A principis d'any, en un informe sobre problemes d'Internet i accessibilitat per al curs 2018-2019 que la propagació de TLS 1.3 és inevitable. Fa un temps, nosaltres mateixos vam desplegar la versió 1.3 del protocol de seguretat de la capa de transport i, després de recollir i analitzar dades, per fi estem preparats per parlar de les característiques d'aquesta transició.
Presidents del grup de treball IETF TLS :
"En resum, TLS 1.3 hauria de proporcionar la base per a una Internet més segura i eficient durant els propers 20 anys".
Desenvolupament va trigar 10 anys llargs. A Qrator Labs, juntament amb la resta de la indústria, hem seguit de prop el procés de creació del protocol des de l'esborrany inicial. Durant aquest temps, va ser necessari escriure 28 versions consecutives de l'esborrany per tal de veure, en definitiva, la llum d'un protocol equilibrat i fàcil de desplegar el 2019. El suport actiu del mercat per a TLS 1.3 ja és evident: la implementació d'un protocol de seguretat provat i fiable respon a les necessitats dels temps.
Segons Eric Rescorla (CTO de Firefox i únic autor de TLS 1.3) :
"Aquest és un reemplaçament complet de TLS 1.2, utilitzant les mateixes claus i certificats, de manera que el client i el servidor es poden comunicar automàticament a través de TLS 1.3 si tots dos ho admeten", va dir. "Ja hi ha un bon suport a nivell de biblioteca, i Chrome i Firefox activen TLS 1.3 de manera predeterminada".
Paral·lelament, TLS està acabant al grup de treball de l'IETF , declarant les versions anteriors de TLS (excloent només TLS 1.2) obsoletes i inutilitzables. El més probable és que el RFC final es publicarà abans de finals de l'estiu. Aquest és un altre senyal per a la indústria informàtica: no s'ha de retardar l'actualització dels protocols d'encriptació.
Una llista de les implementacions actuals de TLS 1.3 està disponible a Github per a qualsevol persona que busqui la biblioteca més adequada: . És evident que l'adopció i el suport al protocol actualitzat avançarà, i ja està, ràpidament. La comprensió de com s'ha convertit en el xifratge fonamental al món modern s'ha estès bastant àmpliament.
Què ha canviat des de TLS 1.2?
D' :
"Com TLS 1.3 fa que el món sigui un lloc millor?
TLS 1.3 inclou certs avantatges tècnics, com ara un procés d'encaix simplificat per establir una connexió segura, i també permet als clients reprendre sessions amb servidors més ràpidament. Aquestes mesures pretenen reduir la latència de configuració de la connexió i els errors de connexió als enllaços febles, que sovint s'utilitzen com a justificació per proporcionar només connexions HTTP sense xifrar.
El més important és que elimina la compatibilitat amb diversos algorismes de xifratge i hash heretats i insegurs que encara es permeten (encara que no es recomana) per utilitzar-los amb versions anteriors de TLS, com SHA-1, MD5, DES, 3DES i AES-CBC. afegir suport per a noves suites de xifratge. Altres millores inclouen elements més xifrats de la connexió de mans (per exemple, l'intercanvi d'informació del certificat ara està xifrat) per reduir la quantitat de pistes per a un possible escolta del trànsit, així com millores per reenviar el secret quan s'utilitzen determinats modes d'intercanvi de claus perquè la comunicació en tot moment ha de romandre segur fins i tot si els algorismes utilitzats per xifrar-lo es veuen compromesos en el futur".
Desenvolupament de protocols moderns i DDoS
Com ja heu llegit, durant el desenvolupament del protocol , al grup de treball IETF TLS . Ara està clar que les empreses individuals (incloses les institucions financeres) hauran de canviar la manera com asseguren la seva pròpia xarxa per tal d'adaptar-se al protocol integrat ara. .
Els motius pels quals es pot requerir s'exposen al document, . El document de 20 pàgines esmenta diversos exemples en què una empresa podria voler desxifrar el trànsit fora de banda (que PFS no permet) amb finalitats de monitorització, compliment o protecció DDoS de la capa d'aplicació (L7).
Tot i que certament no estem preparats per especular sobre els requisits reguladors, el nostre producte de mitigació DDoS d'aplicació patentada (inclosa una solució informació sensible i/o confidencial) es va crear l'any 2012 tenint en compte PFS, de manera que els nostres clients i socis no havien de fer cap canvi a la seva infraestructura després d'actualitzar la versió TLS al costat del servidor.
Així mateix, des de la implementació, no s'han identificat problemes relacionats amb el xifratge del transport. És oficial: TLS 1.3 està llest per a la producció.
Tanmateix, encara hi ha un problema associat al desenvolupament de protocols de nova generació. El problema és que el progrés del protocol a l'IETF depèn normalment en gran mesura de la investigació acadèmica, i l'estat de la investigació acadèmica en l'àmbit de la mitigació dels atacs de denegació de servei distribuïts és lamentable.
Per tant, un bon exemple seria L'esborrany de l'IETF "Gestionabilitat QUIC", que forma part de la propera suite de protocols QUIC, afirma que "els mètodes moderns per detectar i mitigar [atacs DDoS] solen incloure mesuraments passius mitjançant dades de flux de xarxa".
Aquest últim és, de fet, molt rar en entorns empresarials reals (i només s'aplica parcialment als ISP), i en qualsevol cas és poc probable que sigui un "cas general" al món real, però apareix constantment en publicacions científiques, normalment no s'admet. provant tot l'espectre d'atacs DDoS potencials, inclosos els atacs a nivell d'aplicació. Aquest últim, a causa, almenys, del desplegament mundial de TLS, òbviament no es pot detectar mitjançant la mesura passiva de paquets i fluxos de xarxa.
De la mateixa manera, encara no sabem com s'adaptaran els proveïdors de maquinari de mitigació de DDoS a les realitats de TLS 1.3. A causa de la complexitat tècnica de donar suport al protocol fora de banda, l'actualització pot trigar una mica.
Establir els objectius adequats per guiar la investigació és un repte important per als proveïdors de serveis de mitigació de DDoS. Una àrea on es pot començar el desenvolupament és a l'IRTF, on els investigadors poden col·laborar amb la indústria per perfeccionar el seu propi coneixement d'una indústria desafiant i explorar noves vies de recerca. També donem una càlida benvinguda a tots els investigadors, si n'hi ha, ens podem contactar amb preguntes o suggeriments relacionats amb la investigació DDoS o el grup de recerca SMART a
Font: www.habr.com