Яндекс браузер отключить quic

Обновлено: 07.07.2024

Быстрым решением этих ошибок могут быть - это не правильная дата на компьютере и антивирус. Что делать?

• Проверить и выставить правильную дату, число и пояс.
• Отключить на время антивирусный продукт или добавить сертификат в исключения сканирования. Отключение антивируса в такой ситуации может быть опасным решением, если вам есть что терять (данные карты, личные данные, пароли). Нужно быть уверенным в том веб-сайте, что он не зловредный.

Прежде чем приступить, советую Вам ознакомится, что такое SSL 3/TLS в википедии или в поиске Yandex или Google. Так как SSL и TLS протоколы не безопасны. Это может быть временным решением.

Как владелец веб-сайта, вам также необходимо проверить, поддерживает ли ваш CDN протокол SSL. Большая часть CDN теперь поддерживает SSL, и все, что вам нужно, это правильно настроить. В противном случае обратитесь к техподдержке вашего хостинга, они вам помогут.

2. Включить SSL 3/TLS и отключить протокол QUIC

Chrome и Yandex браузер:

Если не помогло, то открываем браузер Chrome или Yandex и вводим в адресную строку chrome://flags . Далее в поле поиска пишем TLS и включаем . Также, в этом же поле поиска, пишем SSL и включаем его тоже. Enabled переводится, как включен.

Edge и Internet Explorer:

Нажмите сочетание кнопок Win + R и введите inetcpl.cpl,

Перейдите во вкладку "Дополнительно" и включите "Использовать TLS 1.1 " и "Использовать TLS 1.2 ". Есть момент, если не сработало, то вернитесь обратно в эти параметры и включите еще SSL 3.0 .

Введите about:config в адресной строке и нажмите Enter. Далее в поиске наберите tls и найдите security.tls.version.min. Щелкните по этому параметру два раза и задайте значение 3 , чтобы заставить работать протокол TLS 1.3 . Нажмите "ОК" и перезапустите браузер Firefox.

3. Удалить состояние SSL

Нажмите сочетание кнопок Win + R и введите inetcpl.cpl, чтобы открыть свойства интернета.

Протокол SSL TLS

Пользователи бюджетных организаций, да и не только бюджетных, чья деятельность напрямую связана с финансами, во взаимодействии с финансовыми организациями, например, Минфином, казначейством и т.д., все свои операции проводят исключительно по защищенному протоколу SSL. В основном, в своей работе они используют браузер Internet Explorer. В некоторых случаях — Mozilla Firefox.

Ошибка SSL

Основное внимание, при проведении данных операций, да и работе в целом, уделено системе защиты: сертификаты, электронные подписи. Для работы используется программное обеспечение КриптоПро актуальной версии. Что касается проблемы с протоколами SSL и TLS , если ошибка SSL появилась, вероятнее всего отсутствует поддержка данного протокола.

Ошибка TLS

Ошибка TLS во многих случаях также может указывать на отсутствие поддержки протокола. Но… посмотрим, что можно в этом случае сделать.

Поддержка протоколов SSL и TLS

Итак, при использовании Microsoft Internet Explorer, чтобы посетить веб-сайт по защищенному протоколу SSL, в строке заголовка отображается Убедитесь что протоколы ssl и tls включены . В первую очередь, необходимо включить поддержку протокола TLS 1.0 в Internet Explorer.

Если вы посещаете веб-сайт, на котором работает Internet Information Services 4.0 или выше, настройка Internet Explorer для поддержки TLS 1.0 помогает защитить ваше соединение. Конечно, при условии, что удаленный веб-сервер, который вы пытаетесь использовать поддерживает этот протокол.

Для этого в меню Сервис выберите команду Свойства обозревателя .

На вкладке Дополнительно в разделе Безопасность , убедитесь, что следующие флажки выбраны:

• Использовать SSL 2.0
• Использовать SSL 3.0
• Использовать SSL 1.0

После включения TLS 1.0, попытайтесь еще раз посетить веб-сайт.

Системная политика безопасности

Если по-прежнему возникают ошибки с SSL и TLS , если вы все еще не можете использовать SSL, удаленный веб-сервер, вероятно, не поддерживает TLS 1.0. В этом случае, необходимо отключить системную политику, которая требует FIPS-совместимые алгоритмы.

