Početkom godine u izvještaju o problemima interneta i dostupnosti za 2018-2019.
IETF TLS Working Group Chairs
“Ukratko, TLS 1.3 bi trebao pružiti osnovu za sigurniji i efikasniji internet u narednih 20 godina.”
Razvoj
Prema Eric Rescorla (Firefox CTO i jedini autor TLS 1.3)
“Ovo je potpuna zamjena za TLS 1.2, koristeći iste ključeve i certifikate, tako da klijent i server mogu automatski komunicirati preko TLS 1.3 ako ga oboje podržavaju”, rekao je. “Već postoji dobra podrška na nivou biblioteke, a Chrome i Firefox podrazumevano omogućavaju TLS 1.3.”
Paralelno, TLS završava u radnoj grupi IETF-a
Lista trenutnih implementacija TLS 1.3 dostupna je na Githubu za sve koji traže najprikladniju biblioteku:
Šta se promijenilo od TLS 1.2?
Od
“Kako TLS 1.3 čini svijet boljim mjestom?
TLS 1.3 uključuje određene tehničke prednosti—kao što je pojednostavljen proces rukovanja za uspostavljanje bezbedne veze—i takođe omogućava klijentima da brže nastave sesije sa serverima. Ove mjere imaju za cilj smanjenje kašnjenja u postavljanju veze i neuspjeha veze na slabim vezama, koje se često koriste kao opravdanje za pružanje samo nešifriranih HTTP veza.
Jednako važno, uklanja podršku za nekoliko naslijeđenih i nesigurnih algoritama za enkripciju i heširanje koji su još uvijek dozvoljeni (iako se ne preporučuju) za upotrebu s ranijim verzijama TLS-a, uključujući SHA-1, MD5, DES, 3DES i AES-CBC. dodavanje podrške za nove pakete šifri. Ostala poboljšanja uključuju više šifriranih elemenata rukovanja (na primjer, razmjena informacija o certifikatu je sada šifrirana) kako bi se smanjila količina tragova potencijalnog prisluškivača prometa, kao i poboljšanja za prosljeđivanje tajnosti prilikom korištenja određenih načina razmjene ključeva kako bi komunikacija u svakom trenutku mora ostati siguran čak i ako algoritmi koji se koriste za šifriranje budu ugroženi u budućnosti.”
Razvoj modernih protokola i DDoS-a
Kao što ste možda već pročitali, tokom razvoja protokola
Razlozi zbog kojih bi to moglo biti potrebno navedeni su u dokumentu,
Iako sigurno nismo spremni spekulirati o regulatornim zahtjevima, naš vlasnički proizvod za ublažavanje DDoS-a (uključujući rješenje
Takođe, od implementacije nisu identifikovani problemi vezani za enkripciju transporta. Službeno je: TLS 1.3 je spreman za proizvodnju.
Međutim, još uvijek postoji problem vezan za razvoj protokola sljedeće generacije. Problem je u tome što je napredak protokola u IETF-u tipično u velikoj mjeri ovisan o akademskom istraživanju, a stanje akademskog istraživanja u oblasti ublažavanja distribuiranih napada uskraćivanja usluge je sumorno.
Dakle, dobar primjer bi bio
Potonje je, u stvari, vrlo rijetko u stvarnim poslovnim okruženjima (i samo djelomično primjenjivo na ISP-ove), a u svakom slučaju je malo vjerovatno da će biti "opšti slučaj" u stvarnom svijetu - ali se stalno pojavljuje u naučnim publikacijama, obično nije podržan testiranjem čitavog spektra potencijalnih DDoS napada, uključujući napade na nivou aplikacije. Ovo posljednje, barem zbog globalne implementacije TLS-a, očito se ne može otkriti pasivnim mjerenjem mrežnih paketa i tokova.
Isto tako, još ne znamo kako će se proizvođači hardvera za ublažavanje DDoS-a prilagoditi stvarnosti TLS-a 1.3. Zbog tehničke složenosti podrške protokola van opsega, nadogradnja može potrajati neko vrijeme.
Postavljanje pravih ciljeva za usmjeravanje istraživanja je veliki izazov za pružaoce usluga ublažavanja DDoS-a. Jedna oblast u kojoj razvoj može početi je
izvor: www.habr.com