Was ist der Unterschied zwischen QUIC und HTTP/3?

HTTP/3 ist das Anwendungsschicht-Protokoll, das auf QUIC läuft (RFC 9114 vom Juni 2022). QUIC ist die darunterliegende Transportschicht. HTTP/3 kann nicht auf TCP laufen, nur auf QUIC. Wer HTTP/3 aktiviert, aktiviert implizit auch QUIC.

Warum ist QUIC schneller als TCP plus TLS?

QUIC eliminiert Head-of-Line-Blocking durch unabhängige Streams. Ein verlorenes Paket auf einem Stream blockiert die anderen nicht. Es kombiniert TCP- und TLS-Handshake in einen Round Trip (oder null bei Resumption), spart Zeit bei Netzwerkwechseln durch Connection Migration und nutzt moderne Congestion Control wie BBR.

Was ist QUIC? | InspectWP

Q: Was ist QUIC?

QUIC ist ein modernes Transport-Protokoll, das auf UDP statt TCP läuft. Von Google ab 2012 entwickelt, im Mai 2021 von der IETF als RFC 9000 standardisiert, treibt es heute HTTP/3 an. QUIC integriert TLS-1.3-Verschlüsselung direkt in die Transportschicht, unterstützt mehrere unabhängige Streams ohne Head-of-Line-Blocking, erlaubt 0-RTT-Verbindungsaufbau und überlebt Wechsel der Client-IP (WLAN auf Mobilfunk) ohne Verbindungsabbruch.

QUIC (ursprünglich Quick UDP Internet Connections, heute nur noch QUIC) ist ein modernes Allzweck-Transport-Protokoll, das auf UDP statt TCP läuft. Es wurde ab 2012 von Google in Chrome und YouTube eingesetzt, für die Standardisierung von der IETF neu entworfen und im Mai 2021 als RFC 9000 standardisiert. Es treibt heute HTTP/3 an (RFC 9114, Juni 2022). QUIC integriert TLS-1.3-Verschlüsselung direkt in die Transportschicht, unterstützt mehrere unabhängige Streams innerhalb einer Verbindung ohne Head-of-Line-Blocking, erlaubt 0-RTT-Verbindungsaufbau, unterstützt Connection Migration (dieselbe Verbindung bleibt bestehen, wenn ein Smartphone von WLAN auf Mobilfunk wechselt) und nutzt moderne Congestion Control (CUBIC oder BBR). Für typischen Web-Traffic auf Mobilnetzen reduziert QUIC die Verbindungsaufbau-Zeit um 100 bis 300 ms und verbessert Time to First Byte (TTFB) um 5 bis 20 Prozent gegenüber HTTP/2 über TCP. Anfang 2025 werden mehr als 30 Prozent des Traffics bei Cloudflare und über 50 Prozent des YouTube-Traffics weltweit über QUIC ausgeliefert. Alle großen Browser unterstützen HTTP/3 (Chrome 90 April 2021, Firefox 88 April 2021, Safari 14 September 2020 als experimentelles Flag und Safari 16 September 2022 standardmäßig aktiv, Edge 90 April 2021). Server: nginx 1.25 (Mai 2023 Mainline), Caddy ab Version 2 (Default), LiteSpeed, Apache via mod_http3 (Stand 2025 noch experimentell), Cloudflare seit 2019, AWS CloudFront, Fastly, Akamai.

Warum wurde QUIC erfunden?

Head-of-Line-Blocking auf TCP-Ebene: geht ein einzelnes TCP-Paket verloren, stocken alle HTTP/2-Streams auf der Verbindung bis zur Retransmission. HTTP/2 löste das Multiplexing auf Anwendungsebene, aber TCP serialisiert weiterhin alles darunter.
Langer Verbindungsaufbau: TCP braucht 1 RTT für den Handshake, TLS 1.2 weitere 1 bis 2 RTTs. Bei 200 ms mobiler RTT sind das 400 bis 600 ms, bevor der erste HTTP-Request das Gerät verlässt.
Keine Connection Migration: TCP-Verbindungen sind an Source-IP und Port gebunden. Ein Wechsel von WLAN auf Mobilfunk killt alle TCP-Verbindungen, Video-Streams brechen ab.
Langsame Protokoll-Evolution: TCP ist in OS-Kerneln und Middleboxes implementiert. Änderungen brauchen ein Jahrzehnt zur Verbreitung. QUIC lebt in User-Space-Bibliotheken (msquic, quiche, ngtcp2), die mit der Anwendung updaten.

