUIC experimental. El runtime de Deno soporta HTTP/3 de forma nativa.

Lo que los desarrolladores web deben hacer

Para la mayoría de los desarrolladores que usan una CDN o un balanceador de carga en la nube, HTTP/3 ya está activo — verifícalo, no lo habilites. Si estás gestionando tu propia infraestructura de servidor, aquí está el camino práctico:

Verifica que HTTP/3 esté activo:

  • Usa curl --http3 https://yourdomain.com -I y busca HTTP/3 en la línea de respuesta. Requiere curl compilado con soporte para QUIC (curl --version | grep HTTP3).
  • En Chrome DevTools: abre el panel Network, haz clic derecho en los encabezados de columna, habilita "Protocol". Las conexiones HTTP/3 se muestran como h3. HTTP/2 se muestra como h2.
  • Firefox DevTools muestra lo mismo en la columna Protocol del panel Network.
  • El verificador quic.cloud de Cloudflare y la herramienta http3check.net proporcionan verificación externa rápida.

Habilita HTTP/3 en nginx (1.25+): Agrega listen 443 quic reuseport; junto a tu directiva listen 443 ssl; existente, luego agrega add_header Alt-Svc 'h3=":443"; ma=86400'; para anunciar QUIC a los navegadores. El encabezado Alt-Svc es cómo los clientes descubren que HTTP/3 está disponible — la primera conexión usará HTTP/2, y las conexiones posteriores se actualizarán a HTTP/3.

Habilita HTTP/3 en Caddy: Nada que configurar — Caddy habilita HTTP/3 por defecto cuando TLS está activo. Confirma a través de la columna Protocol de DevTools.

La configuración del firewall es un bloqueador común: QUIC se ejecuta en el puerto UDP 443. Muchos firewalls corporativos bloquean o limitan el tráfico UDP. Si HTTP/3 falla al negociar, los navegadores retroceden automáticamente a HTTP/2 — los usuarios finales no ven errores, pero tampoco obtienen QUIC. Si estás depurando por qué no se usa HTTP/3 en una red específica, verifica si UDP/443 está abierto.

No ajustes manualmente el control de congestión para QUIC todavía. Las implementaciones de QUIC usan control de congestión BBR (Bottleneck Bandwidth and RTT) por defecto, que supera a CUBIC (el predeterminado de TCP) en la mayoría de las redes modernas. A menos que tengas problemas de rendimiento específicos y medidos, los valores predeterminados son correctos.

0-RTT: La mayoría de las implementaciones de servidor habilitan 0-RTT para solicitudes GET automáticamente. Si tu aplicación emite operaciones que cambian el estado al cargar la página (inusual pero posible), audita esos tipos de solicitud. La guía estándar es tratar los datos 0-RTT como potencialmente reproducidos y diseñar en consecuencia — usa tokens idempotentes o verifica el estado de la capa de aplicación.

El camino por delante

HTTP/3 y QUIC no han terminado de evolucionar. QUIC versión 2 (RFC 9369, publicado en 2023) añade mejoras a la migración de conexión e introduce un nuevo mecanismo de negociación de versión. WebTransport — una API del navegador que expone flujos y datagramas de QUIC directamente a JavaScript — se está implementando en Chrome y Firefox, permitiendo comunicación bidireccional de baja latencia sin la sobrecarga de WebSocket. MASQUE (Multiplexed Application Substrate over QUIC Encryption), un protocolo del grupo de trabajo de la IETF, construye túneles tipo VPN sobre QUIC y ya está implementado en iCloud Private Relay.

Para el desarrollador web que entiende TCP y HTTP, QUIC es el mismo problema resuelto correctamente: entrega confiable y ordenada donde sea necesario (por flujo), sin la restricción de orden global que hace que TCP sea patológico en enlaces con pérdidas. El protocolo es estable, las herramientas existen y la evidencia de rendimiento es inequívoca. Si tu tráfico pasa a través de una CDN moderna, tus usuarios ya se están beneficiando. Si no, la ruta de actualización es una sola línea de configuración de nginx.

networkinghttp3quicweb-performanceprotocol
Compartir:
HTTP/3 ya transporta un tercio de la web — y QUIC apenas empieza | IRCNF - Intelligent Reliable Custom Next-gen Frameworks