ผู้ให้บริการคลาวด์รายใหญ่นัดกันเปิดเผยข้อมูลช่องโหว่ DDoS ใน HTTP/2 CVE-2023-44487 เรียกชื่อว่า Rapid Reset อาศัยฟีเจอร์ stream ใน HTTP/2 ที่เปิดทางให้ไคลเอนต์สามารถขอเปิดสตรีมใหม่แล้วยกเลิกได้อย่างรวดเร็ว ทำให้ botnet ขนาดไม่ใหญ่มากก็สามารถสร้างรีเควสจำนวนมหาศาล

Chrome ประกาศมาตรการหลายอย่างเพื่อผลักดันการใช้ HTTPS แทน HTTP ให้เกิดขึ้นได้จริง หลังจากพบว่าทราฟฟิกเว็บ 5-10% ยังเป็น HTTP อยู่ตลอดมา ไม่ยอมอัพเกรดเป็น HTTPS สักที ซึ่งมีผลต่อความปลอดภัยของผู้ใช้

• การคลิกลิงก์เก่าที่เป็น http:// จะถูกอัพเกรดเป็น https:// โดยอัตโนมัติ หากเชื่อมต่อ https:// ไม่สำเร็จถึงค่อยกลับมาเป็น http:// แปลว่าผู้ใช้จะเข้าเว็บผ่าน HTTP ในกรณีที่ไม่มี HTTPS ให้ใช้งานเท่านั้น ไม่ได้เข้า HTTP โดยบังเอิญหรือไม่ตั้งใจ (แม้มี HTTPS ให้ใช้) อีกต่อไป
• การดาวน์โหลดไฟล์ผ่าน HTTP จะเห็นข้อความแจ้งเตือนว่าไฟล์อาจไม่ปลอดภัย การเตือนจะมีผลกับไฟล์ทุกประเภท ยกเว้นไฟล์ภาพ เสียง วิดีโอ ที่ค่อนข้างปลอดภัยในตัวเองอยู่แล้ว

curl ไคลเอนต์ HTTP และโปรโตคอลอื่นๆ ออกเวอร์ชั่น 8.3.0 มีฟีเจอร์สำคัญคือการรองรับตัวแปรในตัว ทำให้สามารถส่งคำสั่งที่ซับซ้อนขึ้นมาก

ตัวแปรในคำสั่ง curl จะกำหนดด้วยออปชั่น --variable หรือไฟล์คอนฟิก เมื่อสร้างตัวแปรแล้วก็จะสามารถใช้ตัวแปรใน URL, ข้อมูลสำหรับ HTTP POST, หรือนำไปประกอบเป็นตัวแปรอื่นๆ ก็ได้

นอกจากการใช้ตัวแปรแล้ว ยังมีฟังก์ชั่นมาให้จำนวนหนึ่ง ได้แก่ trim สำหรับตัดช่องว่างหน้าหลัง, json เข้ารหัสเป็น JSON, url เข้ารหัสแบบ URL encode, และ b64 สำหรับเข้ารหัส base64

ตอนนี้ curl 8.3.0 ยังไม่ออกตัวจริง แต่ release notes ก็แสดงข้อมูลฟีเจอร์ใหม่ใน Git แล้ว

Cloudflare ประกาศเริ่มใช้โปรโตคอล MASQUE ที่ขี่อยู่บน HTTP/3 อีกอีกทีหนึ่ง มาให้บริการ VPN บนแอป WARP คู่กับ Wireguard

เนื่องจาก HTTP/3 หรือ QUIC นั้นรองรับการเชื่อมต่อหลายสตรีมพร้อมกับ การให้บริการ VPN ผ่าน MASQUE จึงเป็นเหมือนการเชื่อมต่อผ่าน proxy ดั้งเดิมที่เราเคยใช้กันมา คำสั่งเชื่อมต่อนั้นยังใช้ HTTP CONNECT เหมือนกันอีกด้วย ข้อดีที่เหนือ Wireguard คือไฟร์วอลล์มักไม่บล็อคพอร์ต 443 สำหรับ HTTP/3, กระบวนการเข้ารหัสสามารถใช้อัลกอลิทึมใหม่ๆ ได้, และในอนาคตเมื่อมาตรฐาน Multipath QUIC พร้อมใช้งานก็จะสามารถเชื่อมต่อหลายช่องทางได้พร้อมกัน ทำให้ผู้ใช้สามารถสลับการเชื่อมต่อเช่น Wi-Fi มาเชื่อมต่อผ่านโทรศัพท์มือถือได้โดยสามารถส่งข้อมูลต่อเนื่อง

nginx เว็บเซิร์ฟเวอร์ยอดนิยม เริ่มรองรับ HTTP/3 เป็นฟีเจอร์ระดับทดลองในเวอร์ชั่น 1.25 หลังจากมาตรฐาน HTTP/3 ออกตัวจริงมาตั้งแต่กลางปี 2022 ที่ผ่านมา

