مستوى المقال: متوسط — مفيد لمطوّر فول-ستاك أو DevOps عنده تجربة مع NGINX و TLS، وعارف الفرق بين TCP و UDP بشكل مبدئي. مدّة القراءة المتوقعة: 9 دقائق.

لو موقعك بيخدم زائرين على شبكة موبايل ضعيفة ولاحظت إن LCP بيعدي 4 ثوانٍ مع إن السيرفر بيرد بسرعة، المشكلة مش في السيرفر ولا في الكود. المشكلة في طبقة النقل اللي مكوّن الموقع شغّال فوقها. تفعيل HTTP/3 على NGINX 1.25+ بيقطع زمن أول تحميل بنسبة تتراوح بين 18% و 35% على شبكات 4G ضعيفة وWi-Fi مزدحم، بدون لمس سطر واحد من كود التطبيق. في المقال ده هتفهم ليه TCP بيخنق الأداء على الموبايل، إيه اللي بيفرّق QUIC عن TCP بالظبط، وإزاي تشغّل HTTP/3 على NGINX خطوة بخطوة مع قياس قبل وبعد.

رسم توضيحي يقارن HTTP/2 على TCP مع HTTP/3 على QUIC، يُظهر طابور TCP المعطّل عند سقوط حزمة، مقابل streams مستقلة في QUIC، مع مقياس ‎−35% LCP على شبكة 4G ضعيفة

HTTP/3 و QUIC للمستوى المتوسط: ازاي تخفّض زمن تحميل الموقع 35% على الموبايل

المشكلة باختصار: TCP اتولد قبل الموبايل بـ 30 سنة

TCP اتصمم سنة 1981 لشبكات سلكية ثابتة. الافتراض الأساسي بتاعه: الحزمة لو ضاعت، ده معناه ازدحام في الشبكة. على الموبايل، الحزمة بتضيع لأن الإشارة بتتغير وانت ماشي، أو لأن البرج بيحوّلك من 4G لـ 5G والـ IP بيتغير. TCP مش فاهم الفرق ده.

الأخطر من كده مفهوم اسمه Head-of-Line Blocking. خلّينا نشرحه بمثال:

مثال للمبتدئ: طابور الكاشير في السوبرماركت

تخيّل سوبرماركت فيه كاشير واحد بس. أنت رقم 5 في الطابور. لو الزبون رقم 3 معاهوش فلوس وراح يدوّر على ATM، أنت ماتقدرش تدفع وتمشي حتى لو طلباتك جاهزة. لازم تستنى يرجع ويخلّص. هو ده TCP بالظبط: لو حزمة في النص ضاعت، الحزم اللي بعدها — حتى لو وصلت سليمة — بتتحبس في الـ buffer لحد ما الحزمة الناقصة ترجع.

QUIC قسّم الكاشير الواحد لـ 4 كاشيرات (streams). لو الزبون رقم 3 وقف على كاشير، الكاشيرات التانية شغّالة عادي. كل stream عنده طابور لوحده.

التعريف العلمي الدقيق

QUIC (تُنطق "كويك") هو بروتوكول نقل قياسي مُعرَّف في RFC 9000، بيشتغل فوق UDP بدل TCP. HTTP/3 هو إعادة تصميم HTTP عشان يستخدم QUIC، ومُعرَّف في RFC 9114. الفرق الجوهري:

Multiplexing حقيقي: كل HTTP request له stream مستقل. سقوط حزمة في stream X مش بيأثّر على stream Y. في HTTP/2 على TCP، الـ multiplexing وهمي لأن TCP تحت كله طابور واحد.
Handshake في 1-RTT بدل 3: QUIC بيدمج TCP handshake (3 خطوات) مع TLS 1.3 handshake (3 خطوات) في تبادل واحد. على الزيارات المتكررة، QUIC بيدعم 0-RTT — يعني الـ HTTP request بيتبعت في نفس أول حزمة مع الـ key exchange.
Connection Migration: الاتصال متربط بـ Connection ID مش بـ IP/Port. لمّا الموبايل يبدّل من Wi-Fi لـ 4G، الـ session بيكمل من غير ما يعمل reconnect.
التشفير مدمج بشكل افتراضي: مفيش QUIC بدون TLS 1.3. ده بيغلق ثغرات interception على مستوى الـ middleboxes.

أرقام مقاسة فعليًا (مش تقديرية)

قياسات Cloudflare من إنتاج 2023 على عيّنة 25 مليون طلب يومي (المصدر في آخر المقال):

P75 LCP على 4G ضعيفة: 3.8 ثانية مع HTTP/2 → 2.5 ثانية مع HTTP/3. تحسّن 34%.
زمن أول بايت (TTFB) على الزيارة الثانية: 320ms مع HTTP/2 → 90ms مع HTTP/3 + 0-RTT. تحسّن 71%.
نسبة الطلبات اللي عانت من stalled connections: 4.2% مع HTTP/2 → 0.7% مع HTTP/3.

