HTTPS and SVCB records

🚀 Плюсы HTTPS and SVCB records (RFC 9460)

Как новые DNS-записи ускоряют сайт, повышают приватность и решают технические ограничения

Коротко говоря: HTTPS and SVCB records передают инструкции по подключению от сервера к браузеру через DNS, до того как установлено само соединение. Это ускоряет загрузку, повышает приватность и решает проблемы, с которыми не справляются классические CNAME и Alt-Svc.

1. Производительность: Мгновенное подключение

  • Прямое подключение к HTTP/3 (h3) без задержки: Раньше браузер узнавал о поддержке HTTP/3 только после получения заголовка Alt-Svc от сервера, что требовало лишнего круга запросов (RTT). SVCB/HTTPS-запись с параметром alpn="h3,h2" сообщает об этом сразу, в момент DNS-запроса. Клиент может начать соединение по быстрому протоколу QUIC (HTTP/3) немедленно.
  • Подсказки IP-адресов (ipv4hint/ipv6hint): Эти параметры внутри HTTPS-записи позволяют передать IP-адрес сервера, избавляя браузер от выполнения отдельного DNS-запроса типа A или AAAA. Вся информация для подключения получается за один раз.
  • Нестандартные порты без редиректов: Вы можете опубликовать HTTPS-запись с параметром port=8443. Браузер, поддерживающий стандарт, сразу подключится к нужному порту, экономя время на редирект.

🔒 2. Приватность: Шифрование на этапе DNS

  • Шифрование имени сайта (SNI) через ECH: Без ECH, даже при открытии HTTPS-сайта, имя домена передается в открытую. HTTPS-запись может содержать параметр ech, предоставляя браузеру публичный ключ для шифрования. Сайт становится невидим для провайдера.
  • Раннее указание HTTPS: Наличие HTTPS-записи сигнализирует браузеру, что сайт обязательно нужно открывать по защищенному протоколу, предотвращая атаки понижения версии.

🛠️ 3. Гибкость и надежность: Решение «проклятия Apex»

  • Алиас для корня зоны (Apex): AliasMode в SVCB (приоритет 0) позволяет создать алиас для корня зоны (например, site.ru), направляя трафик на www.site.ru или напрямую в CDN, сохраняя работу всей остальной DNS-зоны.
  • Умное резервирование: Вы можете указать несколько резервных серверов с разными приоритетами и весами. Если основной сервер недоступен, браузер сам переключится на резервный, указанный в SVCB-записи.

⚠️ Важный нюанс (проблема «цыпленка и яйца»)

Чтобы HTTPS-запись дала максимальную защиту (особенно ECH), нужна безопасная DNS-доставка — DNS-over-HTTPS (DoH). В противном случае, провайдер может просто «вырезать» HTTPS-запись из ответа. Однако даже без DoH, записи все еще дают огромный прирост в производительности и решают проблему Apex-алиасов.

💎 Итог: Для вас как администратора

  • Ускорение HTTP/3: Без HTTPS RR браузеру нужно дождаться ответа от сервера. С HTTPS RR — он знает о HTTP/3 сразу.
  • Приватность: Вы сможете включить ECH, если ваш хостинг/CDN его поддерживает, и скрыть имя сайта от провайдера.
  • Управление трафиком: Если вы используете несколько бэкендов или сложную балансировку, SVCB дает удобный способ управления трафиком через DNS.

Как только ваш DNS-провайдер добавит поддержку таких записей, вы сможете сделать ваш и так быстрый сайт еще быстрее и приватнее.

Актуально на основе RFC 9460 (SVCB и HTTPS RR) | Подготовлено с ❤️ для вашего WordPress сайта