À u principiu di l'annu, in un rapportu nantu à i prublemi di Internet è l'accessibilità per 2018-2019 chì a diffusione di TLS 1.3 hè inevitabbile. Qualchì tempu fà, avemu implementatu a versione 1.3 di u protocolu di Sicurezza di a Strada di Trasportu è, dopu a cullizzioni è l'analisi di dati, simu pronti à parlà di e caratteristiche di sta transizione.
Chairs di u gruppu di travagliu IETF TLS :
"In corta, TLS 1.3 duveria furnisce a basa per un Internet più sicuru è efficiente per i prossimi 20 anni".
Sviluppu pigliò 10 anni longu. Noi di Qrator Labs, inseme cù u restu di l'industria, avemu seguitu da vicinu u prucessu di creazione di protokollu da u prugettu iniziale. Duranti stu tempu, era necessariu di scrive 28 versioni consecutivi di u prugettu per vede finalmente a luce di un protokollu equilibratu è faciule da implementà in 2019. U sustegnu di u mercatu attivu per TLS 1.3 hè digià evidenti: l'implementazione di un protokollu di sicurezza pruvata è affidabile risponde à i bisogni di i tempi.
Sicondu Eric Rescorla (CTO di Firefox è unicu autore di TLS 1.3) :
"Questu hè un sustitutu cumpletu per TLS 1.2, utilizendu e stesse chjavi è certificati, cusì u cliente è u servitore ponu cumunicà automaticamente nantu à TLS 1.3 se i dui supportanu", disse. "Ci hè digià un bonu supportu à u livellu di a biblioteca, è Chrome è Firefox attivanu TLS 1.3 per difettu".
In parallelu, TLS finisce in u gruppu di travagliu IETF , dichjarà e versioni più vechje di TLS (escludendu solu TLS 1.2) obsolete è inutilizabili. Probabilmente, u RFC finali serà liberatu prima di a fine di l'estiu. Questu hè un altru signalu à l'industria IT: l'aghjurnamentu di i protokolli di criptografia ùn deve esse ritardatu.
Una lista di implementazioni attuali di TLS 1.3 hè dispunibule nantu à Github per tutti quelli chì cercanu a biblioteca più adatta: . Hè chjaru chì l'adopzione è u supportu per u protocolu aghjurnatu seranu - è hè digià - prugressu rapidamente. A capiscitura di cumu a criptografia fundamentale hè diventata in u mondu mudernu s'hè diffusa abbastanza largamente.
Chì hè cambiatu da TLS 1.2?
Da :
"Cumu TLS 1.3 face u mondu un locu megliu?
TLS 1.3 include certi vantaghji tecnichi - cum'è un prucessu di handshake simplificatu per stabilisce una cunnessione sicura - è ancu permette à i clienti di ripiglià più rapidamente e sessioni cù i servitori. Queste misure sò destinate à riduce a latenza di l'installazione di a cunnessione è i fallimenti di cunnessione nantu à i ligami debuli, chì sò spessu usati com'è justificazione per furnisce solu cunnessione HTTP senza criptu.
Cume hè impurtante, elimina u supportu per parechji algoritmi di criptografia è hashing legacy è insicuri chì sò sempre permessi (ma micca cunsigliatu) per l'usu cù versioni precedenti di TLS, cumprese SHA-1, MD5, DES, 3DES, è AES-CBC. aghjunghjenu supportu per novi suite di criptu. L'altri migliure includenu elementi più criptati di a stretta di mano (per esempiu, u scambiu di l'infurmazioni di certificatu hè avà criptatu) per riduce a quantità di indizi à un potenziale intercettivu di u trafficu, è ancu megliurenze per trasmette u sicretu quandu si usanu certi modi di scambiu di chjave in modu chì a cumunicazione. in ogni mumentu deve esse sicuru ancu s'è l'algoritmi utilizati per criptà lu sò cumprumessi in u futuru ".
Sviluppu di protokolli muderni è DDoS
Comu pudete avè digià lettu, durante u sviluppu di u protocolu , in u gruppu di travagliu IETF TLS . Avà hè chjaru chì l'imprese individuali (cumprese l'istituzioni finanziarie) anu da cambià a manera di assicurà a so propria rete per accoglie u protokollu avà integratu. .
I motivi per quale questu pò esse dumandatu sò stabiliti in u documentu, . U documentu di 20 pagine cita parechji esempi induve una impresa puderia vulerà decifrare u trafficu fora di banda (chì PFS ùn permette micca) per u monitoraghju, u cumplimentu o l'applicazione (L7) per scopi di prutezzione DDoS.
Mentre ùn simu certamente pronti à speculà nantu à i requisiti regulatori, u nostru pruduttu di mitigazione DDoS proprietariu (cumpresa una soluzione infurmazione sensitiva è / o cunfidenziale) hè stata creata in 2012 tenendu in contu PFS, cusì i nostri clienti è partenarii ùn anu micca bisognu di fà cambiamenti à a so infrastruttura dopu avè aghjurnatu a versione TLS da u latu di u servitore.
Inoltre, dapoi l'implementazione, ùn sò micca stati identificati prublemi ligati à a criptografia di trasportu. Hè ufficiale: TLS 1.3 hè pronta per a produzzione.
Tuttavia, ci hè sempre un prublema assuciatu cù u sviluppu di protokolli di a prossima generazione. U prublema hè chì u prugressu di u protokollu in l'IETF hè tipicamente assai dipendente da a ricerca accademica, è u statu di a ricerca accademica in u campu di mitigazione di attacchi di denial-of-service distribuitu hè dismal.
Dunque, un bon esempiu seria U prughjettu di l'IETF "QUIC Manageability", parte di a prossima suite di protokolli QUIC, dice chì "i metudi muderni per a rilevazione è a mitigazione [attacchi DDoS] generalmente implicanu a misurazione passiva utilizendu dati di flussu di rete".
L'ultimu hè, in fattu, assai raru in l'ambienti di l'impresa reale (è solu parzialmente applicabile à l'ISP), è in ogni casu hè improbabile di esse un "casu generale" in u mondu reale - ma appare constantemente in publicazioni scientifiche, di solitu micca supportatu. testendu u spettru tutale di potenziali attacchi DDoS, cumpresi attacchi à livellu di applicazione. L'ultime, per almenu a implementazione mundiale di TLS, ovviamente ùn pò micca esse rilevata da a misurazione passiva di pacchetti è flussi di rete.
In listessu modu, ùn sapemu ancu cumu i venditori di hardware di mitigazione DDoS si adattaranu à a realità di TLS 1.3. A causa di a cumplessità tecnica di supportà u protocolu fora di banda, pò piglià un pocu di tempu per aghjurnà.
Stabilisce l'ubiettivi ghjusti per guidà a ricerca hè una sfida maiò per i fornitori di servizii di mitigazione DDoS. Un spaziu induve u sviluppu pò principià hè à l'IRTF, induve i circadori ponu collaborà cù l'industria per raffinà a so propria cunniscenza di una industria sfida è scopre novi strade di ricerca. Estendemu ancu un cordiale benvenutu à tutti i circadori, s'ellu ci hè qualcosa - pudemu esse cuntattati cù dumande o suggerimenti riguardanti a ricerca DDoS o u gruppu di ricerca SMART à
Source: www.habr.com