افتراض مهم: الأرقام دي على شبكات بفقدان حزم ≥ 1%. على شبكة فايبر مستقرة (فقدان أقل من 0.1%)، الفرق بيتقلص لـ 5-8% بس. لو كل زوّارك بيدخلوا من ألياف بصرية في مكتب، HTTP/3 مش هيغيّر معاك حياة.

تشغيل HTTP/3 على NGINX: 6 خطوات قابلة للنسخ

HTTP/3 متاح كـ stable في NGINX من إصدار 1.25.0 (مايو 2023). بفترض إنك بتشغّل Ubuntu 22.04 LTS وعندك NGINX 1.25+ مع OpenSSL 3.0+ مدعوم QUIC.

الخطوة 1: تأكد من النسخة

Bash

nginx -V 2>&1 | grep -E "nginx/|http_v3"
# المتوقع: nginx/1.25.x ... --with-http_v3_module

لو ما ظهرتش --with-http_v3_module، استخدم النسخة الرسمية من nginx.org بدل اللي جاية مع التوزيعة.

الخطوة 2: افتح UDP/443 في الفايروول

Bash

sudo ufw allow 443/udp
sudo ufw allow 443/tcp  # لازم يفضل مفتوح كـ fallback

الخطأ الأكتر شيوعًا في تشغيل HTTP/3: ناس بتفتح UDP بس وبتنسى TCP. المتصفح لو فشل QUIC بيرجع لـ HTTP/2 على TCP، فلو UDP مفتوح والـ Alt-Svc مكتوب صح، مفيش مشكلة. لكن لو TCP اتقفل، HTTP/2 fallback بيقع.

الخطوة 3: ضبط الـ server block

server {
    listen 443 quic reuseport;
    listen 443 ssl;
    http2 on;

    server_name example.com;

    ssl_certificate     /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
    ssl_protocols       TLSv1.3;

    # أعلن للمتصفح إن HTTP/3 متاح
    add_header Alt-Svc 'h3=":443"; ma=86400';

    location / {
        try_files $uri $uri/ =404;
    }
}

reuseport مهم: بيخلّي كل worker process بياخد socket UDP خاص بيه فبيوزّع الحمل بدون قفل مشترك.

الخطوة 4: ارفع حد الـ UDP buffers على مستوى الكيرنل

Bash

sudo sysctl -w net.core.rmem_max=2500000
sudo sysctl -w net.core.wmem_max=2500000
echo 'net.core.rmem_max=2500000' | sudo tee -a /etc/sysctl.conf
echo 'net.core.wmem_max=2500000' | sudo tee -a /etc/sysctl.conf

الافتراضي في Linux (212KB) صغير لـ QUIC اللي بيستفيد من buffers أكبر. القيمة 2.5MB توصية NGINX الرسمية.

الخطوة 5: اختبر الإعداد ثم اعمل reload

Bash

sudo nginx -t
sudo systemctl reload nginx

الخطوة 6: تحقق إن HTTP/3 شغّال فعلاً

Bash

curl --http3-only -I https://example.com
# المتوقع: HTTP/3 200

لو curl بتاعك مش مدعوم HTTP/3، استخدم http3check.net أو افتح DevTools في Chrome → Network → Protocol column، الطلبات لازم تظهر بـ h3.

Trade-offs لازم تكون عارفها قبل ما تشغّله

استهلاك CPU أعلى 15-25%: QUIC بيعمل التشفير في userspace، بينما TCP+TLS عنده تسريع kernel-level. على سيرفرات ARM أو VMs صغيرة، الفرق محسوس.
UDP بيتحظر في 3-7% من الشبكات: بعض الشبكات المؤسّسية والـ ISPs في دول معيّنة بتحظر UDP لغير DNS. لو الزائر متصل من شبكة من دي، لازم الـ TCP fallback يكون شغّال.
الـ debugging أصعب: Wireshark لازم نسخة 4.0+ مع keylog file عشان تقرأ traffic مشفّر. الأدوات اللي اتعوّدت عليها (tcpdump مع -A) ما هتنفعش.
معظم الـ CDNs بتدعمه لكن مش كل ميزات origin shield: راجع docs الـ CDN بتاعك (Cloudflare و Fastly مدعومين بالكامل).

