Sa sinugdanan sa tuig, sa usa ka report sa mga problema sa Internet ug accessibility alang sa 2018-2019 nga ang pagkaylap sa TLS 1.3 dili malikayan. Pipila ka panahon ang milabay, kami mismo ang nag-deploy sa bersyon 1.3 sa Transport Layer Security protocol ug, pagkahuman sa pagkolekta ug pag-analisar sa datos, kami sa katapusan andam na nga maghisgot bahin sa mga bahin sa kini nga pagbalhin.
IETF TLS Working Group Chairs :
"Sa laktud, ang TLS 1.3 kinahanglan maghatag pundasyon alang sa mas luwas ug episyente nga Internet sa sunod nga 20 ka tuig."
Pagpalambo niabot ug 10 ka taas nga tuig. Kami sa Qrator Labs, kauban ang nahabilin nga industriya, hugot nga nagsunod sa proseso sa paghimo sa protocol gikan sa una nga draft. Niining panahona, gikinahanglan ang pagsulat sa 28 ka sunud-sunod nga mga bersyon sa draft aron sa katapusan makita ang kahayag sa usa ka balanse ug dali nga ipakatap nga protocol sa 2019. Ang aktibo nga suporta sa merkado alang sa TLS 1.3 dayag na: ang pagpatuman sa usa ka napamatud-an ug kasaligan nga protocol sa seguridad nagtagbo sa mga panginahanglanon sa panahon.
Sumala kang Eric Rescorla (Firefox CTO ug bugtong tagsulat sa TLS 1.3) :
"Kini usa ka kompleto nga kapuli sa TLS 1.2, gamit ang parehas nga mga yawe ug mga sertipiko, aron ang kliyente ug server awtomatik nga makigkomunikar sa TLS 1.3 kung pareho silang nagsuporta niini," ingon niya. "Adunay na maayo nga suporta sa lebel sa librarya, ug ang Chrome ug Firefox makahimo sa TLS 1.3 nga default."
Sa susama, ang TLS natapos sa IETF working group , nga nagdeklarar sa mga daan nga bersyon sa TLS (walay labot lamang sa TLS 1.2) nga dili na magamit ug dili na magamit. Lagmit, ang katapusang RFC ipagawas sa dili pa matapos ang ting-init. Kini usa pa ka signal sa industriya sa IT: ang pag-update sa mga protocol sa pag-encrypt kinahanglan dili malangan.
Ang usa ka lista sa karon nga TLS 1.3 nga pagpatuman magamit sa Github alang sa bisan kinsa nga nangita alang sa labing angay nga librarya: . Klaro nga ang pagsagop ug suporta alang sa na-update nga protocol mahimo-ug na-mo-uswag nga paspas. Ang pagsabut kung giunsa nahimo ang sukaranan nga pag-encrypt sa modernong kalibutan kaylap nga mikaylap.
Unsa ang nausab sukad sa TLS 1.2?
Gikan :
“Sa unsang paagi gihimo sa TLS 1.3 ang kalibutan nga mas maayong dapit?
Ang TLS 1.3 naglakip sa pipila ka teknikal nga mga bentaha—sama sa gipasimple nga proseso sa paglamano aron makatukod og luwas nga koneksyon—ug gitugotan usab ang mga kliyente nga mas dali nga ipadayon ang mga sesyon sa mga server. Kini nga mga lakang gituyo aron makunhuran ang latency sa pag-setup sa koneksyon ug mga kapakyasan sa koneksyon sa huyang nga mga link, nga sagad gigamit isip katarungan sa paghatag lamang sa wala'y na-encrypt nga mga koneksyon sa HTTP.
Sama ka hinungdanon, gitangtang niini ang suporta alang sa daghang kabilin ug dili sigurado nga pag-encrypt ug mga algorithm sa hashing nga gitugotan gihapon (bisan dili girekomenda) para magamit sa mga naunang bersyon sa TLS, lakip ang SHA-1, MD5, DES, 3DES, ug AES-CBC. pagdugang suporta alang sa bag-ong mga cipher suite. Ang uban nga mga pag-uswag naglakip sa mas daghang naka-encrypt nga mga elemento sa handshake (pananglitan, ang pagbayloay sa kasayuran sa sertipiko karon na-encrypt) aron makunhuran ang gidaghanon sa mga timailhan sa usa ka potensyal nga eavesdropper sa trapiko, ingon man mga pag-uswag sa pagpasa sa sekreto kung gigamit ang piho nga mga paagi sa pagbinayloay aron ang komunikasyon sa tanang panahon kinahanglang magpabiling luwas bisan kon ang mga algorithm nga gigamit sa pag-encrypt niini makompromiso sa umaabot.”