ที่จริงแล้วโค้ดรองรับ HTTP/3 ถูกพัฒนาใน nginx มานานแล้ว โดยเวอร์ชั่นทดลองแรกมีมาตั้งแต่ปี 2020 แต่ยังเป็นโค้ดแยกออกจากโครงการหลัก ครั้งนี้เป็นครั้งแรกที่ฟีเจอร์นี้เข้ามาใน nginx ตัว mainline แต่กระนั้นโดยดีฟอลด์แล้วฟีเจอร์นี้ก็จะไม่ถุกคอมไพล์มาด้วย ผู้ที่ต้องการใช้งานต้องเพิ่มออปชั่น --with-http_v3_module เองตอนคอมไพล์

Mark Nottingham วิศวกร Cloudflare ที่ทำงานด้านมาตรฐานโปรโตคอล HTTP เล่าถึงความเปลี่ยนแปลงของ HTTP ในช่วงปีที่ผ่านมา ว่าประเด็นใหญ่ที่สุดคือการออกมาตรฐาน HTTP/3 แต่ปีหน้า HTTP Working Group ก็ยังทำมาตรฐานใหม่ๆ อีกหลายตัว ที่น่าจะมีความคืบหน้าหรือออกเป็นมาตรฐานได้ในปี 2023 มาตรฐานที่ถูกพูดถึง เช่น

mitmproxy พรอกซี่สำหรับตรวจสอบข้อมูลที่เข้ารหัส เช่น HTTPS เปิดตัวเวอร์ชั่น 9 โดยเพิ่มฟีเจอร์สำคัญสองอย่างคือการดัก UDP และมี Wireguard มาในตัว

การดักฟัง UDP นั้นใช้ได้ทั้ง UDP ธรรมดา และ DTLS ที่เข้ารหัส ทำให้โดยรวมแล้วผู้ใช้จะสามารถส่องข้อมูลการเชื่อมต่อโปรโตคอลเข้ารหัสได้เหมือน TLS ปกติ

โหมด Wireguard ทำให้สามารถบังคับแอปพลิเคชั่นต่างๆ ให้เชื่อมต่อผ่าน mitmproxy ได้ง่ายขึ้นเพราะตัวโปรแกรมทำหน้าที่เป็นเซิร์ฟเวอร์ VPN (แต่ยังต้องติดตั้ง root CA ของ mitmproxy เองอยู่) ฟีเจอร์นี้ทำให้ตรวจสอบทราฟิกแอปบนโทรศัพท์มือถือได้ง่ายขึ้นเพราะเพียงสแกน QR คอนฟิกของ mitmproxy ก็จะบังคับให้แอปพลิเคชั่นเชื่อมต่อได้เลย ฟีเจอร์นี้ยังเป็นฟีเจอร์แรกที่พัฒนาด้วย Rust ของโครงการ

Cloudflare รายงานถึงโครงการ Pingora พรอกซี่เซิร์ฟเวอร์ภายในของ Cloudflare เองที่พัฒนาขึ้นเพื่อทดแทน NGINX ที่ทาง Cloudflare พบข้อจำกัดหลายอย่างทำให้ไม่สามารถรีดประสิทธิภาพออกมาได้เต็มที่

ข้อจำกัดสำคัญของ NGINX ที่ Cloudflare พบคือระบบการกระจายโหลดของ NGINX นั้นใช้รูปแบบ worker ที่เป็นโปรเซสในระบบปฎิบัติการ กระจายโหลดระหว่าง worker แต่ละตัวไม่เท่ากัน และไม่สามารถแชร์ connection pool ข้าม worker ได้ ทำให้มี connection ไปยังเซิร์ฟเวอร์ต้นทางมากเกินความจำเป็น รวมถึงการเขียนฟีเจอร์เพิ่มเติมให้กับ NGINX นั้นทำได้ยาก หากไม่เขียนในภาษา C ที่ผิดพลาดได้ง่ายก็ต้องเขียนในภาษา Lua ที่ประสิทธิภาพไม่ดีนักและภาษา Lua ไม่ใช่ static type ทำให้จัดการโค้ดที่ซับซ้อนสูงได้ลำบาก

