Početkom godine u izvještaju o problemima interneta i dostupnosti za 2018-2019. da je širenje TLS 1.3 neizbježno. Prije nekog vremena i sami smo implementirali verziju 1.3 protokola Transport Layer Security i, nakon prikupljanja i analize podataka, konačno smo spremni za razgovor o karakteristikama ove tranzicije.
IETF TLS Working Group Chairs :
“Ukratko, TLS 1.3 bi trebao pružiti osnovu za sigurniji i efikasniji internet u narednih 20 godina.”
Razvoj trajalo je 10 dugih godina. Mi u Qrator Labs-u, zajedno sa ostatkom industrije, pomno smo pratili proces kreiranja protokola od početnog nacrta. Za to vrijeme bilo je potrebno napisati 28 uzastopnih verzija nacrta kako bi se u konačnici u 2019. ugledao izbalansiran i jednostavan za implementaciju protokol. Aktivna tržišna podrška za TLS 1.3 je već evidentna: implementacija dokazanog i pouzdanog sigurnosnog protokola zadovoljava potrebe vremena.
Prema Eric Rescorla (Firefox CTO i jedini autor TLS 1.3) :
“Ovo je potpuna zamjena za TLS 1.2, koristeći iste ključeve i certifikate, tako da klijent i server mogu automatski komunicirati preko TLS 1.3 ako ga oboje podržavaju”, rekao je. “Već postoji dobra podrška na nivou biblioteke, a Chrome i Firefox podrazumevano omogućavaju TLS 1.3.”
Paralelno, TLS završava u radnoj grupi IETF-a , proglašavajući starije verzije TLS-a (osim samo TLS 1.2) zastarjelim i neupotrebljivim. Najvjerovatnije će konačni RFC biti objavljen prije kraja ljeta. Ovo je još jedan signal IT industriji: ažuriranje protokola za šifriranje ne treba odlagati.
Lista trenutnih implementacija TLS 1.3 dostupna je na Githubu za sve koji traže najprikladniju biblioteku: . Jasno je da će usvajanje i podrška ažuriranom protokolu brzo napredovati – i da već napreduje. Razumijevanje toga kako je enkripcija postala fundamentalna u modernom svijetu prilično se proširila.
Šta se promijenilo od TLS 1.2?
Od :
“Kako TLS 1.3 čini svijet boljim mjestom?
TLS 1.3 uključuje određene tehničke prednosti—kao što je pojednostavljen proces rukovanja za uspostavljanje bezbedne veze—i takođe omogućava klijentima da brže nastave sesije sa serverima. Ove mjere imaju za cilj smanjenje kašnjenja u postavljanju veze i neuspjeha veze na slabim vezama, koje se često koriste kao opravdanje za pružanje samo nešifriranih HTTP veza.
Jednako važno, uklanja podršku za nekoliko naslijeđenih i nesigurnih algoritama za enkripciju i heširanje koji su još uvijek dozvoljeni (iako se ne preporučuju) za upotrebu s ranijim verzijama TLS-a, uključujući SHA-1, MD5, DES, 3DES i AES-CBC. dodavanje podrške za nove pakete šifri. Ostala poboljšanja uključuju više šifriranih elemenata rukovanja (na primjer, razmjena informacija o certifikatu je sada šifrirana) kako bi se smanjila količina tragova potencijalnog prisluškivača prometa, kao i poboljšanja za prosljeđivanje tajnosti prilikom korištenja određenih načina razmjene ključeva kako bi komunikacija u svakom trenutku mora ostati siguran čak i ako algoritmi koji se koriste za šifriranje budu ugroženi u budućnosti.”
Razvoj modernih protokola i DDoS-a
Kao što ste možda već pročitali, tokom razvoja protokola , u radnoj grupi IETF TLS . Sada je jasno da će pojedinačna preduzeća (uključujući finansijske institucije) morati promijeniti način na koji osiguravaju vlastitu mrežu kako bi se prilagodila protokolu koji je sada ugrađen. .
Razlozi zbog kojih bi to moglo biti potrebno navedeni su u dokumentu, . U radu od 20 stranica pominje se nekoliko primjera u kojima bi preduzeće moglo htjeti dešifrirati izvanpojasni promet (što PFS ne dozvoljava) u svrhu praćenja, usklađenosti ili DDoS zaštite sloja aplikacije (L7).
Iako sigurno nismo spremni spekulirati o regulatornim zahtjevima, naš vlasnički proizvod za ublažavanje DDoS-a (uključujući rješenje osjetljive i/ili povjerljive informacije) kreiran je 2012. godine uzimajući u obzir PFS, tako da naši klijenti i partneri nisu morali mijenjati svoju infrastrukturu nakon ažuriranja TLS verzije na strani servera.
Takođe, od implementacije nisu identifikovani problemi vezani za enkripciju transporta. Službeno je: TLS 1.3 je spreman za proizvodnju.
Međutim, još uvijek postoji problem vezan za razvoj protokola sljedeće generacije. Problem je u tome što je napredak protokola u IETF-u tipično u velikoj mjeri ovisan o akademskom istraživanju, a stanje akademskog istraživanja u oblasti ublažavanja distribuiranih napada uskraćivanja usluge je sumorno.
Dakle, dobar primjer bi bio IETF nacrt “QUIC Manageability”, dio nadolazećeg paketa QUIC protokola, navodi da “moderne metode za otkrivanje i ublažavanje [DDoS napada] obično uključuju pasivno mjerenje pomoću podataka o protoku mreže.”
Potonje je, u stvari, vrlo rijetko u stvarnim poslovnim okruženjima (i samo djelomično primjenjivo na ISP-ove), a u svakom slučaju je malo vjerovatno da će biti "opšti slučaj" u stvarnom svijetu - ali se stalno pojavljuje u naučnim publikacijama, obično nije podržan testiranjem čitavog spektra potencijalnih DDoS napada, uključujući napade na nivou aplikacije. Ovo posljednje, barem zbog globalne implementacije TLS-a, očito se ne može otkriti pasivnim mjerenjem mrežnih paketa i tokova.
Isto tako, još ne znamo kako će se proizvođači hardvera za ublažavanje DDoS-a prilagoditi stvarnosti TLS-a 1.3. Zbog tehničke složenosti podrške protokola van opsega, nadogradnja može potrajati neko vrijeme.
Postavljanje pravih ciljeva za usmjeravanje istraživanja je veliki izazov za pružaoce usluga ublažavanja DDoS-a. Jedna oblast u kojoj razvoj može početi je na IRTF, gdje istraživači mogu sarađivati s industrijom kako bi usavršili svoje znanje o izazovnoj industriji i istražili nove puteve istraživanja. Također upućujemo toplu dobrodošlicu svim istraživačima, ako ih ima - možemo nam se obratiti s pitanjima ili prijedlozima vezanim za DDoS istraživanja ili SMART istraživačku grupu na
izvor: www.habr.com