В началото на годината в доклад за проблемите и достъпността на Интернет за 2018-2019 г.
Председатели на работни групи на IETF TLS
„Накратко, TLS 1.3 трябва да осигури основата за по-сигурен и ефективен интернет за следващите 20 години.“
дизайн
Според Ерик Рескорла (технически директор на Firefox и единствен автор на TLS 1.3)
„Това е пълна замяна на TLS 1.2, използвайки същите ключове и сертификати, така че клиентът и сървърът могат автоматично да комуникират през TLS 1.3, ако и двамата го поддържат“, каза той. „Вече има добра поддръжка на ниво библиотека и Chrome и Firefox активират TLS 1.3 по подразбиране.“
Успоредно с това TLS приключва в работната група на IETF
Списък с текущи реализации на TLS 1.3 е достъпен в Github за всеки, който търси най-подходящата библиотека:
Какво се промени след TLS 1.2?
На
„Как TLS 1.3 прави света по-добро място?
TLS 1.3 включва определени технически предимства - като опростен процес на ръкостискане за установяване на защитена връзка - и също така позволява на клиентите по-бързо да възобновят сесиите със сървърите. Тези мерки имат за цел да намалят забавянето при настройка на връзката и неуспешните връзки при слаби връзки, които често се използват като оправдание за предоставяне само на некриптирани HTTP връзки.
Също толкова важно е, че премахва поддръжката за няколко наследени и несигурни алгоритми за криптиране и хеширане, които все още са разрешени (макар и не се препоръчват) за използване с по-ранни версии на TLS, включително SHA-1, MD5, DES, 3DES и AES-CBC. добавяне на поддръжка за нови пакети за шифроване. Други подобрения включват повече криптирани елементи на ръкостискането (например обменът на информация за сертификати вече е криптиран), за да се намали количеството улики към потенциален подслушващ трафик, както и подобрения за препращане на секретност при използване на определени режими за обмен на ключове, така че комуникацията по всяко време трябва да остане защитен, дори ако алгоритмите, използвани за криптирането му, бъдат компрометирани в бъдеще.
Разработване на съвременни протоколи и DDoS
Както може би вече сте прочели, по време на разработването на протокола
Причините, поради които това може да се наложи, са посочени в документа,
Въпреки че със сигурност не сме готови да спекулираме с регулаторните изисквания, нашето собствено приложение продукт за смекчаване на DDoS (включително решение
Също така, след внедряването не са идентифицирани проблеми, свързани с транспортното криптиране. Официално: TLS 1.3 е готов за производство.
Все още обаче има проблем, свързан с разработването на протоколи от следващо поколение. Проблемът е, че прогресът на протокола в IETF обикновено силно зависи от академичните изследвания и състоянието на академичните изследвания в областта на смекчаването на разпределените атаки за отказ на услуга е мрачно.
Така че, добър пример би бил
Последното всъщност е много рядко в реални корпоративни среди (и само частично приложимо за ISP) и във всеки случай е малко вероятно да бъде "общ случай" в реалния свят - но се появява постоянно в научни публикации, обикновено не се поддържа чрез тестване на целия спектър от потенциални DDoS атаки, включително атаки на ниво приложение. Последното, поне поради световното внедряване на TLS, очевидно не може да бъде открито чрез пасивно измерване на мрежови пакети и потоци.
По същия начин все още не знаем как доставчиците на хардуер за смекчаване на DDoS ще се адаптират към реалностите на TLS 1.3. Поради техническата сложност на поддръжката на протокола извън обхвата, надстройката може да отнеме известно време.
Поставянето на правилните цели за насочване на изследванията е основно предизвикателство за доставчиците на услуги за ограничаване на DDoS. Една област, в която може да започне развитие, е
Източник: www.habr.com