Recentemente, ho notato che durante l'utilizzo di Ricerca Google, mi collego al server di Google utilizzando UDP anziché TCP su entrambe le porte 80 e 443. Sembra che Google stia sperimentando nuove tecnologie correlate a SPDY QUIC o HTTP / 2.0.
Poiché UDP è un protocollo senza connessione, può essere facilmente falsificato. Questo non rende HTTPS su UDP non sicuro?
HTTPS su UDP è sicuro. Questo perché la sicurezza di HTTPS non utilizza nessuna delle proprietà di TCP, tranne che si tratta di un livello di trasporto. Proprio come UDP, TCP è facile da falsificare e manipolare. TCP è solo per rendere le cose più affidabili , non più sicure . Con UDP, i pacchetti possono essere raddoppiati, persi o inviati nell'ordine sbagliato. TLS è un mezzo per risolvere questi problemi. TLS funziona su UDP anziché su TCP. Ma poi quei problemi renderebbero più probabile la rottura della crittografia su un lato e la connessione fallirebbe.
Se inizi ad aggiungere la correzione degli errori e altre funzionalità a protocolli più avanzati come TLS, in pratica ricostruisci TCP , il che è male, in quanto devi mantenere (e compilare) il tuo stack TCP con tutti i problemi che questo introduce.
Le connessioni UDP che stai osservando sono molto probabilmente non SDP, poiché SDP usa TCP per il trasporto.