В началото на годината в доклад за проблемите и достъпността на Интернет за 2018-2019 г. че разпространението на TLS 1.3 е неизбежно. Преди известно време ние сами внедрихме версия 1.3 на протокола за сигурност на транспортния слой и след събиране и анализиране на данни най-накрая сме готови да говорим за характеристиките на този преход.
Председатели на работни групи на IETF TLS :
„Накратко, TLS 1.3 трябва да осигури основата за по-сигурен и ефективен интернет за следващите 20 години.“
дизайн отне 10 дълги години. Ние от Qrator Labs, заедно с останалата част от индустрията, проследихме отблизо процеса на създаване на протокол от първоначалния проект. През това време беше необходимо да се напишат 28 последователни версии на черновата, за да се види в крайна сметка балансиран и лесен за внедряване протокол през 2019 г. Активната пазарна подкрепа за TLS 1.3 вече е очевидна: прилагането на доказан и надежден протокол за сигурност отговаря на нуждите на времето.
Според Ерик Рескорла (технически директор на Firefox и единствен автор на TLS 1.3) :
„Това е пълна замяна на TLS 1.2, използвайки същите ключове и сертификати, така че клиентът и сървърът могат автоматично да комуникират през TLS 1.3, ако и двамата го поддържат“, каза той. „Вече има добра поддръжка на ниво библиотека и Chrome и Firefox активират TLS 1.3 по подразбиране.“
Успоредно с това TLS приключва в работната група на IETF , обявявайки по-старите версии на TLS (с изключение само на TLS 1.2) за остарели и неизползваеми. Най-вероятно финалният RFC ще бъде пуснат преди края на лятото. Това е още един сигнал към ИТ индустрията: актуализирането на протоколите за криптиране не трябва да се отлага.
Списък с текущи реализации на TLS 1.3 е достъпен в Github за всеки, който търси най-подходящата библиотека: . Ясно е, че приемането и поддръжката на актуализирания протокол ще напредва и вече напредва бързо. Разбирането за това колко фундаментално е станало криптирането в съвременния свят се разпространи доста широко.
Какво се промени след TLS 1.2?
На :
„Как TLS 1.3 прави света по-добро място?
TLS 1.3 включва определени технически предимства - като опростен процес на ръкостискане за установяване на защитена връзка - и също така позволява на клиентите по-бързо да възобновят сесиите със сървърите. Тези мерки имат за цел да намалят забавянето при настройка на връзката и неуспешните връзки при слаби връзки, които често се използват като оправдание за предоставяне само на некриптирани HTTP връзки.
Също толкова важно е, че премахва поддръжката за няколко наследени и несигурни алгоритми за криптиране и хеширане, които все още са разрешени (макар и не се препоръчват) за използване с по-ранни версии на TLS, включително SHA-1, MD5, DES, 3DES и AES-CBC. добавяне на поддръжка за нови пакети за шифроване. Други подобрения включват повече криптирани елементи на ръкостискането (например обменът на информация за сертификати вече е криптиран), за да се намали количеството улики към потенциален подслушващ трафик, както и подобрения за препращане на секретност при използване на определени режими за обмен на ключове, така че комуникацията по всяко време трябва да остане защитен, дори ако алгоритмите, използвани за криптирането му, бъдат компрометирани в бъдеще.
Разработване на съвременни протоколи и DDoS
Както може би вече сте прочели, по време на разработването на протокола , в работната група на IETF TLS . Вече е ясно, че отделните предприятия (включително финансови институции) ще трябва да променят начина, по който защитават собствената си мрежа, за да се приспособят към вече вградения протокол .
Причините, поради които това може да се наложи, са посочени в документа, . Документът от 20 страници споменава няколко примера, при които едно предприятие може да иска да дешифрира трафик извън лентата (което PFS не позволява) за целите на наблюдението, съответствието или DDoS защитата на приложния слой (L7).
Въпреки че със сигурност не сме готови да спекулираме с регулаторните изисквания, нашето собствено приложение продукт за смекчаване на DDoS (включително решение чувствителна и/или поверителна информация) е създадена през 2012 г., като се взема предвид PFS, така че нашите клиенти и партньори не е необходимо да правят промени в своята инфраструктура след актуализиране на TLS версията от страна на сървъра.
Също така, след внедряването не са идентифицирани проблеми, свързани с транспортното криптиране. Официално: TLS 1.3 е готов за производство.
Все още обаче има проблем, свързан с разработването на протоколи от следващо поколение. Проблемът е, че прогресът на протокола в IETF обикновено силно зависи от академичните изследвания и състоянието на академичните изследвания в областта на смекчаването на разпределените атаки за отказ на услуга е мрачно.
Така че, добър пример би бил Проектът на IETF „QUIC Manageability“, част от предстоящия набор от протоколи QUIC, гласи, че „съвременните методи за откриване и смекчаване на [DDoS атаки] обикновено включват пасивно измерване с помощта на данни за мрежовия поток.“
Последното всъщност е много рядко в реални корпоративни среди (и само частично приложимо за ISP) и във всеки случай е малко вероятно да бъде "общ случай" в реалния свят - но се появява постоянно в научни публикации, обикновено не се поддържа чрез тестване на целия спектър от потенциални DDoS атаки, включително атаки на ниво приложение. Последното, поне поради световното внедряване на TLS, очевидно не може да бъде открито чрез пасивно измерване на мрежови пакети и потоци.
По същия начин все още не знаем как доставчиците на хардуер за смекчаване на DDoS ще се адаптират към реалностите на TLS 1.3. Поради техническата сложност на поддръжката на протокола извън обхвата, надстройката може да отнеме известно време.
Поставянето на правилните цели за насочване на изследванията е основно предизвикателство за доставчиците на услуги за ограничаване на DDoS. Една област, в която може да започне развитие, е в IRTF, където изследователите могат да си сътрудничат с индустрията, за да усъвършенстват собствените си познания за предизвикателна индустрия и да изследват нови пътища за изследване. Ние също така приветстваме всички изследователи, ако има такива - можете да се свържете с нас с въпроси или предложения, свързани с DDoS изследванията или изследователската група SMART на
Източник: www.habr.com