Чтобы это сделать, в Панели управления выберите Администрирование , а затем дважды щелкните значок Локальная политика безопасности .

В локальных параметрах безопасности, разверните узел Локальные политики , а затем нажмите кнопку Параметры безопасности .

В соответствии с политикой в ​​правой части окна, дважды щелкните Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хеширования и подписывания , а затем нажмите кнопку Отключено .

Изменение вступает в силу после повторного применения локальной политики безопасности. Включите ее, перезапустите браузер.

КриптоПро TLS SSL

Обновить КриптоПро

Одним из вариантов решения проблемы, является обновление КриптоПро, а также настройка ресурса. В данном случае, это работа с электронными платежами. Перейдите на Удостоверяющий центр . В качестве ресурса выберите Электронные торговые площадки.

После запуска автоматической настройки рабочего места, останется только дождаться завершения процедуры , после чего перезагрузить браузер . Если необходимо ввести или выбрать адрес ресурса — выбирайте нужный. Также, по окончании настройки, возможно, потребуется перезагрузить компьютер.

Авторизация на Портале возможна с действующим сертификатом открытого ключа, полученным в инфраструктурах открытых ключей удостоверяющего центра РУП "Информационно-издательский центр по налогам и сборам" (далее - РУП ИИЦ) или в Республиканском удостоверяющем центре Государственной системе управления открытыми ключами проверки электронной цифровой подписи Республики Беларусь (далее - РУЦ ГосСУОК).

Убедитесь, что у вас на руках имеется диск c актуальным программным обеспечением и носитель ключевой информации, т.н. ключ (например, AvPass, AvToken, AvBign).

Для работы с порталом подачи электронных счетов-фактур Вам необходимо:

Откройте просмотр свойств системы: Правой клавишей по ярлыку Компьютер (Мой компьютер) - Свойства.

Посмотрите на то, как выглядят свойства операционной системы:

Год сборки должен соответствовать реальному году выхода операционной системы, например:

• для Windows XP - 2002
• для Windows 7 - 2009 и т.п.

Не должно быть никаких посторонних картинок, кроме логотипа Windows (на предустановленных системах от известных производителей компьютеров также могут присутствовать логотипы производителей и/или информация об активации).

Распространённые сборки, с которыми могут возникать проблемы: ZverCD, ZverDVD, PiterPen, Goletsa и.т.п.

Работа криптографических компонентов на таких рода сборках не гарантируется.

В комплект абонента входит:

• Криптопровайдер Avest CSP 6.3.0.791;
• Криптопровайдер Avest CSP Bel 6.3.0.791;
• Персональный менеджер сертификатов 4.0.6;
• Плагин AvCMXWebP 1.1.8;
• AvJCEProv 1.3.1;

ВНИМАНИЕ! Если данное криптографическое ПО не установлено на ПК пользователя, то работа всего функционала портала и веб-сервиса не гарантируется!

Программное обеспечение, в которое входит комплект абонента с соответствующими настройками для инфраструктуры РУП ИИЦ или РУЦ ГосСУОК и личный сертификат организации распространяется на компакт-диске. Сертификат обычно выдаётся на несколько лет, поэтому программы, передаваемые на диске, могут со временем устаревать. На данный момент актуальная версия криптопровайдера для пользователей с сертификатами из инфраструктуры РУП ИИЦ или РУЦ ГосСУОК:

Avest CSP (Проверьте версию, открыв Пуск - Все программы - Авест - Avest CSP - вкладка «Версия»).

Avest CSP bel (Проверьте версию, открыв Пуск - Все программы - Авест - Avest CSP bel - вкладка «Версия»).

Если у вас на компьютере установлена более старая версия криптопровайдера Avest CSP или Avest CSP bel, то лучше всего воспользоваться обновлением всего комплекта абонента. Для этого:

1. Скачайте и сохраните на компьютер архив с актуальным комплектом абонента для носителей AvToken или AvPass.
2. Программы находятся в архиве. Обязательно распакуйте архив перед установкой программ.
3. Зайдите в распакованный каталог с файлами..\AvPKISetup(4.0.6.bign)\.
4. Если у вас нет сертификта в личном справочнике
   Найдите папку..\data\ и скопируйте в неё цепочку сертификатов в формате *.p7b с вашим актуальным сертификатом из РУП ИИЦ. Инсталлятор не только обновит вам программы, но и запустит импорт этого сертификата в личный справочник.
5. Если у вас есть актуальный сертификат в личном справочнике , то установку можно запустить просто в режиме обновления ПО: Найдите файл AvPKISetup2.exe и запустите его двойным щелчком мыши. Запустится мастер обновления ПО. Следуйте указаниям мастера установки. Будьте внимательны, возможно в процессе установки потребуется перезагрузка компьютера. по использованию автоматического инсталлятора AvPKISetup находится в этом же ахиве в папке..\AvPKISetup(4.0.6.bign)\Docs\Инструкция по установке ПО с помощью AvPKISetup на рабочее место NCES 2.0.pdf.