متى لا تستخدم HTTP/3

HTTP/3 مش عصا سحرية. تجاهله في الحالات دي:

API داخلي بين microservices في نفس الـ data center: الشبكة مستقرة ومفيش head-of-line blocking. HTTP/2 على TCP أبسط وأقل CPU.
تطبيقات WebSocket طويلة العمر: QUIC datagrams لسه experimental لـ WebSocket. لو شغلك Slack-like، اتجاهل دلوقتي.
زوارك كلهم على فايبر مستقر: التحسّن 5-8% بس مش يستحق التعقيد التشغيلي.
سيرفرك خلف load balancer قديم لا يدعم UDP/HTTP/3 passthrough: هتحتاج تترقّيه أولاً.

الخطوة التالية

افتح إعداد NGINX بتاعك دلوقتي وضيف listen 443 quic reuseport; على staging environment. شغّل Lighthouse مرتين — مرة قبل، مرة بعد — على أبطأ شبكة موبايل عند زوارك (4G slow في DevTools throttling). لو التحسّن في LCP أقل من 10%، شبكتك على الأرجح ثابتة كفاية فالـ ROI ضعيف. لو فوق 20%، روح production.

المصادر

HTTP/3 و QUIC للمستوى المتوسط: ازاي تخفّض زمن تحميل الموقع 35% على الموبايل

المشكلة باختصار: TCP اتولد قبل الموبايل بـ 30 سنة

الأخطر من كده مفهوم اسمه Head-of-Line Blocking. خلّينا نشرحه بمثال:

مثال للمبتدئ: طابور الكاشير في السوبرماركت

التعريف العلمي الدقيق

Multiplexing حقيقي: كل HTTP request له stream مستقل. سقوط حزمة في stream X مش بيأثّر على stream Y. في HTTP/2 على TCP، الـ multiplexing وهمي لأن TCP تحت كله طابور واحد.
Handshake في 1-RTT بدل 3: QUIC بيدمج TCP handshake (3 خطوات) مع TLS 1.3 handshake (3 خطوات) في تبادل واحد. على الزيارات المتكررة، QUIC بيدعم 0-RTT — يعني الـ HTTP request بيتبعت في نفس أول حزمة مع الـ key exchange.
Connection Migration: الاتصال متربط بـ Connection ID مش بـ IP/Port. لمّا الموبايل يبدّل من Wi-Fi لـ 4G، الـ session بيكمل من غير ما يعمل reconnect.
التشفير مدمج بشكل افتراضي: مفيش QUIC بدون TLS 1.3. ده بيغلق ثغرات interception على مستوى الـ middleboxes.

أرقام مقاسة فعليًا (مش تقديرية)

قياسات Cloudflare من إنتاج 2023 على عيّنة 25 مليون طلب يومي (المصدر في آخر المقال):

P75 LCP على 4G ضعيفة: 3.8 ثانية مع HTTP/2 → 2.5 ثانية مع HTTP/3. تحسّن 34%.
زمن أول بايت (TTFB) على الزيارة الثانية: 320ms مع HTTP/2 → 90ms مع HTTP/3 + 0-RTT. تحسّن 71%.
نسبة الطلبات اللي عانت من stalled connections: 4.2% مع HTTP/2 → 0.7% مع HTTP/3.

تشغيل HTTP/3 على NGINX: 6 خطوات قابلة للنسخ

HTTP/3 متاح كـ stable في NGINX من إصدار 1.25.0 (مايو 2023). بفترض إنك بتشغّل Ubuntu 22.04 LTS وعندك NGINX 1.25+ مع OpenSSL 3.0+ مدعوم QUIC.

الخطوة 1: تأكد من النسخة

Bash

nginx -V 2>&1 | grep -E "nginx/|http_v3"
# المتوقع: nginx/1.25.x ... --with-http_v3_module

لو ما ظهرتش --with-http_v3_module، استخدم النسخة الرسمية من nginx.org بدل اللي جاية مع التوزيعة.

الخطوة 2: افتح UDP/443 في الفايروول

Bash

sudo ufw allow 443/udp
sudo ufw allow 443/tcp  # لازم يفضل مفتوح كـ fallback

الخطوة 3: ضبط الـ server block

server {
    listen 443 quic reuseport;
    listen 443 ssl;
    http2 on;

    server_name example.com;

    ssl_certificate     /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
    ssl_protocols       TLSv1.3;

    # أعلن للمتصفح إن HTTP/3 متاح
    add_header Alt-Svc 'h3=":443"; ma=86400';

    location / {
        try_files $uri $uri/ =404;
    }
}

reuseport مهم: بيخلّي كل worker process بياخد socket UDP خاص بيه فبيوزّع الحمل بدون قفل مشترك.

الخطوة 4: ارفع حد الـ UDP buffers على مستوى الكيرنل

Bash

sudo sysctl -w net.core.rmem_max=2500000
sudo sysctl -w net.core.wmem_max=2500000
echo 'net.core.rmem_max=2500000' | sudo tee -a /etc/sysctl.conf
echo 'net.core.wmem_max=2500000' | sudo tee -a /etc/sysctl.conf

الافتراضي في Linux (212KB) صغير لـ QUIC اللي بيستفيد من buffers أكبر. القيمة 2.5MB توصية NGINX الرسمية.

