当上世纪九十年月互联网最先被普遍利用的时辰，其年夜部门的通信只利用几个和谈：IPv4 和谈路由这些数据包，TCP 和谈转发这些包到毗连上，SSL（和后来的 TLS）和谈加密毗连，DNS 和谈定名那些所要毗连的主机，而 HTTP 和谈是最经常使用的利用法式和谈。

多年以来，这些焦点的互联网和谈的转变几近是微不足道的；HTTP 增添了几个新的报文头和要求体例，TLS 迟缓地进行了一点小点窜，TCP 调剂了堵塞节制，而 DNS 引入了像 DNSSEC 如许的特征。这些和谈看起来很长时候都原封不动（除已引发收集运营商们的年夜量存眷的 IPv6）。

是以，但愿领会（乃至有时节制）互联网的收集运营商、供给商和决议计划者对这些和谈采取的做法是基在其原有工作体例 —— 不管是筹算调试问题，提高办事质量，或施加政策。

此刻，焦点互联网和谈的主要改变已最先了。固然它们企图与互联网年夜部门兼容（由于，假如不兼容的话，它们不会被采用），可是它们可能会粉碎那些在和谈中没有划定的处所，或底子就假定那些处所不具有转变。

为何我们需要去改变互联网

有年夜量的身分鞭策这些转变。

起首，焦点互联网和谈的局限性愈来愈较着，特别是斟酌到机能的时辰。因为在利用和传输和谈方面的布局性问题，收集没有获得高效利用，致使终端用户认为机能不克不及知足要求（特殊是，收集延迟）。

这就意味着人们有强烈的念头来演进或替代这些和谈，由于有 年夜量的经验注解，即使是很小的性�����APP能改良也会发生影响。

其次，演进互联网和谈的能力 —— 不管在任何层面上 —— 会跟着时候的推移变得加倍坚苦，这首要是由于上面所会商的对收集的非预期利用。例如，测验考试去紧缩响应的 HTTP 代办署理办事器使得摆设新的紧缩手艺更坚苦；中心装备中的 TCP 优化使得摆设对 TCP 的改良愈来愈坚苦。

最初，我们正处在一个愈来愈多地利用加密手艺的互联网转变傍边，初次激起这类改变的事务是，2015 年 Edward Snowden 的表露事务（LCTT 译注：指的是美国中情局雇员斯诺登的事务）。那是一个零丁会商的话题，可是与之相干的是，加密手艺是最好的东西之一，我们必需确保和谈可以或许进化。

让我们来看一下都产生了甚么，接下来会呈现甚么，它对收集有哪些影响，和它对收集和谈的设想有哪些影响。

HTTP/2

HTTP/2（基在 Google 的 SPDY） 是第一个严重转变 —— 它在 2015 年被尺度化。它将多个要求复用到一个 TCP 毗连上，从而避免了客户端列队要求，而不会相互梗阻。它此刻已被普遍摆设，而且被所有的支流阅读器和 web 办事器撑持。

从收集的角度来看，HTTP/2 带来了一些显著转变。起首，这是一个二进制和谈，是以，任何假定它是 HTTP/1.1 的装备城市呈现问题。

这类粉碎性问题是致使 HTTP/2 中另外一个严重转变的首要缘由之一：它现实上需要加密。这类改变的益处是避免了来自假装的 HTTP/1.1 的中心人进犯，或一些更细微的工作，好比 strip headers 或禁止新的和谈扩大 —— 这两种环境都在项目师对和谈的开辟中呈现过，致使了很较着的撑持问题。

当它被加密时，HTTP/2 要求也要求利用 TLS/1.2，而且将一些已被证实是不平安的算法套件列入黑名单—— 其结果只答应利用短暂密钥ephemeral keys。关在潜伏的影响能够去看 TLS 1.3 的相干章节。

终究，HTTP/2 答应多个主机的要求被 归并到一个毗连上，经由过程削减页面加载所利用的毗连（从而削减堵塞节制的场景）数目来晋升机能。

例如，你能够对 www.example.com 成立一个毗连，也能够将这个毗连用在对 images.example.com 的要求。而将来的和谈扩大也答应将其它的主机添加到毗连上，即使它们没有被列在最后用在它们的 TLS 证书中。是以，假定毗连上的通信被限制在它初始化时的目标其实不合用。