Amazon CloudFront บริการ content delivery network (CDN) ของ AWS ประกาศรองรับโปรโตคอล HTTP/3 ที่เพิ่งได้รับรองเป็นมาตรฐาน RFC เมื่อเดือนมิถุนายน 2022

HTTP/3 หรือที่เคยรู้จักกันในชื่อ QUIC ถูกเสนอโดยกูเกิลมาตั้งแต่ปี 2015 เพื่อเร่งความเร็วการเชื่อมต่อช่วงแรกของ HTTP ในระดับล่าง (TCP+TLS) อ่านคำอธิบายละเอียดในบทความ อธิบาย HTTP/3 แตกต่างจาก HTTP/1, HTTP/2, SPDY, QUIC อย่างไร

HTTP/3 หรือ HTTP/QUIC ออกเป็นมาตรฐานจริง RFC 9114 หลังจากประกาศชื่อมาตั้งแต่ปี 2018 นับเป็นมาตรฐานตัวสำคัญที่จะทำให้การเชื่อมต่อ HTTP ผ่านโปรโตคอล QUIC มีมาตรฐานกลางเต็มรูปแบบ

นอกจาก HTTP/3 แล้ว เอกสารอื่นๆ เกี่ยวกับ HTTP ที่ออกมาใกล้ๆ กันเพื่ออัพเดตเอกสารเดิมก็มีอีกหลายตัว ได้แก่

mitmproxy โปรแกรมโอเพนซอร์สสำหรับคั่นกลางการเชื่อมต่อเว็บ ออกเวอร์ชั่น 8 โดยมีส่วนเปลี่ยนแปลงสำคัญคือหน้า UI แบบเว็บ หรือ mitmweb ปรับปรุงใหญ่

ตัว mitmweb ปรับปรุงโดย Toshiaki Tanaka ที่ได้รับทุนสนับสนุนในโครงการ Google Summer of Code 2021 ความสามารถที่เพิ่มขึ้นคือการแสดงการเชื่อมต่อทั้ง TCP และ WebSocket ได้เพิ่มจาก HTTP/HTTPS นอกจากนั้นการเชื่อมต่อ HTTP ยังสามารถแปลงเป็นคำสั่ง curl หรือ HTTPie ในตัว แบบเดียวกับ Developer Tools ในเบราว์เซอร์

สำหรับความเปลี่ยนแปลงภายใน มีการปรับปรุง event hook สำหรับการพัฒนาปลั๊กอินเพิ่ม API เช่นการตรวจสอบการเชื่อมต่อ TLS และแก้ช่องโหว่ที่ทำให้แฮกเกอร์สามารถซ่อนการเชื่อมต่อจาก mitmproxy ได้

โครงการ curl ไคลเอนต์ HTTP แบบ command line ยอดนิยม ออกรุ่น 7.82.0 มีฟีเจอร์สำคัญคือการรองรับ JSON ในตัว ตามที่ Daniel Stenberg ผู้ดูแลโครงการได้ประกาศไว้เมื่อต้นปีที่ผ่านมา

ออปชั่น --json จะเป็นการประกาศ header ว่ากำลังส่ง JSON โดยอัตโนมัติพร้อมๆ กับ header ว่าต้องการข้อมูลแบบ JSON สามารถใช้งานได้ทั้งการอ่านจากไฟล์, เขียน JSON โดยตรงในอาร์กิวเมนต์, และการอ่านจาก STDIN

การเปลี่ยนแปลงอื่นๆ เป็นการเปลี่ยนแปลงย่อย เช่น เลิกซัพพอร์ตไลบรารี MesaLink ที่เลิกพัฒนาไปนานแล้ว หรือการแก้ไขบั๊กอื่นๆ

มีรายงานว่าผู้ใช้ Firefox ทั้งบน Windows และ macOS พบปัญหาไม่สามารถโหลดเว็บไซต์ขึ้นมาได้ ในช่วงบ่ายที่ผ่านมาตามเวลาในไทย คาดว่าสาเหตุมาจากปัญหาการเชื่อมต่อวนลูปใน HTTP/3 ซึ่งมีรายงานใน Bugzilla โดยสถานะของปัญหาตอนนี้ได้ถูกแก้ไขแล้ว