Убедитесь, что ваш сертификат действителен. Откройте соответствующий сертификату персональный менеджер, пройдите авторизацию, убедитесь, что сертификат действующий и СОС не истекли.

Истёк СОС. Воспользуйтесь кнопкой автоматического обновления актуальных Списков отозванных сертификатов.

Импорт СОС

Если вы используете Windows Server 2008R2, Windows Server 2012R1 или Windows Server 2012R2, то у вас могут возникнуть проблемы с авторизацией по защищённому соединению. Рекомендуем вам следующее решение:

1. Сохраните этот файл на компьютер в такое место, где вы точно сможете его потом найти (например, выберите «Мой компьютер» - диск С:\ или папку «Загрузки»).
2. Распакуйте архив.
3. Запустите файл двойным щелчком мыши (изменения нужно вносить с правами администратора).
4. Разрешите внесение изменений в реестр.
5. Выполните перезагрузку компьютера после внесения всех изменений.

Запустите Internet Explorer. В строке меню необходимо выбрать иконку с настройками и в ней пункт .

Откроется окно свойств обозревателя/браузера. Выбрать вкладку «Безопасность» .

На вкладке безопасность нажать на зеленую галочку , а затем на кнопку «Узлы/сайты» .

После чего адрес появится в списке Веб-узлов. Нажать кнопку «Закрыть» .

Вновь откроется вкладка «Безопасность» . Нажать кнопку «Другой» .

Откроется окно с названием «Параметры безопасности – зона надежных узлов» . Пролистать список вниз до заголовка «Элементы ActiveX и модули подключения» . ВСЁ , что находится ниже этого заголовка до конца списка, должно быть ВКЛЮЧЕНО . Пролистать этот список до конца вниз и включить ВСЕ элементы параметров безопасности, после чего нажать кнопку «ОК».

После нажатия кнопки «ОК» появится окно с предупреждением: «Вы действительно хотите изменить настройку для этой зоны?» . Нажать кнопку «Да» .

13.11.2018

Вопросы и ответы

комментариев 25

В Opera и Яндекс Браузер ошибка выглядит примерно также. Как мне открыть такие сайты?

Ответ

Очистите кэш и куки браузера, SSL кэш

Кэш и куки браузера могут быть частой причиной возникновения ошибок с SSL сертификатами. Рекомендуем сначала очистить в браузере кэш и куки. В Chrome нужно нажать сочетание клавиш Ctrl + Shift + Delete, выберите промежуток времени (Все время) и нажмите кнопку очистки данных (Удалить данные / Clear Data).

Чтобы очистить SSL кэш в Windows:

Отключите сторонние расширения в браузере

Рекомендуем отключить (удалить) сторонние расширения браузера, особенно всякие анонимайзеры, прокси, VPN, расширения антивируса и другие подобные Addon-ы, которые могут вмешиваться в прохождение трафика до целевого сайта. Посмотреть список включенных расширения в Chrome можно, перейдя в Настройки -> Дополнительные инструменты -> Расширения, или перейдя на страницу chrome://extensions/. Отключите все подозрительные расширения.

Проверьте настройки антивируса и файрвола

Проверьте настройки даты и времени

Проверьте что у вас установлено правильно время и часовой пояс. Если время постоянно сбивается – смотри статью “Сбивается время на компьютере при выключении: что делать?”.

Обновите корневые сертификаты Windows

Если ваш компьютер находится в изолированном сегменте, давно не обновлялся или на нем совсем отключена служба автоматического обновления, на вашем компьютере могут отсутствовать новые корневые доверенные сертификаты (TrustedRootCA). Рекомендуем выполнить обновление системы: установить последние обновления безопасности, в случае с Windows 7 – обязательно установить SP1 (KB976932) и обновления часовых поясов (KB2998527).

