Aan die begin van die jaar, in 'n verslag oor internetprobleme en toeganklikheid vir 2018-2019 dat die verspreiding van TLS 1.3 onvermydelik is. 'n Tyd gelede het ons self weergawe 1.3 van die Transport Layer Security-protokol ontplooi en, nadat ons data versamel en ontleed het, is ons uiteindelik gereed om oor die kenmerke van hierdie oorgang te praat.
IETF TLS Werkgroepvoorsitters :
"Kortom, TLS 1.3 behoort die grondslag te bied vir 'n veiliger en doeltreffender internet vir die volgende 20 jaar."
ontwerp het 10 lang jare geneem. Ons by Qrator Labs, saam met die res van die bedryf, het die protokolskeppingsproses noukeurig gevolg vanaf die aanvanklike konsep. Gedurende hierdie tyd was dit nodig om 28 opeenvolgende weergawes van die konsep te skryf om uiteindelik die lig van 'n gebalanseerde en maklik-om-te-ontplooibare protokol in 2019 te sien. Die aktiewe markondersteuning vir TLS 1.3 is reeds duidelik: die implementering van 'n bewese en betroubare sekuriteitsprotokol voldoen aan die behoeftes van die tye.
Volgens Eric Rescorla (Firefox CTO en enigste skrywer van TLS 1.3) :
"Dit is 'n volledige vervanging vir TLS 1.2, met dieselfde sleutels en sertifikate, sodat die kliënt en bediener outomaties oor TLS 1.3 kan kommunikeer as hulle albei dit ondersteun," het hy gesê. "Daar is reeds goeie ondersteuning op biblioteekvlak, en Chrome en Firefox aktiveer TLS 1.3 by verstek."
Terselfdertyd eindig TLS in die IETF-werkgroep , wat ouer weergawes van TLS (uitsluitend slegs TLS 1.2) verouderd en onbruikbaar verklaar. Waarskynlik sal die finale RFC voor die einde van die somer vrygestel word. Dit is nog 'n sein aan die IT-industrie: die opdatering van enkripsieprotokolle moet nie vertraag word nie.
'n Lys van huidige TLS 1.3-implementerings is beskikbaar op Github vir almal wat op soek is na die mees geskikte biblioteek: . Dit is duidelik dat aanvaarding en ondersteuning vir die opgedateerde protokol vinnig sal vorder - en reeds is - vinnig vorder. Begrip van hoe fundamenteel enkripsie in die moderne wêreld geword het, het taamlik wyd versprei.
Wat het verander sedert TLS 1.2?
Van :
“Hoe maak TLS 1.3 die wêreld 'n beter plek?
TLS 1.3 bevat sekere tegniese voordele - soos 'n vereenvoudigde handdrukproses om 'n veilige verbinding te vestig - en stel kliënte ook in staat om sessies met bedieners vinniger te hervat. Hierdie maatreëls is bedoel om die vertraging van verbindingsopstelling en verbindingsmislukkings op swak skakels te verminder, wat dikwels gebruik word as regverdiging vir die verskaffing van slegs ongeënkripteerde HTTP-verbindings.
Net so belangrik, dit verwyder ondersteuning vir verskeie verouderde en onveilige enkripsie- en hashing-algoritmes wat steeds toegelaat word (hoewel nie aanbeveel nie) vir gebruik met vroeëre weergawes van TLS, insluitend SHA-1, MD5, DES, 3DES en AES-CBC. byvoeging van ondersteuning vir nuwe syferreekse. Ander verbeterings sluit meer geënkripteerde elemente van die handdruk in (byvoorbeeld, die uitruil van sertifikaatinligting is nou geïnkripteer) om die hoeveelheid leidrade na 'n potensiële verkeersafluister te verminder, sowel as verbeterings aan voorstuurgeheim wanneer sekere sleuteluitruilmodusse gebruik word sodat kommunikasie moet te alle tye veilig bly, selfs al word die algoritmes wat gebruik word om dit te enkripteer in die toekoms gekompromitteer.”
Ontwikkeling van moderne protokolle en DDoS
Soos u dalk reeds gelees het, tydens die ontwikkeling van die protokol , in die IETF TLS-werkgroep . Dit is nou duidelik dat individuele ondernemings (insluitend finansiële instellings) die manier waarop hulle hul eie netwerk beveilig sal moet verander om die protokol se nou ingeboude te akkommodeer. .
Die redes waarom dit vereis mag word, word in die dokument uiteengesit, . Die vraestel van 20 bladsye noem verskeie voorbeelde waar 'n onderneming dalk buite-bandverkeer (wat PFS nie toelaat nie) wil dekripteer vir monitering, voldoening of toepassingslaag (L7) DDoS-beskermingsdoeleindes.
Alhoewel ons beslis nie bereid is om te spekuleer oor regulatoriese vereistes nie, is ons eie toepassing DDoS-versagtingsproduk (insluitend 'n oplossing sensitiewe en/of vertroulike inligting) is in 2012 geskep met inagneming van PFS, sodat ons kliënte en vennote nie nodig gehad het om enige veranderinge aan hul infrastruktuur aan te bring nadat hulle die TLS-weergawe aan die bedienerkant opgedateer het nie.
Sedert die implementering is daar ook geen probleme met betrekking tot vervoerkodering geïdentifiseer nie. Dit is amptelik: TLS 1.3 is gereed vir vervaardiging.
Daar is egter steeds 'n probleem wat verband hou met die ontwikkeling van volgende generasie protokolle. Die probleem is dat protokolvordering in die IETF tipies sterk afhanklik is van akademiese navorsing, en die stand van akademiese navorsing op die gebied van die versagting van verspreide ontkenning-van-diens-aanvalle is treurig.
So, 'n goeie voorbeeld sou wees Die IETF-konsep "QUIC Manageability", deel van die komende QUIC-protokolsuite, verklaar dat "moderne metodes vir die opsporing en versagting van [DDoS-aanvalle] tipies passiewe meting met behulp van netwerkvloeidata behels."
Laasgenoemde is in werklikheid baie skaars in werklike ondernemingsomgewings (en slegs gedeeltelik van toepassing op ISP's), en in elk geval is dit onwaarskynlik dat dit 'n "algemene geval" in die regte wêreld sal wees - maar verskyn voortdurend in wetenskaplike publikasies, gewoonlik nie ondersteun nie deur die hele spektrum van potensiële DDoS-aanvalle te toets, insluitend toepassingsvlakaanvalle. Laasgenoemde, as gevolg van ten minste die wêreldwye ontplooiing van TLS, kan natuurlik nie opgespoor word deur passiewe meting van netwerkpakkies en -vloei nie.
Net so weet ons nog nie hoe DDoS-versagtende hardeware verskaffers sal aanpas by die realiteite van TLS 1.3 nie. As gevolg van die tegniese kompleksiteit van die ondersteuning van die buite-band-protokol, kan die opgradering 'n rukkie neem.
Om die regte doelwitte te stel om navorsing te rig, is 'n groot uitdaging vir DDoS-versagtingsdiensverskaffers. Een gebied waar ontwikkeling kan begin is by die IRTF, waar navorsers met die industrie kan saamwerk om hul eie kennis van 'n uitdagende bedryf te verfyn en nuwe weë van navorsing te verken. Ons heet ook alle navorsers hartlik welkom indien daar enige is - ons kan gekontak word met vrae of voorstelle wat verband hou met DDoS-navorsing of die SMART-navorsingsgroep by
Bron: will.com