Wie funktioniert QUIC?

QUIC-Pakete sind in UDP-Datagramme verpackt. UDP ist unzuverlässig und verbindungslos, QUIC ergänzt Zuverlässigkeit, Reihenfolge und Congestion Control.
Der QUIC-Handshake (CRYPTO Frames) führt TLS 1.3 innerhalb der QUIC-Pakete aus. Verbindung und Verschlüsselung in einem Round Trip, bei Resumption null.
Jeder Request und jede Response ist ein eigener Stream. Streams werden in einer Verbindung gemultiplext, aber auf Transportebene unabhängig, sodass ein Paketverlust auf Stream 5 Stream 7 nicht aufhält.
Jedes QUIC-Paket trägt eine 64-Bit-Connection ID, die IP-Wechsel überlebt.
Congestion Control pro Verbindung mit modernen Algorithmen wie NewReno, CUBIC oder BBR.
Packet Header sind weitgehend verschlüsselt (nur wenige Routing-Bytes sichtbar), Middleboxes können QUIC nicht mehr wie TCP inspizieren oder manipulieren.

QUIC vs. TCP plus TLS plus HTTP/2

Aspekt	TCP + TLS 1.2 + HTTP/2	QUIC + TLS 1.3 + HTTP/3
Transport	TCP (Kernel)	UDP plus QUIC (User Space)
Handshake RTT	2 bis 3	1, bei Resumption 0
Head-of-Line-Blocking	Ja (auf TCP)	Nein (pro Stream)
Verschlüsselung	Separate TLS-Schicht	In Transport eingebaut
Connection Migration	Nein	Ja (Connection IDs)
Middlebox-Sichtbarkeit	Hoch (TCP-Header, SNI)	Niedrig (Header verschlüsselt)
CPU	Niedriger (Kernel Offload)	Historisch höher, 2025 mit Offload-Unterstützung enger
Standard-Port	443 / TCP	443 / UDP

Wie hängt HTTP/3 mit QUIC zusammen?

HTTP/1.1 (RFC 9112, 1997 bis 2022): läuft auf TCP, Plain-Text-Framing.
HTTP/2 (RFC 9113, Mai 2015): läuft auf TCP, Binary Framing, Multiplexing, HPACK-Header-Kompression.
HTTP/3 (RFC 9114, Juni 2022): läuft auf QUIC, vergleichbare API zu HTTP/2 aber QPACK-Header-Kompression.

Browser erkennen HTTP/3 über den Alt-Svc-Response-Header (zuerst über HTTP/2 gesendet):

Alt-Svc: h3=":443"; ma=86400

Oder über DNS-HTTPS-Resource-Records (HTTPS RR, RFC 9460, November 2023) die HTTP/3-Unterstützung vor der ersten Verbindung ankündigen:

example.de. 300 IN HTTPS 1 . alpn="h3,h2" port=443

Connection Migration in der Praxis

Ein Nutzer im Zug wechselt vom Bahnhof-WLAN zu LTE. Mit TCP ändert sich die Phone-IP, Verbindungen brechen, Video pausiert, Downloads beginnen neu. Mit QUIC läuft dieselbe Connection ID über den neuen Pfad ohne Unterbrechung. YouTube maß nach Aktivierung von QUIC Connection Migration 2017 eine 30 Prozent Reduktion an Rebuffering-Events.

0-RTT in QUIC

Hat der Client den Server schon einmal kontaktiert, kann die Session in 0 RTT wieder aufgenommen werden. Anwendungsdaten fliegen im allerersten Paket mit. Schneller als TLS 1.3 über TCP, das vorher noch den TCP-3-Way-Handshake braucht. Replay-Bedingungen wie bei TLS 1.3 0-RTT gelten: nur für idempotente Requests.

Wie aktiviere ich QUIC und HTTP/3?

