في بداية العام في تقرير عن مشاكل الإنترنت وإمكانية الوصول لعامي 2018-2019
رؤساء مجموعة عمل IETF TLS
"باختصار، يجب أن يوفر TLS 1.3 الأساس لإنترنت أكثر أمانًا وكفاءة على مدار العشرين عامًا القادمة."
تطوير
وفقًا لإريك ريسكورلا (مدير التكنولوجيا في Firefox والمؤلف الوحيد لـ TLS 1.3)
وقال: "هذا بديل كامل لـ TLS 1.2، باستخدام نفس المفاتيح والشهادات، بحيث يمكن للعميل والخادم التواصل تلقائيًا عبر TLS 1.3 إذا كان كلاهما يدعمه". "يوجد بالفعل دعم جيد على مستوى المكتبة، ويقوم Chrome وFirefox بتمكين TLS 1.3 افتراضيًا."
بالتوازي، ينتهي TLS في مجموعة عمل IETF
تتوفر قائمة بتطبيقات TLS 1.3 الحالية على Github لأي شخص يبحث عن المكتبة الأكثر ملاءمة:
ما الذي تغير منذ TLS 1.2؟
من
"كيف يجعل TLS 1.3 العالم مكانًا أفضل؟
يتضمن TLS 1.3 بعض المزايا التقنية — مثل عملية المصافحة المبسطة لإنشاء اتصال آمن — كما يسمح للعملاء باستئناف الجلسات مع الخوادم بسرعة أكبر. تهدف هذه الإجراءات إلى تقليل زمن انتقال إعداد الاتصال وفشل الاتصال على الروابط الضعيفة، والتي تُستخدم غالبًا كمبرر لتوفير اتصالات HTTP غير المشفرة فقط.
وبنفس القدر من الأهمية، فإنه يزيل دعم العديد من خوارزميات التشفير والتجزئة القديمة وغير الآمنة التي لا يزال مسموحًا (على الرغم من عدم التوصية بها) للاستخدام مع الإصدارات السابقة من TLS، بما في ذلك SHA-1 وMD5 وDES و3DES وAES-CBC. إضافة دعم لمجموعات التشفير الجديدة. تتضمن التحسينات الأخرى المزيد من العناصر المشفرة للمصافحة (على سبيل المثال، تبادل معلومات الشهادة مشفر الآن) لتقليل كمية الأدلة التي قد تؤدي إلى التنصت المحتمل على حركة المرور، بالإضافة إلى تحسينات لإعادة توجيه السرية عند استخدام بعض أوضاع تبادل المفاتيح بحيث يمكن الاتصال يجب أن تظل آمنة في جميع الأوقات حتى لو تم اختراق الخوارزميات المستخدمة لتشفيرها في المستقبل.
تطوير البروتوكولات الحديثة و DDoS
كما كنت قد قرأت بالفعل، أثناء تطوير البروتوكول
وترد أسباب طلب ذلك في الوثيقة،
على الرغم من أننا بالتأكيد لسنا مستعدين للتكهن بالمتطلبات التنظيمية، فإن منتج التخفيف من هجمات DDoS للتطبيقات الخاصة بنا (بما في ذلك الحل)
وأيضًا، منذ التنفيذ، لم يتم تحديد أي مشاكل تتعلق بتشفير النقل. إنه رسمي: TLS 1.3 جاهز للإنتاج.
ومع ذلك، لا تزال هناك مشكلة مرتبطة بتطوير بروتوكولات الجيل التالي. تكمن المشكلة في أن تقدم البروتوكول في IETF يعتمد عادةً بشكل كبير على البحث الأكاديمي، كما أن حالة البحث الأكاديمي في مجال التخفيف من هجمات حجب الخدمة الموزعة سيئة للغاية.
لذلك، سيكون مثالا جيدا
وهذا الأخير، في الواقع، نادر جدًا في بيئات المؤسسات الحقيقية (وينطبق جزئيًا فقط على مزودي خدمات الإنترنت)، وعلى أي حال من غير المرجح أن يكون "حالة عامة" في العالم الحقيقي - ولكنه يظهر باستمرار في المنشورات العلمية، وعادةً ما يكون غير مدعوم. من خلال اختبار النطاق الكامل لهجمات DDoS المحتملة، بما في ذلك الهجمات على مستوى التطبيق. من الواضح أنه لا يمكن اكتشاف الأخير، بسبب نشر TLS في جميع أنحاء العالم على الأقل، عن طريق القياس السلبي لحزم الشبكة وتدفقاتها.
وبالمثل، لا نعرف حتى الآن كيف سيتكيف بائعو أجهزة تخفيف هجمات DDoS مع واقع TLS 1.3. ونظرًا للتعقيد الفني لدعم بروتوكول خارج النطاق، فقد تستغرق الترقية بعض الوقت.
يعد تحديد الأهداف الصحيحة لتوجيه البحث تحديًا كبيرًا لمقدمي خدمات التخفيف من هجمات DDoS. أحد المجالات التي يمكن أن يبدأ فيها التطوير هو
المصدر: www.habr.com