الخطوة 5: اختبر الإعداد ثم اعمل reload

Bash

sudo nginx -t
sudo systemctl reload nginx

الخطوة 6: تحقق إن HTTP/3 شغّال فعلاً

Bash

curl --http3-only -I https://example.com
# المتوقع: HTTP/3 200

لو curl بتاعك مش مدعوم HTTP/3، استخدم http3check.net أو افتح DevTools في Chrome → Network → Protocol column، الطلبات لازم تظهر بـ h3.

Trade-offs لازم تكون عارفها قبل ما تشغّله

استهلاك CPU أعلى 15-25%: QUIC بيعمل التشفير في userspace، بينما TCP+TLS عنده تسريع kernel-level. على سيرفرات ARM أو VMs صغيرة، الفرق محسوس.
UDP بيتحظر في 3-7% من الشبكات: بعض الشبكات المؤسّسية والـ ISPs في دول معيّنة بتحظر UDP لغير DNS. لو الزائر متصل من شبكة من دي، لازم الـ TCP fallback يكون شغّال.
الـ debugging أصعب: Wireshark لازم نسخة 4.0+ مع keylog file عشان تقرأ traffic مشفّر. الأدوات اللي اتعوّدت عليها (tcpdump مع -A) ما هتنفعش.
معظم الـ CDNs بتدعمه لكن مش كل ميزات origin shield: راجع docs الـ CDN بتاعك (Cloudflare و Fastly مدعومين بالكامل).

متى لا تستخدم HTTP/3

HTTP/3 مش عصا سحرية. تجاهله في الحالات دي:

API داخلي بين microservices في نفس الـ data center: الشبكة مستقرة ومفيش head-of-line blocking. HTTP/2 على TCP أبسط وأقل CPU.
تطبيقات WebSocket طويلة العمر: QUIC datagrams لسه experimental لـ WebSocket. لو شغلك Slack-like، اتجاهل دلوقتي.
زوارك كلهم على فايبر مستقر: التحسّن 5-8% بس مش يستحق التعقيد التشغيلي.
سيرفرك خلف load balancer قديم لا يدعم UDP/HTTP/3 passthrough: هتحتاج تترقّيه أولاً.

HTTP/3 و QUIC للمتوسط: ازاي تخفّض زمن التحميل 35% على الموبايل

HTTP/3 و QUIC للمستوى المتوسط: ازاي تخفّض زمن تحميل الموقع 35% على الموبايل

المشكلة باختصار: TCP اتولد قبل الموبايل بـ 30 سنة

مثال للمبتدئ: طابور الكاشير في السوبرماركت

التعريف العلمي الدقيق

أرقام مقاسة فعليًا (مش تقديرية)

تشغيل HTTP/3 على NGINX: 6 خطوات قابلة للنسخ

الخطوة 1: تأكد من النسخة

الخطوة 2: افتح UDP/443 في الفايروول

الخطوة 3: ضبط الـ server block

الخطوة 4: ارفع حد الـ UDP buffers على مستوى الكيرنل

الخطوة 5: اختبر الإعداد ثم اعمل reload

الخطوة 6: تحقق إن HTTP/3 شغّال فعلاً

Trade-offs لازم تكون عارفها قبل ما تشغّله

متى لا تستخدم HTTP/3

الخطوة التالية

المصادر

هل استفدت من المقال؟

HTTP/3 و QUIC للمتوسط: ازاي تخفّض زمن التحميل 35% على الموبايل

HTTP/3 و QUIC للمستوى المتوسط: ازاي تخفّض زمن تحميل الموقع 35% على الموبايل

المشكلة باختصار: TCP اتولد قبل الموبايل بـ 30 سنة

مثال للمبتدئ: طابور الكاشير في السوبرماركت

التعريف العلمي الدقيق

أرقام مقاسة فعليًا (مش تقديرية)

تشغيل HTTP/3 على NGINX: 6 خطوات قابلة للنسخ

الخطوة 1: تأكد من النسخة

الخطوة 2: افتح UDP/443 في الفايروول

الخطوة 3: ضبط الـ server block

الخطوة 4: ارفع حد الـ UDP buffers على مستوى الكيرنل

الخطوة 5: اختبر الإعداد ثم اعمل reload

الخطوة 6: تحقق إن HTTP/3 شغّال فعلاً

Trade-offs لازم تكون عارفها قبل ما تشغّله

متى لا تستخدم HTTP/3

الخطوة التالية

المصادر

هل استفدت من المقال؟