Отключите поддержку протокола QUIC

Включите поддержку протоколов TLS и SSL

И самый последний пункт – скорее всего для решения проблемы вам достаточно будет включить поддержку старых версий протоколов TLS и SSL. В большинстве случае он окажется самым эффективным, но я намеренно перенес его в конец статьи. Объясню почему.

Современные браузеры и ОС уже давно отказались от поддержки устаревших и уязвимых протоколов SSL/TLS (SSL 2.0, SSL 3.0 и TLS 1.1). Стандартном сейчас считаются TLS 1.2 и TLS 1.3

Если на стороне сайта используется меньшая версия протокола SSL/TLS, чем поддерживается клиентом/браузером, пользователь видит ошибку установки безопасного подключения.

Чтобы включить старые версии протоколов SSL/TLS (еще раз отмечаю – это небезопасно):

Если все рассмотренные способы не помогли избавиться от ошибки «Этот сайт не может обеспечить безопасное соединение» также попробуйте:

1. 1. Проверить, что в файле C:\Windows\System32\drivers\etc\hosts отсутствуют статические записи;
   2. Попробуйте использовать публичные DNS сервера, например – DNS сервер Google. В настройках сетевого подключения в качестве предпочитаемого DNS сервера укажите IP адрес 8.8.8.8;
   3. В Панели управления -> свойства браузера, убедитесь, что для зоны Интернет выбрана уровень безопасности Выше среднего или Средний. Если выбрана зона Высокий, некоторые SSL подключения могут блокироваться браузером.
   4. Возможно проблема связана с сертификатом сайта – проверьте его с помощью онлайн утилит SSL Checker;
   5. В Chrome проверьте, включен ли протокол TLS 1.3:
      • В адресной строке перейдите в раздел настроек chrome://flags;
      • С помощью поиска найдите параметр TLS 1.3;
      • Убедитесь, что он включен (Enabled) или находится в состоянии Default. Если отключен – его нужно включить.

   Как узнать тип подключения

   Без наличия особых знаний в технологиях безопасности пользователь не смог бы определить безопасность пользования ресурсом, а с SSL – легко узнать, можно ли вводить конфиденциальные данные или лучше воздержаться. Яндекс браузер отображает наличие SSL-подключения серым замочком в «Умной строке», по состоянию иконки легко визуально определить тип подключения.

   Важно! На самом деле SSL-стандарт уже устарел и практически не используется, ещё в 2014 году в США заявили об уязвимости системы и обязали ресурсы перейти на современный протокол защищённой связи – TLS. Он также выпущен компанией Netscape и является идейным продолжением SSL. TLS до сих пор условно называют «ССЛ».

   Определить тип подключения поможет значок замка:

   Зачем нужен SSL в Yandex browser

   Задача этого стандарта безопасности сводится к четырём сферам:

   Все перечисленные задачи важны, поэтому рекомендуем запустить поддержку безопасного доступа в браузере.

   Как включить SSL в Яндекс браузере

   В стандартной сборке обозревателя защищённый доступ используется на всех сайтах, которые его поддерживают. Если ранее самостоятельно меняли параметры или установлена сторонняя сборка, функция может не работать на стороне клиента.

   Не каждый сайт можем открыть с использованием системы шифрования, так как появляется ошибка отсутствия SSL. Обычно неисправности легко решить самостоятельно.

   Как убрать проблемы с SSL в Yandex browser

   Что может спровоцировать проблему:

   1. Поражение системы вредоносным кодом. Вирусы приносят самые неожиданные проблемы, в том числе и неисправности при сёрфинге в сети. Бесплатно восстановить работоспособность помогут Dr. Web CureIt или Kaspersky Rescue Disc.
   2. Сбой времени или даты. Для загрузки защищённого ресурса потребуется установка правильного времени с датой. Если между сервером и компьютером есть существенные отличия по этим параметрам, доступ прервётся. Единственное исключение – отличия по часовым поясам, они не мешают загрузке сайта. Чтобы восстановить работу, устанавливаем время правильно:
      1. Нажимаем ПКМ на панель времени в нижнем правом углу.
      2. Выбираем «Настройка даты и времени».
      3. Переводим переключатель «Установить время автоматически» в положение ВКЛ.
      1. Переходим в « Настройки » в раздел «Системные настройки».
      2. В главе «Сеть» кликаем на «Настройки прокси-сервера».
      3. Переходим на вкладку «Безопасность» и устанавливаем «Уровень безопасности для этой зоны» на отметке «Средний» и нажимаем на «Применить».
      4. Переходим во вкладку «Конфиденциальность» и снимаем галочку у параметра «Никогда не разрешать веб-сайтам запрашивать ваше местонахождение».