值得留意的是，虽然具有这些转变，HTTP/2 并没有呈现较着的互操作性问题或来自收集的冲突。

TLS 1.3

TLS 1.3 方才经由过程了尺度化的最初流程，而且已被一些实现所撑持。

不要被它只增添了版本号的名字所棍骗；它现实上是一个新的 TLS 版本，全新制造的 “握手”机制答应利用法式数据从头最先活动（常常被称为 ‘0RTT’）。新的设想依靠在短暂密钥互换，从而解除了静态密钥。

这引发了一些收集运营商和供给商的担忧 —— 特别是那些需要清楚地晓得那些毗连内部产生了甚么的人。

例如，假定一个对可视性有监管要求的银行数据中间，经由过程在收集中嗅探通信包而且利用他们的办事器上的静态密钥解密它，它们能够记实正当通信和辨认无害通信，不管是来自外部的进犯，仍是员工从内部去泄漏数据。

TLS 1.3 其实不撑持那些窃听通信的特定手艺，由于那也是 一种针对短暂密钥提防的进犯情势。但是，由于他们有利用更现代化的加密和谈和监督他们的收集的监管要求，这些使收集运营商处境很为难。

关因而否划定要求静态密钥、替换体例是不是有用、而且为了相对较少的收集情况而削弱全部互联网的平安是不是是一个准确的处理方案有良多的争辩。确切，依然有可能对利用 TLS 1.3 的通信进行解密，可是，你需要去拜候一个短暂密钥才能做到，而且，依照设想，它们不成能长时候具有。

在这一点上，TLS 1.3 看起来不会去改变以顺应这些收集，可是，关在去建立别的一种和谈有一些传言，这类和谈答应第三方去窃看通信内容，或做更多的工作。这件事是不是会获得鞭策还待不雅察。

QUIC

在 HTTP/2 工作中，能够很较着地看到 TCP 有类似的低效力。由于 TCP 是一个按挨次发送的和谈，一个数据包的丢掉可能禁止厥后面缓存区中的数据包被发送到利用法式。对一个多路复用和谈来讲，这对机能有很年夜的影响。

QUIC 测验考试去处理这类影响而在 UDP 之上重构了 TCP 语义（和 HTTP/2 流模子的一部门）。像 HTTP/2 一样，它始在 Google 的一项功效，而且此刻已被 IETF 采取作为一个 HTTP-over-UDP 的初始用例，其方针是在 2018 年末成为一个尺度。但是，由于 Google 已在 Chrome 阅读器和其网站上摆设了 QUIC，它已据有了跨越 7% 的互联网通信份额。

浏览 关在 QUIC 的答疑

除年夜量的通信从 TCP 到 UDP 的改变（和隐含的可能的收集调剂）以外，Google QUIC（gQUIC）和 IETF QUIC（iQUIC）都要求全程加密；并没有非加密的 QUIC。

iQUIC 利用 TLS 1.3 来为会话成立密钥，然后利用它去加密每一个数据包。但是，因为它是基在 UDP 的，很多 TCP 中公然的会话消息和元数据在 QUIC 中被加密了。

现实上，iQUIC 当前的 ‘短报文头’ 被用在除握手外的所有包，仅公然一个包编号、一个可选的毗连标识符和一个状况字节，像加密密钥轮换打算和包字节（它终究也可能被加密）。

其它的所有工具都被加密 —— 包罗 ACK，以提高 通信阐发 进犯的门坎。

但是，这意味着经由过程不雅察毗连来被动估算 RTT 和包丢掉率将不再变得可行；由于没有足够多的消息。在一些运营商中，因为缺少可不雅测性，致使了年夜量的耽忧，它们认为像如许的被动丈量对他们调试和领会它们的收集是相当主要的。

为知足这一需求，它们有一个建议是 ‘Spin Bit’ — 这是在报文头中的一个回程翻转的位，是以，可能经由过程不雅察它来估算 RTT。由于，它从利用法式的状况中解耦的，它的呈现其实不会泄漏关在终真个任何消息，也没法实现对收集位置的粗略估量。

DOH

行将产生的转变是 DOH — DNS over HTTP。年夜量的研究注解，对收集实行政策干涉干与的一个经常使用手段是经由过程 DNS 实现的（不管是代表收集运营商或一个更年夜的权利机构）。

