Guía de Configuración de HTTP/3 y QUIC

HTTP/3 es la tercera versión principal del protocolo HTTP, construida sobre QUIC (protocolo de transporte basado en UDP) en lugar de TCP, eliminando el problema del bloqueo de cabeza de línea y reduciendo la latencia de conexión especialmente en redes con pérdida de paquetes. Habilitar HTTP/3 en Nginx o Caddy en tu servidor Linux puede mejorar los tiempos de carga entre un 10 y un 30% dependiendo de las condiciones de red del cliente.

Requisitos Previos

Servidor Linux (Ubuntu 20.04+, Debian 11+, CentOS 8+)
Nginx 1.25+ (con soporte QUIC) o Caddy 2.x
Certificado TLS válido (TLS 1.3 es obligatorio para HTTP/3)
Puerto UDP 443 abierto en el firewall
Acceso root o sudo

Habilitación de HTTP/3 en Nginx

Nginx incluye soporte experimental para QUIC/HTTP3 desde la versión 1.25:

# Verificar la versión de Nginx
nginx -v

# Verificar si el soporte HTTP3 está compilado
nginx -V 2>&1 | grep http_v3

# Ubuntu/Debian - Instalar Nginx desde el repositorio oficial que incluye HTTP3
curl https://nginx.org/keys/nginx_signing.key | sudo apt-key add -
echo "deb https://nginx.org/packages/mainline/ubuntu $(lsb_release -cs) nginx" \
  | sudo tee /etc/apt/sources.list.d/nginx.list

sudo apt update
sudo apt install -y nginx

# O compilar con soporte QUIC (requiere OpenSSL 3.x o BoringSSL)
sudo apt install -y libssl-dev cmake golang git

# Clonar BoringSSL para compilación
git clone https://boringssl.googlesource.com/boringssl
mkdir boringssl/build && cd boringssl/build
cmake -DCMAKE_BUILD_TYPE=Release ..
make -j$(nproc)

Configura Nginx para HTTP/3:

# /etc/nginx/sites-available/tudominio.conf

server {
    # HTTP/1.1 y HTTP/2 en TCP
    listen 443 ssl;

    # HTTP/3 sobre QUIC (UDP)
    listen 443 quic reuseport;

    server_name tudominio.com www.tudominio.com;

    # Certificados TLS (requerido para HTTP/3)
    ssl_certificate /etc/letsencrypt/live/tudominio.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/tudominio.com/privkey.pem;

    # TLS 1.3 obligatorio para HTTP/3 (aunque TLS 1.2 funciona para HTTP/1.1 y HTTP/2)
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers HIGH:!aNULL:!MD5;

    # Cabecera Alt-Svc para anunciar HTTP/3 al cliente
    # Esto indica que HTTP/3 está disponible en el puerto 443
    add_header Alt-Svc 'h3=":443"; ma=86400';

    # Habilitar las características de HTTP/3
    http3 on;
    quic_retry on;  # Protección contra spoofing de paquetes iniciales

    # Configuración de QUIC
    quic_gso on;    # Generic Segmentation Offload para mejor rendimiento

    # Habilitar 0-RTT (permite peticiones en el primer paquete - cuidado con ataques de replay)
    ssl_early_data on;
    proxy_set_header Early-Data $ssl_early_data;

    root /var/www/tudominio;
    index index.html;

    location / {
        try_files $uri $uri/ =404;
    }
}

# Redirigir HTTP a HTTPS
server {
    listen 80;
    server_name tudominio.com www.tudominio.com;
    return 301 https://$host$request_uri;
}

# Verificar la configuración
sudo nginx -t

# Recargar Nginx
sudo systemctl reload nginx

# Verificar que HTTP/3 está activo
sudo ss -ulnp | grep nginx  # Debe mostrar el puerto 443 UDP

Habilitación de HTTP/3 en Caddy

Caddy habilita HTTP/3 automáticamente sin configuración adicional:

# Instalar Caddy
curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/gpg.key' \
  | sudo gpg --dearmor -o /usr/share/keyrings/caddy-stable-archive-keyring.gpg

curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/debian.deb.txt' \
  | sudo tee /etc/apt/sources.list.d/caddy-stable.list

sudo apt update && sudo apt install -y caddy

# Verificar soporte HTTP/3
caddy version

Configuración básica de Caddy con HTTP/3:

# /etc/caddy/Caddyfile

tudominio.com {
    # HTTP/3 se habilita automáticamente en Caddy
    # No se necesita configuración adicional

    root * /var/www/tudominio
    file_server

    # Cabeceras de seguridad adicionales
    header {
        Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
        X-Content-Type-Options "nosniff"
        X-Frame-Options "SAMEORIGIN"
    }

    # Configuración de compresión
    encode gzip zstd

    # Registro de acceso
    log {
        output file /var/log/caddy/tudominio.access.log
        format json
    }
}

# Verificar que HTTP/3 está habilitado en los logs
# Busca: "quic" en los logs de Caddy

# Verificar y recargar la configuración de Caddy
caddy validate --config /etc/caddy/Caddyfile
sudo systemctl reload caddy

# Comprobar que el puerto UDP 443 está abierto
sudo ss -ulnp | grep caddy

Reglas de Firewall para UDP

HTTP/3 usa UDP en lugar de TCP. Es fundamental abrir el puerto:

# UFW (Ubuntu)
sudo ufw allow 443/udp
sudo ufw allow 443/tcp  # Mantener TCP para HTTP/1.1 y HTTP/2
sudo ufw status

# firewalld (CentOS/Rocky)
sudo firewall-cmd --add-port=443/udp --permanent
sudo firewall-cmd --add-port=443/tcp --permanent
sudo firewall-cmd --reload
sudo firewall-cmd --list-ports

# iptables directo
sudo iptables -A INPUT -p udp --dport 443 -j ACCEPT
sudo iptables -A OUTPUT -p udp --sport 443 -j ACCEPT

# Guardar las reglas de iptables
sudo iptables-save | sudo tee /etc/iptables/rules.v4

# Verificar que el puerto UDP está escuchando
sudo ss -ulnp | grep :443

Si tu servidor está detrás de un proveedor de VPS, también debes abrir el puerto en el panel de control del cloud (grupos de seguridad, ACLs de red, etc.).