ทั้งนี้ผู้ใช้งานสามารถสั่งปิดการทำงานของ HTTP/3 ได้ใน about:config และสั่งปิดการทำงานของ network.http.http3.enabled

ปัญหานี้ไม่พบบน Firefox เวอร์ชัน iOS เนื่องจากใช้ WebKit

อัพเดต: Firefox ยืนยันปัญหาดังกล่าว และระบุว่าได้แก้ไขแล้วตั้งแต่เวลา 20:06น. ตามเวลาในไทย

mitmproxy พรอกซี่สำหรับแสดงข้อมูลการเชื่อมต่อเว็บแบบเข้ารหัส ออกเวอร์ชั่น 7.0 รองรับโปรโตคอลใหม่ๆ เช่น HTTP/2, WebSocket และการเชื่อมต่อ TCP เปล่าๆ ไม่เข้ารหัส

ในเวอร์ชั่นนี้ไคลเอนต์เช่นเบราว์เซอร์สามารถเชื่อมต่อแบบ HTTP/2 เข้าไปยัง mitmproxy หลังจากนั้น mitmproxy จะส่งต่อไปยังเซิร์ฟเวอร์แบบ HTTP/1

จุดแก้ไขสำคัญอีกอย่างหนึ่งคือการรองรับ WSL โดยเวอร์ชั่นนี้สามารถแสดงหน้าจอคอนโซลบนวินโดวส์ได้ถูกต้องแล้ว

ที่มา - mitmproxy

Cloudflare ประกาศรองรับ QUIC เวอร์ชั่น 1 หลังจาก IETF ออกมาตรฐาน RFC9000 เพียงหนึ่งวัน โดยเลขเวอร์ชั่นที่ส่งระหว่างเชื่อมต่อจะกลายเป็น 0x00000001 จากเดิมเวอร์ชั่นดราฟจะเป็น 0xff00001b (draft 27), 0xff00001c (draft 28), และ 0xff00001b (draft 29)

แม้ว่ามาตรฐานตัวจริงยังไม่ออกมา แต่เบราว์เซอร์จำนวนหนึ่งก็รองรับ QUIC มานานแล้ว (กูเกิลใส่ QUIC ใน Chrome เพื่อเชื่อมต่อกับเซิร์ฟเวอร์กูเกิลเองแต่แรก) ช่วงสัปดาห์ที่ผ่านมามีอัตราการเชื่อมต่อ HTTP/3 ที่เลเยอร์ล่างเป็น QUIC ไปยัง Cloudflare ถึง 12.44%

Firefox 88 Beta เริ่มเปิดใช้ HTTP/3 เป็นค่าดีฟอลต์ โดยจะเปิดให้ทุกคนใช้งานในช่วงปลายเดือนพฤษภาคม 2021

HTTP/3 เป็นโพรโทคอลใหม่ล่าสุดที่ออกเป็นมาตรฐานในปี 2018 (HTTP/3 เกิดที่กรุงเทพ) โดยพัฒนามาจากข้อเสนอ QUIC ของ Chrome ทำให้เบราว์เซอร์ตระกูล Chrome/Chromium ทั้งหมดรองรับ HTTP/3 มาตั้งแต่เดือนเมษายน 2020

การรองรับ HTTP/3 ของ Firefox ทำให้ตอนนี้เหลือแต่ Safari เป็นเบราว์เซอร์รายใหญ่รายเดียวที่ยังไม่รองรับแบบดีฟอลต์ (รองรับแล้วในเวอร์ชัน Safari Technology Preview)

Mozilla ประกาศเปลี่ยนนโยบายการส่งข้อมูล HTTP Referrer เมื่อผู้ใช้คลิกลิงก์ข้ามโดเมน (cross-origin) โดยจะตัดทั้ง path และ query ทำให้ URL ที่ใส่ใน HTTP Referrer เหลือเพียง scheme (เช่น http หรือ https) และโดเมนเท่านั้น

ทาง Mozilla ให้เหตุผลว่าหลายครั้งค่าใน path และ query นั้นมีข้อมูลส่วนตัวของผู้ใช้อยู่ และการส่งค่าเหล่านี้ก็กลายเป็นการส่งข้อมูลส่วนตัวออกจากเว็บโดยไม่รู้ตัว (เช่นกรณีที่ URL มีเลขบัตรเครดิต, หรือหมายเลขบัตรประชาชน)