利用加密去规避这类节制已 会商了一段时候了，可是，它有一个晦气前提（最少从某些立场来看）— 它可能与其它通信区分看待；例如，经由过程它的端口号被禁止拜候。

DOH 将 DNS 通信搭载在已成立的 HTTP 毗连上，是以，消弭了任何的辨别器。但愿禁止拜候该 DNS 解析器的收集只能经由过程禁止对该网站的拜候来实现。

例如，假如 Google 在 www.谷歌.com 上摆设了它的 基在 DOH 的公共 DNS 办事，而且一个用户设置装备摆设了它的阅读器去利用它，一个但愿（或被要求的）被住手拜候该办事的收集，将必需禁止对 Google 的全数拜候（向他们供给的办事致敬！）（LCTT 译注：他们做到了）。

DOH 才方才最先，但它已引发良多人的爱好，并有了一些摆设的传说风闻。经由过程利用 DNS 来实行政策影响的收集（和当局机构）若何反映还待不雅察。

浏览 IETF 100， Singapore： DNS over HTTP （DOH！）

僵化和润滑

让我们前往到和谈转变的念头，有一个主题贯串了这项工作，和谈设想者们碰到的愈来愈多的问题是收集对流量的利用做了假定。

例如，TLS 1.3 有一些临门一脚的问题是中心装备假定它是旧版本的和谈。gQUIC 将几个对 UDP 通信进行限流的收集列入了黑名单，由于，那些收集认为 UDP 通信是无害的或是低优先级的。

当一个和谈由于已有的摆设而 “冻结” 它的可扩大点，从而致使不克不及再进化，我们称它为 已僵化了 。TCP 和谈本身就是一个严峻僵化的例子，是以，太多的中心装备在 TCP 和谈上做了太多的工作，好比禁止了带有没有法辨认的 TCP 选项的数据包，或，“优化”了堵塞节制。

避免僵化是有需要的，确保和谈能够进化以知足将来互联网的需要；不然，它将成为一个“公共灾害”，一些个体收集的行动 —— 固然在那边工作的很好 —— 但将影响全部互联网的健康成长。

有良多的体例去避免僵化；假如被会商的数据是加密的，它其实不能被除持有密钥的人以外任何一方所拜候，禁止了干扰。假如扩大点是未加密的，可是凡是以一种能够较着中止利用法式的方式利用（例如，HTTP 报头），它不太可能遭到干扰。

和谈设想者不克不及利用加密的扩大点不常常利用的环境下，报酬地操纵扩大点——我们称之为 润滑 它。

例如，QUIC 鼓动勉励终端在 版本协商 中利用一系列的钓饵值，来避免假定它的实现永久不转变（就像在 TLS 实现中常常碰到的致使严重问题的环境）。

收集和用户

除避免僵化的欲望外，这些转变也反应出了收集和它们的用户之间关系的进化。很长时候以来，人们老是假定收集老是很善良好善的 —— 或最少是公道的 —— 但这类环境是不具有的，不但是 无孔不入的监督，也有像 Firesheep 的进犯。

是以，当那些收集想去拜候一些流经它们的收集的用户数据时，互联网用户的全体需乞降那些收集之间的关系日趋重要。特别受影响的是那些但愿去对它们的用户实行政策干涉干与的收集；例如，企业收集。

在一些环境中，他们能够经由过程在它们的用户机械上安装软件（或一个 CA 证书，或一个阅读器扩大）来到达他们的目标。但是，在收集不具有或没法拜候计较机的环境下，这其实不轻易；例如，BYOD 已很经常使用，而且物联网装备几近没有适合的节制接口。

是以，在 IETF 中环绕和谈开辟的很多会商，触和了企业和其它的 “叶子” 收集有时彼此合作的需求，和互联网全体的益处。

介入

为了让互联网在今后工作的更好，它需要为终端用户供给价值、避免僵化、让收集有序运转。此刻正在产生的转变需要知足所有的三个方针，可是，人们需要收集运营商更多的投入。

假如这些转变影响你的收集 —— 或没有影响 —— 请鄙人面留下评论。更好地能够经由过程加入会议、插手邮件列表、或对草案供给反馈来介入 IETF 的工作。