      Есть ещё один полезный способ восстановления доступа к сайтам – очистить хранилище сертификатов.

      Как очистить SSL в Яндекс браузере

      На самом деле есть три метода, помогающих очистить SSL в Яндекс браузере:

      1. Из раздела сеть. Самый быстрый и простой метод очистить SSL в Yandex browser. Алгоритм действий:
         1. Следуем в «Настройки», где переходим в раздел «Системные настройки».
         2. В категории «Сеть» нажимаем ссылку «Изменить настройки прокси-сервера». Важно! Если она заблокирована, отключаем Proxy или VPN расширения.
         3. Переходим на вкладку «Содержание» и в графе «Сертификаты» нажимаем на «Очистить SSL», теперь Яндекс браузер повторно начнёт собирать сертификаты.
         1. Переходим по ссылке в « Настройки ».
         2. Нажимаем на ссылку «Управление сертификатами».
         3. Выбираем необходимые сертификаты из всех вкладок и кликаем по кнопке «Удалить». Рядом с названием вкладок есть стрелочки, помогающие листать вкладки, так как они не помещаются в одно окно.
         1. Открываем панель «Пуск» и вводим certmgr.msc.
         2. Разворачиваем подходящие папки, внутри их находятся разделы «Сертификаты».
         3. Нажимаем по конкретному сертификату правой кнопкой мыши и выбираем «Удалить».

         Протокол QUIC (название расшифровывается как Quick UDP Internet Connections) — совершенно новый способ передачи информации в интернете, построенный поверх протокола UDP, вместо общепринятого ранее использования TCP. Некоторые люди называют его (в шутку) TCP/2. Переход к UDP — наиболее интересная и мощная особенность протокола, из которой следуют некоторые другие особенности.

         
         

         Если вы захотите установить защищённое TLS-соединение, придётся переслать ещё больше пакетов.

         
         

         Некоторые инновации, вроде TCP Fast Open, улучшат некоторые аспекты ситуации, но эта технология пока не очень широко распространена.

         
         

         Это невероятно ускоряет открытие соединения и начало загрузки данных.

         Зачем нужен QUIC?

         Планы команды разработчиков протокола QUIC выглядят очень амбициозно: протокол попытается совместить скорость UDP с надёжностью TCP.

         Вот что об этом пишет Википедия:

         Улучшение протокола TCP является долговременной целью для Google, а протокол QUIC создан как эквивалент независимого TCP-соединения, но с уменьшенными задержками и улучшенной в духе SPDY поддержкой мультиплексирования. Если QUIC покажет свою эффективность, то эти возможности могут войти в следующую версию протоколов TCP и TLS (разработка которых занимает больше времени).

         В этой цитате есть важный момент: если QUIC докажет свою эффективность, то есть шанс, что опробованные в нём идеи станут частью следующей версии TCP.

         Протокол TCP достаточно сильно формализован. Его реализации есть в ядрах Windows и Linux, в каждой мобильной OS, да и во многих более простых устройствах. Улучшение TCP является непростым делом, поскольку все эти реализации должны его поддерживать.

         UDP же является относительно простым протоколом. Значительно быстрее разработать новый протокол поверх UDP чтобы иметь возможность проверить теоретические идеи, работу в перегруженных сетях, обработку заблокированных потерянным пакетом потоков и т.д. Как только эти моменты будут прояснены — можно будет начинать работу по переносу лучших частей QUIC в следующую версию TCP.

         Где же сегодня место QUIC?

         Да, протокол QUIC реализует собственный крипто-слой, что позволяет избежать использования TLS 1.2.

