最近在使用一个开源工具时发现基于 UDP 的协议延迟明显更低,这让我关注了 HTTP/3。简单来说,HTTP/3 解决了 TCP 协议层面的一个根本性问题:队头阻塞(Head-of-Line Blocking)。
HTTP/2 虽然在应用层实现了多路复用,但底层仍然依赖 TCP。当网络丢包时,TCP 会阻塞整个连接,等待重传,即使其他数据流已经到达也无法处理。这在弱网环境下尤其明显。
HTTP/3 基于 QUIC 协议(运行在 UDP 之上),从根本上解决了这个问题:
| 特性 | HTTP/1.1 | HTTP/2 | HTTP/3 |
|---|
| 多路复用 | 否 | 是(应用层) | 是(传输层) |
| 头部压缩 | 否 | 是(HPACK) | 是(QPACK) |
| 优先级 | 否 | 是 | 是 |
| 服务器推送 | 否 | 已废弃 | 否 |
| 0-RTT | 否 | 否 | 是 |
| 队头阻塞 | 严重 | 传输层存在 | 无 |
| 连接迁移 | 否 | 否 | 是 |
| 安全性 | 可选 | 强制 TLS | 强制 TLS 1.3 |
| 传输协议 | TCP | TCP | QUIC(基于 UDP) |
多路复用
0-RTT 连接建立 客户端缓存服务器配置后,后续连接可以在第一个数据包就发送应用数据,无需等待握手完成。这对于短连接场景(如 API 请求)性能提升明显。
连接迁移 QUIC 使用 Connection ID 而非四元组(IP + 端口)标识连接,移动设备切换网络时无需重新建立连接。
QPACK vs HPACK QPACK 是 HPACK 的改进版,允许乱序解码头部,避免了 HTTP/2 中头部压缩导致的队头阻塞。
推荐使用
可选使用
不建议使用
| 浏览器 | 实验性支持版本 | 支持时间 | 默认启用版本 | 默认启用时间 | 备注 |
|---|---|---|---|---|---|
| Chrome | 79 | 2019 年 12 月 | 87 | 2020 年 11 月 | 早期版本实现了 QUIC 草案 |
| Edge | 79 | 2019 年 12 月 | 87 | 2020 年 11 月 | 基于 Chromium |
| Firefox | 72 | 2020 年 1 月 | 88 | 2021 年 4 月 | |
| Safari | 14.0 | 2020 年 9 月 | 16.4 | 2023 年 3 月 | 逐步灰度测试 |
快速测试: 访问 quic.nginx.org,如果 QUIC 图标变为彩色,说明浏览器支持 HTTP/3。
| 服务器 | 稳定支持版本 | 发布时间 | 备注 |
|---|---|---|---|
| Nginx | 1.25.0 | 2023 年 5 月 | 需要编译时启用,或使用官方二进制包 |
| Caddy | 2.6.0 | 2022 年 9 月 | 默认启用,零配置 |
| LiteSpeed | 6.0.2 | 2021 年 6 月 | 商业版本,性能优秀 |
| HAProxy | 2.6 | 2022 年 5 月 | 支持 HTTP/3 over QUIC |
| Cloudflare | - | 2019 年起 | 通过 quiche 库集成到 Nginx |
| Microsoft IIS | - | 2021 年 | Windows Server 2022/Windows 11 原生支持 |
前置要求
--with-http_v3_module(官方二进制包已包含)配置示例
nginxserver { listen 443 ssl; listen [::]:443 ssl; # 启用 HTTP/3 # reuseport 仅需在一个 server 块中添加 listen 443 quic reuseport; listen [::]:443 quic reuseport; server_name example.com; # SSL 证书配置 ssl_certificate /path/to/cert.pem; ssl_certificate_key /path/to/key.pem; # 推荐的 SSL 配置 ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers HIGH:!aNULL:!MD5; ssl_prefer_server_ciphers on; # 启用 0-RTT(可选,注意重放攻击风险) ssl_early_data on; location / { # 告知客户端支持 HTTP/3 add_header Alt-Svc 'h3=":443"; ma=86400'; # 其他配置... } }
其他 server 块配置(不需要 reuseport)
nginxserver { listen 443 ssl; listen [::]:443 ssl; listen 443 quic; # 不需要 reuseport listen [::]:443 quic; # 其他配置同上... }
应用配置
bash# 测试配置
nginx -t
# 重载配置
nginx -s reload
验证 UDP 端口
bash# 检查 UDP 443 是否监听
ss -ulnp | grep 443
# 或
netstat -ulnp | grep 443
Caddy 默认启用 HTTP/3,无需额外配置:
caddyfileexample.com { # Caddy 自动启用 HTTP/3 reverse_proxy localhost:8080 }
如需禁用:
caddyfileexample.com { protocols h1 h2 # 仅启用 HTTP/1.1 和 HTTP/2 }
iptables
bash# 允许 UDP 443
iptables -A INPUT -p udp --dport 443 -j ACCEPT
firewalld
bashfirewall-cmd --permanent --add-port=443/udp firewall-cmd --reload
云服务商安全组 确保安全组规则中开放 UDP 443 端口(入站规则)。
如果 Nginx 运行在 Docker 中,需要映射 UDP 端口:
yaml# docker-compose.yml
services:
nginx:
image: nginx:latest
ports:
- '443:443/tcp'
- '443:443/udp' # 必须显式映射 UDP
h3bash# 需要 curl 7.66.0+ 且编译时启用 HTTP/3 支持
curl --http3 -I https://www.kevnu.com
# 查看详细信息
curl --http3 -v https://www.kevnu.com
Chrome/Edge
访问 chrome://net-internals/#quic 查看 QUIC 连接详情
Firefox
访问 about:networking#http3 查看 HTTP/3 连接
检查清单
bashnginx -V 2>&1 | grep http_v3_module
bashss -ulnp | grep 443
bash# iptables
iptables -L -n | grep 443
# firewalld
firewall-cmd --list-ports
bashcurl -I https://your-domain.com | grep -i alt-svc
bashtail -f /var/log/nginx/error.log
可能原因
代理工具干扰
企业网络/防火墙
运营商 QoS
浏览器缓存
chrome://net-internals/#sockets -> Flush socket poolsnginxlog_format quic '$remote_addr - $remote_user [$time_local] ' '"$request" $status $body_bytes_sent ' '"$http_referer" "$http_user_agent" ' '$quic $http3'; access_log /var/log/nginx/access.log quic;
bash# 统计 HTTP/3 请求占比
awk '{print $NF}' /var/log/nginx/access.log | sort | uniq -c
问题 1: 部分用户无法访问
问题 2: CDN 不支持
问题 3: CPU 使用率上升
0-RTT 重放攻击风险
ssl_early_dataUDP 放大攻击
nginx# ma=86400 表示缓存 24 小时 add_header Alt-Svc 'h3=":443"; ma=86400';
bash# Linux 内核 4.9+
echo "net.core.default_qdisc=fq" >> /etc/sysctl.conf
echo "net.ipv4.tcp_congestion_control=bbr" >> /etc/sysctl.conf
sysctl -p
bashecho "net.core.rmem_max=2500000" >> /etc/sysctl.conf
echo "net.core.wmem_max=2500000" >> /etc/sysctl.conf
sysctl -p
Cloudflare
其他 CDN
推荐迁移
可以观望
迁移成本: 低(仅需修改配置,无需改代码) 风险: 低(自动降级,不影响不支持的客户端) 收益: 中到高(取决于用户网络环境)