Jag får erkänna att jag inte är superinsatt, det här är mer ett hobbyintresse än något jag måste kunna perfekt för mitt jobb...
Först och främst: QUIC är designat så att man (webbservern) kan spåra användare när de byter nätverk, förutsatt att webbläsaren inte startas om. Perfekt för att kunna mappa din mobiltelefon till ditt hemma-IP-nummer alltså och förstå vilken användare som finns bakom även om du senare byter till en annan enhet på hemmanätverket.
Dessutom: Som jag förstår det är det mycket svårt att blockera QUIC. En webbserver meddelar klienten om var dess QUIC-tjänst (HTTP/3) finns genom Alt-Svc-headern. Denna header innehåller ett portnummer som alltså kommer att användas för UDP-trafiken som QUIC kör över. Eftersom detta portnummer kan vara vilket giltigt portnummer som helst (inte bara 80, 443) så måste man spärra all UDP-trafik för att spärra QUIC. Och att spärra all UDP-trafik kommer att skapa massor av problem.
QUIC går över UDP som går över IP. Ovanpå QUIC kan man köra HTTP/3. Som jag förstår det är HTTP/3 rätt OK, det råkar bara bo ovanpå ett protokoll som har egenskaper som inte är direkt önskvärda.
För att brandväggar ska kunna inspektera innehållet i krypterad trafik (inklusive QUIC) måste de göra en man-in-the-middle-attack på den TLS-krypterade trafiken. Det är inget som skiljer sig principiellt oavsett om man kör HTTP/1.1, HTTP/2 eller HTTP/3 som jag förstår det. Däremot så krävs det förstås lite ny teknik och brandväggsstöd för att göra det över QUIC, det gamla stödet för TCP+TLS duger inte. Därmed är det svårare än någonsin att genomföra sådan inspektion i praktiken. Det har alltid krävt att man kan installera sitt eget rotcertifikat på klienten, så att man i brandväggen i realtid kan utfärda en fejkad version av sajtens certifikat, signerat av ens eget rotcertifikat.
Google för ett aktivt krig mot inspektion och manipulation av trafik mellan deras tjänster och klienterna. Syftet är förstås att det ska bli svårt att upptäcka och hindra spårning och reklamöverföring. Medlet de använder är webbstandarder som de pushar och sin dominans på webbläsarmarknaden. Än så länge är det teoretiskt möjligt att styra trafiken man är ena ändan av, men de flesta orkar/kan förstås inte sätta sig in i detta (jag är en av dem som inte orkar). Och det är redan helt omöjligt på enheter som man inte har administrativ access till, till exempel TV-apparater och många mobiltelefoner. Andra exempel på det kriget är DNS-över-HTTPS och testballongerna man skjutit upp för att ändra i API:erna i Chrome/Chromeium för att hindra att annonsblockerare ska fungera. TLS 1.3 gör det även svårare att genomföra MITM-attacker, men jag minns inte de exakta detaljerna.