         
         

         Блокировка начала очереди (Head-of-line blocking)

         
         

         Поскольку весь обмен данными теперь построен на одном TCP-соединении, мы автоматически получаем один недостаток: блокировку начала очереди (Head-of-line blocking). В протоколе TCP требуется, чтобы пакеты приходили (точнее обрабатывались) в правильном порядке. Если пакет потерялся на пути к\от сервера — он должен быть отослан повторно. TCP-соединение в это время должно ожидать (блокироваться) и лишь после повторного получения потерянного пакета продолжается обработка всех пакетов в очереди — только так можно соблюсти условие корректного порядка обработки пакетов.

         
         

         Протокол QUIC решает эту проблему фундаментально — отказом от протокола TCP в пользу UDP, который не требует соблюдения порядка обработки принимаемых пакетов. И, хотя потери пакетов, конечно, всё так же возможны, это будет влиять только на обработку тех ресурсов (индивидуальных HTML\CSS\JS-файлов), к которым относится потерянный пакет.

         
         

         Почему уменьшить количество пересылаемых пакетов так важно

         Если у вас быстрое Интернет-соединение, то задержки передачи пакетов между вашим компьютером и удалённым сервером составляют около 10-50 мс. Каждый пересылаемый от вас по сети пакет будет получен сервером через этот промежуток времени. Для такого порядка величин преимущества QUIC могут быть не очень понятны. Но стоит нам рассмотреть вопрос обмена данными с сервером на другом континенте или использования мобильных сетей — и вот у нас уже появляются задержки порядка 100-150 мс.

         
         

         В итоге на мобильном устройстве, при доступе к находящемуся далеко серверу, разница между 4 пакетами TCP+TLS и одним пакетом QUIC может составить около 300 мс, что уже является существенной величиной, наблюдаемой невооруженным глазом.

         Превентивная коррекция ошибок

         Изящной фичей протокола QUIC является превентивная коррекция ошибок (Forward Error Correction, FEC). Каждый пересылаемый пакет содержит в себе некоторое количество данных других пакетов, что позволяет реконструировать любой потерянный пакет по данным в его соседях, без необходимости запрашивать переотправку потерянного пакета и дожидаться его содержимого. Это, по сути, реализация RAID 5 на сетевом уровне.

         Но вы уже и сами видите недостаток этого решения: каждый пакет становится немного больше. Текущая реализация устанавливает этот оверхед равным 10%, т.е. сделав каждый пересылаемый пакет на 10% больше мы тем самым получаем возможность восстановления данных без перезапроса в случае, если будет теряться не более каждого десятого пакета.

         Эта избыточность — плата пропускной способностью сети за уменьшение задержек (что выглядит логично, ведь скорости соединения и пропускная способность каналов непрерывно растут, а вот тот факт, что передача данных на другой конец планеты занимает сотню миллисекунд — навряд ли удастся как-то изменить без фундаментального переворота в физике).

         Возобновление сессии и параллельные загрузки

         Ещё одной интересной особенностью использования протокола UDP является то, что вы больше не привязаны к IP сервера. В протоколе TCP соединение определяется четырьмя параметрам: IP-адресами сервера и клиента, портами сервера и клиента. В Linux вы можете увидеть эти параметры для каждого установленного соединения с помощью комманды netstat:

         
         Если любой из этих четырёх параметров потребуется изменить — нам потребуется открывать новое TCP-соединение. Вот почему трудно поддерживать стабильную связь на мобильных устройствах при переключении между WiFi и 3G/LTE.

         
         

         В QUIC, с его использованием UDP, данного набора параметров больше нет. QUIC вводит понятие идентификатора соединения, называемого Connection UUID. Появляется возможность перейти с WiFi на LTE с сохранением Connection UUID, таким образом избежав затрат на пересоздание соединения. Похожим образом работает Mosh Shell, сохраняя SSH-соединение активным при смене IP-адреса.

         Также данный подход открывает двери возможности использования нескольких источников для запроса контента. Если Connection UUID может быть использовано для перехода от WiFi к мобильной сети, то мы можем, теоретически, использовать и их обе одновременно для получения данных параллельно. Больше каналов связи — больше пропускная способность.

         Практические реализации QUIC

         
         

         
         

         Как при этом всём работают файрволы?

         Если вы — сисадмин или сетевой инженер, то, возможно, слегка дёрнулись, когда услышали о том, что QUIC использует UDP вместо TCP. Да, наверное, у вас есть на то свои причины. Возможно у вас (как, например, и у нас в компании), настройки доступа к веб-серверу выглядят как-то так:

         
         

         Самое главное здесь, конечно же, столбик протокола, в котором явно написано «TCP». Подобные настройки используются тысячами веб-серверов по всему миру, поскольку они разумны. 80 и 443 порты, только TCP — и больше ничего на продакшн-вебсервере разрешено быть не должно. Никакого UDP.