Pag-uswag sa modernong mga protocol ug DDoS
Sama sa nabasa na nimo, sa panahon sa pag-uswag sa protocol , sa IETF TLS working group . Klaro na karon nga ang mga indibidwal nga negosyo (lakip ang mga institusyong pinansyal) kinahanglan nga magbag-o sa paagi sa pagsiguro sa ilang kaugalingon nga network aron ma-accommodate ang natukod na karon sa protocol. .
Ang mga hinungdan ngano nga kini mahimo’g gikinahanglan gitakda sa dokumento, . Ang 20-panid nga papel naghisgot sa daghang mga pananglitan diin ang usa ka negosyo mahimong gusto nga i-decrypt ang out-of-band nga trapiko (nga dili itugot sa PFS) alang sa pag-monitor, pagsunod o layer sa aplikasyon (L7) nga katuyoan sa pagpanalipod sa DDoS.
Samtang dili gyud kami andam nga mangagpas sa mga kinahanglanon sa regulasyon, ang among proprietary nga aplikasyon sa DDoS mitigation nga produkto (lakip ang usa ka solusyon sensitibo ug/o kompidensyal nga impormasyon) gimugna niadtong 2012 nga gikonsiderar ang PFS, mao nga ang among mga kliyente ug mga kauban dili na kinahanglang maghimog bisan unsang kausaban sa ilang imprastraktura human ma-update ang TLS nga bersyon sa server side.
Usab, sukad sa pagpatuman, walay mga problema nga may kalabutan sa transport encryption nga giila. Kini opisyal: TLS 1.3 andam na alang sa produksyon.
Bisan pa, adunay usa ka problema nga nalangkit sa pag-uswag sa mga sunod nga henerasyon nga mga protocol. Ang problema mao nga ang pag-uswag sa protocol sa IETF kasagarang nagsalig pag-ayo sa akademikong panukiduki, ug ang kahimtang sa akademikong panukiduki sa natad sa pagpagaan sa gipang-apod-apod nga mga pag-atake sa denial-of-service masulub-on.
Busa, usa ka maayong panig-ingnan Ang draft sa IETF nga "QUIC Manageability," bahin sa umaabot nga QUIC protocol suite, nag-ingon nga ang "modernong mga pamaagi sa pag-ila ug pagpagaan sa [mga pag-atake sa DDoS] kasagarang naglakip sa passive measurement gamit ang network flow data."
Ang ulahi, sa tinuud, talagsa ra sa tinuod nga mga palibot sa negosyo (ug partially applicable lang sa mga ISP), ug sa bisan unsang kaso dili tingali usa ka "kinatibuk-ang kaso" sa tinuud nga kalibutan - apan kanunay nga makita sa mga publikasyon sa siyensya, kasagaran dili suportado. pinaagi sa pagsulay sa tibuok spectrum sa mga potensyal nga pag-atake sa DDoS, lakip na ang mga pag-atake sa lebel sa aplikasyon. Ang ulahi, tungod sa labing menos sa tibuok kalibutan nga pag-deploy sa TLS, klaro nga dili mamatikdan pinaagi sa passive nga pagsukod sa mga pakete sa network ug mga agos.
Ingon usab, wala pa kami nahibal-an kung giunsa ang pagpahiangay sa mga tigbaligya sa hardware sa DDoS sa mga katinuud sa TLS 1.3. Tungod sa teknikal nga pagkakomplikado sa pagsuporta sa out-of-band protocol, ang pag-upgrade mahimong magdugay.
Ang pagtakda sa husto nga mga tumong sa paggiya sa panukiduki usa ka dakong hagit alang sa DDoS mitigation service providers. Usa ka dapit diin magsugod ang kalamboan mao ang sa IRTF, diin ang mga tigdukiduki mahimong makigtambayayong sa industriya aron mapino ang ilang kaugalingon nga kahibalo sa usa ka mahagiton nga industriya ug pagsuhid sa bag-ong mga paagi sa panukiduki. Among gipaabot usab ang mainiton nga pag-abiabi sa tanang tigdukiduki, kung aduna - mahimo kaming makontak sa mga pangutana o sugyot nga may kalabutan sa panukiduki sa DDoS o sa grupo sa panukiduki sa SMART sa
Source: www.habr.com