นโยบายนี้จะมีผลทั้งการใช้งานเว็บปกติ (navigational), การ redirect, และไฟล์รูปแบบหรือ CSS (subresource)

IETF รองรับร่างมาตรฐาน draft-ietf-quic-http-34.txt หรือ HTTP/3 เข้าเป็นมาตรฐานเสนอแนะ (Proposed Standard) หลังจากแก้ไขมาหลายสิบครั้งตั้งแต่ปี 2016

มาตรฐาน HTTP/3 ปรับปรุงการทำงานหลายส่วน โดยเปลี่ยนไปใช้ UDP และบังคับเข้ารหัสการเชื่อมต่อด้วย TLS 1.3 รองรับการบีบอัดส่วนหัวของการเชื่อมต่อ (HTTP header) และรองรับการส่งข้อมูลหลายสตรีมในการเชื่อมต่อเดียวกัน

เว็บไซต์ ITNEXT เขียนสคริปต์ดูดข้อมูลเว็บไซต์ยอดนิยม 1 ล้านอันดับแรก (ใช้อันดับของ Tranco) เพื่อดูพฤติกรรมของหน้าเว็บไซต์ในยุคปัจจุบัน (ดาวน์โหลดเฉพาะ root page ของแต่ละโดเมน รวม 1 ล้านเว็บเพจ แล้วมาเรนเดอร์บน Chrome เพื่อจับเวลาการเรนเดอร์)

การค้นพบที่น่าสนใจมีดังนี้

เฟซบุ๊กรายงานถึงการย้ายโปรโตคอลไปยัง HTTP/3 หรือ QUIC ระบุว่าตอนนี้ทราฟิกของเฟซบุ๊กที่เชื่อมต่อผ่านอินเทอร์เน็ตเป็น HTTP/3 มากกว่า 75% แล้ว หลังจากเฟซบุ๊กย้ายแอปให้เชื่อมต่อผ่าน HTTP/3 แทน

เฟซบุ๊กระบุว่าการโยกย้ายมายัง HTTP/3 เริ่มจากเซิร์ฟเวอร์ GraphQL ก่อน ความเร็วที่เพิ่มขึ้นทำให้อัตราการโหลดไม่สำเร็จลดลง 6% ระยะเวลาหน่วง (latency) ลดลง 20%, และขนาด header ลดลง 5% เทียบกับ HTTP/2 อย่างไรก็ดีตัวแอปเฟซบุ๊กนั้นพยายามคำนวณการดาวน์โหลดรูปจากความเร็วในการดาวน์โหลดข้อมูล ทำให้มีช่วงหนึ่งที่แอปพยายามดาวน์โหลดรูปมากเกินไปเพราะดาวน์โหลดข้อมูลได้เร็ว แต่เซิร์ฟเวอร์ดาวน์โหลดรูปยังคงเป็น HTTP แบบ TCP อยู่ ทำให้แอปโดยรวมช้าลง

กูเกิลนับเป็นบริษัทที่สนับสนุนแนวทางการสร้างโปรโตคอลใหม่มาทดแทน HTTP บน TCP มายาวนาน นับแต่ SPDY ตั้งแต่ปี 2009 และ QUIC ในปี 2012 แม้ที่ผ่านมา IETF จะมีแนวทางยอมรับ QUIC ให้เป็นส่วนหนึ่งของ HTTP/3 แต่ตัวโปรโตคอลก็มีการแก้ไขหลายส่วน ทำให้ไม่สามารถใช้งานร่วมกับ Google QUIC ที่กูเกิลพัฒนาและใช้งานเองระหว่างเซิร์ฟเวอร์ของกูเกิลและ Chrome ล่าสุดกูเกิลก็ประกาศจะย้ายผู้ใช้ Chrome จำนวน 25% ของทั้งหมด หันมาใช้ IETF QUIC แล้ว

HTTP/2 ประกาศเป็นมาตรฐานมาตั้งแต่ปี 2015 และตอนนี้ก็ถูกใช้งานกันอย่างแพร่หลายแล้ว (หน้าเว็บ Blognone ที่เห็นตอนนี้ก็ควรเป็น HTTP/2 ถ้าไม่ได้ใช้เบราว์เซอร์ที่เก่าจัดๆ)