         Ну, если мы хотим использовать QUIC, придётся добавить и разрешение UDP-соединений на 443-ий порт. В больших энтерпрайз-сетях это может быть проблемой. Как показывает статистика Google, UDP кое-где блокируется:

         
         

         Эти цифры были получены в ходе недавнего исследования в Швеции. Отметим несколько ключевых моментов:

         • Поскольку QUIC тестировался только с сервисами Google, можно предположить, что недоступности из-за неверно настроенного файрвола на сервере не было.
         • Цифры отражают успешность исходящих запросов от пользователей на 443-ий UDP-порт.
         • QUIC может быть отключен в Chrome по разным причинам. Держу пари, что в некоторых энтерпрайз-средах его отключили превентивно, просто на всякий случай.
         • Поскольку протокол QUIC по-умолчанию использует шифрование, нам следует беспокоиться только о доступе к 443-му порту, доступность или недоступность 80-го не должна как-то влиять.

         Использование QUIC на серверной стороне

         На данный момент QUIC поддерживается вебсервером Caddy (с версии 0.9). И клиентская, и серверная реализация QUIC ещё на стадии экспериментальной поддержки, так что будьте осторожны с практическим применением QUIC. Поскольку ни у кого по-умолчанию не включен QUIC, то, вероятно, будет безопасным включить его на своём сервере и экспериментировать со своим браузером (Обновление: с версии 52 QUIC включён по-умолчанию в Chrome).

         Производительность QUIC

         В 2015-ом году Google опубликовала некоторые результаты замеров производительности QUIC.

         Статистика Youtube особенно интересна. Если улучшения подобного масштаба действительно возможны, то мы увидим очень быструю адаптацию QUIC как-минимум в сфере видеосервисов вроде Vimeo, а также на рынке «видео для взрослых».

         Выводы

         Лично я нахожу протокол QUIC совершенно очаровательным! Огромный объём работы, проделанный его разработчиками, не пропал даром — один лишь факт того, что уже сегодня крупнейшие сайты в Интернете поддерживают QUIC, немного ошеломляет. Я жду не дождусь финальной спецификации QUIC, ну и дальнейшей её реализации всеми браузерами и веб-серверами.

         Комментарий к статье от Jim Roskind, одного из разработчиков QUIC

         Я потратил много лет на исследования, дизайн и разработку реализации протокола QUIC, и хотел бы добавить к статье кое-какие свои мысли. В тексте был верно подмечен момент о вероятной недоступности протокола QUIC у некоторых пользователей из-за строгих корпоративных политик в отношении протокола UDP. Это и было причиной того, что мы получили среднюю доступность протокола на уровне в 93%.

         Если мы вернёмся немного в прошлое, то увидим что ещё совсем недавно корпоративные системы часто запрещали даже исходящий трафик к 80-му порту, с аргументацией «это уменьшит количество времени, которое работники тратят на серфинг в ущерб работе». Позже, как вы знаете, преимущества доступа к веб-сайтам (в том числе в производственных целях) вынудило большинство корпораций пересмотреть свои правила, разрешив выход в интернет с рабочего места рядового сотрудника. Я ожидаю чего-то аналогичного и с протоколом QUIC: как-только станет понятно, что с новым протоколом связь может быть быстрее, задачи выполняются оперативнее — он пробьёт себе путь и в энтерпрайз.

         Я рассчитываю, что QUIC массово заместит собой TCP, и это даже помимо того, что он подарит следующей версии TCP ряд своих идей. Дело в том, что TCP реализуется в ядрах операционных систем, в железе, а значит адаптация к новой версии может занять 5-15 лет, в то время как внедрить QUIC поверх общедоступного и всеми поддерживаемого UDP можно в отдельно взятом продукте\сервисе буквально за несколько недель или месяцев.

         Читайте также:

           
         • Apple книги какие форматы
           
         • Как убрать копейки в 1с
           
         • Формат описания как векторных так и растровых изображений на языке postscript фирмы adobe
           
         • Наименование и полное наименование в 1с 8 в чем разница
           
         • Winamp что это за программа