Requisitos TLS 1.3

HTTP/3 requiere TLS 1.3. Verifica y configura correctamente:

# Verificar la versión de OpenSSL (debe ser 1.1.1+ para TLS 1.3)
openssl version

# Ubuntu 20.04+ incluye OpenSSL 1.1.1 con soporte TLS 1.3
# CentOS 8+ incluye OpenSSL 1.1.1 también

# Verificar que TLS 1.3 funciona con tu certificado actual
openssl s_client -connect tudominio.com:443 -tls1_3 2>&1 | head -20
# Debe mostrar: "TLSv1.3" en la salida

# Configuración TLS óptima para HTTP/3 en Nginx
ssl_protocols TLSv1.2 TLSv1.3;

# Ciphers recomendados para TLS 1.3
ssl_ciphers 'TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384';

# HSTS para forzar HTTPS (necesario para que navegadores usen HTTP/3)
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;

# OCSP Stapling para TLS más rápido
ssl_stapling on;
ssl_stapling_verify on;
resolver 1.1.1.1 8.8.8.8 valid=300s;

Compatibilidad con Clientes

HTTP/3 es soportado por los principales navegadores modernos:

Navegador	Soporte HTTP/3
Chrome 87+	Completo
Firefox 88+	Completo
Safari 14+	Completo
Edge 87+	Completo
curl 7.66+	Con --http3 flag

# Probar HTTP/3 con curl (requiere curl compilado con QUIC)
# Verificar soporte
curl --version | grep HTTP3

# Si está disponible, probar:
curl --http3 -I https://tudominio.com/

# Alternativa: usar quiche-client
cargo install quiche-client  # Requiere Rust
quiche-client https://tudominio.com/

# Verificar la versión del protocolo usado
curl -w "Protocolo usado: %{http_version}\n" \
  --http3 -o /dev/null -s https://tudominio.com/

Pruebas de Rendimiento

# Herramientas para medir el impacto de HTTP/3

# 1. h2load para pruebas de carga (soporta HTTP/3 con -t flag)
sudo apt install -y nghttp2-client

# Prueba con HTTP/2
h2load -n 1000 -c 10 https://tudominio.com/

# 2. Verificar que el servidor anuncia HTTP/3 correctamente
curl -sI https://tudominio.com/ | grep -i "alt-svc\|server"

# 3. Online: verificación de HTTP/3
# https://http3check.net/
# https://cloudflare-quic.com/

# 4. Medir TTFB con y sin HTTP/3
# HTTP/1.1
curl -w "TTFB: %{time_starttransfer}\n" --http1.1 -o /dev/null -s https://tudominio.com/

# HTTP/2
curl -w "TTFB: %{time_starttransfer}\n" --http2 -o /dev/null -s https://tudominio.com/

# HTTP/3 (si curl tiene soporte)
curl -w "TTFB: %{time_starttransfer}\n" --http3 -o /dev/null -s https://tudominio.com/

# 5. Monitorizar con los logs de Nginx
# Añadir la versión HTTP al formato de log
log_format main '$remote_addr - $remote_user [$time_local] '
                '"$request" $status $body_bytes_sent '
                '"$http_referer" "$http_user_agent" '
                '$server_protocol';  # Muestra HTTP/1.1, HTTP/2.0 o HTTP/3.0

Solución de Problemas

HTTP/3 no aparece en los headers de respuesta:

# Verificar que el puerto UDP 443 está escuchando
sudo ss -ulnp | grep :443

# Verificar la configuración de Nginx
sudo nginx -t
grep -r "quic\|http3\|Alt-Svc" /etc/nginx/

# Comprobar que el firewall permite UDP 443
sudo ufw status verbose | grep 443

Clientes que no se conectan via HTTP/3:

# Algunos proxies o CDN intermedios pueden bloquear UDP
# Verificar la ruta de red
traceroute -U -p 443 tudominio.com

# HTTP/3 tiene fallback automático a HTTP/2 si QUIC falla
# Esto es comportamiento normal - el cliente decide según la red

Alto uso de CPU con QUIC habilitado:

# QUIC realiza más procesamiento criptográfico que TCP
# Para optimizar, habilitar GSO (Generic Segmentation Offload)
# En la configuración de Nginx:
# quic_gso on;

# Verificar que GSO está disponible en el sistema
ethtool -k eth0 | grep segmentation

Conclusión

HTTP/3 y QUIC representan el futuro del protocolo HTTP, ofreciendo mejoras significativas de rendimiento especialmente en redes con pérdida de paquetes o alta latencia, condiciones frecuentes en conexiones móviles. La implementación es transparente gracias al fallback automático a HTTP/2 cuando QUIC no está disponible, lo que hace que habilitarlo sea una mejora sin riesgos en servidores modernos. Caddy ofrece la configuración más sencilla al habilitar HTTP/3 automáticamente, mientras que Nginx requiere una configuración explícita pero proporciona más control sobre los parámetros QUIC.

HTTP/3 and QUIC Configuration Guide

On this page