กูเกิลจึงได้ฤกษ์ประกาศว่า Googlebot ที่ไล่วิ่งเก็บข้อมูลหน้าเว็บเพจทั่วอินเทอร์เน็ต จะเปลี่ยนมาเป็น HTTP/2 ในช่วงกลางเดือนพฤศจิกายน 2020 เป็นต้นไป

กูเกิลบอกว่าการเปลี่ยนบ็อตเป็น HTTP/2 จะช่วยประหยัดทรัพยากรของเว็บเซิร์ฟเวอร์ลง เพราะเปิดการเชื่อมต่อ TCP เพียงครั้งเดียว ในการเปลี่ยนแปลงครั้งนี้ เจ้าของเว็บไม่ต้องทำอะไรเพิ่มหากเว็บเซิร์ฟเวอร์รองรับ HTTP/2 อยู่แล้ว หากเซิร์ฟเวอร์ยังเป็นแค่ HTTP/1.1 บ็อตก็จะยังทำงานได้ตามปกติเช่นกัน

Google เตรียมยกระดับความปลอดภัย Chrome ขึ้นไปอีกขั้นให้แสดงว่าไม่ปลอดภัยหากกำลังกรอกฟอร์มประเภท mixed forms ที่ไม่ได้ส่งผ่าน HTTPS

ปัจจุบัน เมื่อ Chrome เจอ mixed form จะใช้วิธีหยุดแสดงไอคอนกุญแจที่ใช้กับ HTTPS แต่ทีมความปลอดภัยของ Chrome เห็นว่ายังไม่เพียงพอเพราะว่าข้อมูลที่ส่งยังเป็นแบบไม่ปลอดภัย จึงต้องยกระดับการแจ้งเตือนให้ชัดเจนกว่านี้

NGINX ประกาศเตรียมการรองรับมาตรฐาน HTTP/3 โดยตอนนี้ยังแยก repository ของโค้ดออกเป็นโครงการเฉพาะ โดยรองรับร่างมาตรฐาน IETF-QUIC ร่างที่ 27

การใช้ NGINX เวอร์ชั่นรองรับ HTTP/3 จะทำให้ตัวเซิร์ฟเวอร์รองรับการคอนฟิก listen 443 http3 reuseport; เพื่อให้ NGINX เปิดพอร์ต UDP สำหรับ HTTP/3 แยกออกมา และต้องประกาศ HTTP header ในฟิลด์ Alt-Svc เพิ่มเติมเพื่อประกาศว่าเซิร์ฟเวอร์นี้รองรับ HTTP/3 โดยเบราว์เซอร์ที่รองรับแล้วได้แก่ Firefox เวอร์ชั่น 75 ขึ้นไป และ Chrome เวอร์ชั่น 83 ขึ้นไป

ไมโครซอฟท์ประกาศโอเพนซอร์สไลบรารี MsQuic สำหรับการอิมพลีเมนต์โปรโตคอล HTTP/3 หรือ QUIC โดยระบุว่าเป็นไลบรารีเดียวกับที่ไมโครซอฟท์จะใช้งานเอง

MsQuic กำลังถูกใช้งานภายในไมโครซอฟท์หลายส่วน ทั้ง Microsoft 365 ที่เริ่มรองรับ HTTP/3, ไลบรารีใน .NET Core 5.0, และ SMB ในวินโดวส์ที่กำลังทดสอบการรองรับ QUIC เช่นกัน โดยการรองรับ SMB บน QUIC นับเป็นการทดสอบสำคัญเพราะจะแสดงให้เห็นว่า QUIC สามารถใช้งานทั่วไปได้ ไม่ต้องเป็นเว็บ โดย QUIC มีความได้เปรียบที่การส่งข้อมูลเริ่มได้ทันทีตั้งแต่การส่งแพ็กเก็ตแรก (0-RTT) ทำให้ระยะเวลาหน่วงในการใช้งานแอปพลิเคชั่นลดลง และสามารถปรับเปลี่ยนกระบวนการจัดการเมื่อปริมาณข้อมูลเต็มแบนวิดท์ (congestion control) ได้ ทำให้ทดสอบและใช้งานเทคนิคใหม่ๆ ได้เร็วขึ้นเทียบกับ TCP ที่ต้องรอระบบปฎิบัติการอัพเดต