Cloudflare

Cloudflare aktivierte QUIC und HTTP/3 (damals Draft) im Free Plan im September 2019, voll RFC 9000 konform seit 2021. Aktivieren oder prüfen: Cloudflare Dashboard, Network, HTTP/3 (mit QUIC) auf On. Alt-Svc und HTTPS RR werden automatisch gesetzt.

nginx

nginx 1.25 (Mai 2023) brachte experimentelles QUIC und HTTP/3 in Mainline, stabil in 1.27.4 (Februar 2025). Der Build muss --with-http_v3_module enthalten und einen OpenSSL-Fork mit QUIC-API haben (BoringSSL, OpenSSL 3.0+ mit QUIC-API oder quictls).

server {
    listen 443 ssl;
    listen 443 quic reuseport;
    http2 on;
    http3 on;

    ssl_certificate     /etc/letsencrypt/live/example.de/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.de/privkey.pem;
    ssl_protocols TLSv1.3;

    add_header Alt-Svc 'h3=":443"; ma=86400';
}

UDP-Port 443 muss in der Firewall geöffnet sein (zusätzlich zu TCP 443).

Caddy

Caddy aktiviert HTTP/3 automatisch seit Version 2.6 (September 2022) für jede HTTPS-Seite. Keine Konfiguration nötig.

LiteSpeed und OpenLiteSpeed

HTTP/3 Standard seit LiteSpeed Enterprise 5.4 (Oktober 2019) und OpenLiteSpeed 1.6 (November 2019). Das LiteSpeed-Cache-Plugin für WordPress profitiert automatisch.

Apache

Apache hat 2025 noch kein stabiles HTTP/3-Modul. Das Community-Projekt mod_http3 ist nicht produktionsreif. nginx, Caddy, LiteSpeed oder ein CDN vor Apache schalten.

Wie prüfe ich, ob HTTP/3 läuft?

Chrome DevTools: Network Tab, Rechtsklick auf Spaltenkopf, Protocol aktivieren. Suche h3.
curl: curl --http3 -I https://example.de/ (curl muss gegen eine HTTP/3-Bibliothek gebaut sein).
HTTP3Check auf http3check.net.
Cloudflare Browser Insights zeigt Anteil HTTP/3-Traffic.

Operative Aspekte

UDP-Sperren: einige Enterprise-Firewalls sperren ausgehendes UDP außer DNS. Clients fallen automatisch auf TCP plus HTTP/2 zurück. Anfang 2025 erreichen rund 3 bis 5 Prozent der Clients global kein QUIC.
CPU auf dem Server: QUIC läuft in User Space und brauchte historisch mehr CPU pro Verbindung als TCP. Linux 5.13+ brachte UDP GSO und GRO Offload, das Lücke schließt sich. NICs mit UDP Segmentation helfen.
Logging: klassische TCP-Monitoring-Tools (tcpdump, Wireshark-Filter) sehen nur verschlüsseltes UDP. QUIC-bewusste Tools nutzen (qlog-Format, qvis Visualizer).
NAT-Timeouts: Heimrouter timeouten idle UDP-Flows oft in 30 bis 60 Sekunden. QUIC sendet PING Frames als Keepalive.
DDoS Amplification: UDP ist reflektierbar. QUIC erzwingt einen 3x-Amplification-Limit bis der Client validiert ist.

Verbreitete Missverständnisse

"QUIC ist nur HTTP über UDP." QUIC ist ein allgemeiner Transport. Es kann HTTP/3, DNS over QUIC (RFC 9250, Mai 2022), SMB over QUIC und jedes andere Anwendungsprotokoll tragen.
"QUIC verliert Pakete schneller, weil UDP unzuverlässig ist." QUIC implementiert eigene zuverlässige Zustellung auf UDP. Verlorene Pakete werden retransmitted.
"HTTP/3 erfordert HTTPS." Korrekt, QUIC verlangt TLS 1.3, es gibt kein Plaintext-QUIC für HTTP. Selbstsignierte Zertifikate funktionieren in der Entwicklung.
"QUIC ist Google-only." QUIC ist ein offener IETF-Standard mit Implementierungen von Cloudflare, Microsoft (msquic), Apple, Facebook (mvfst), Cisco, AWS, Akamai und dem curl-Projekt (ngtcp2 und quiche).

Wie hilft InspectWP bei QUIC und HTTP/3?

InspectWP analysiert das genutzte Netzwerkprotokoll jeder gecrawlten URL und meldet, ob die Antwort über HTTP/1.1, HTTP/2 oder HTTP/3 plus QUIC kam. Seiten auf HTTP/1.1 werden als Performance-Chance markiert.

Was ist QUIC?