Začátkem roku ve zprávě o problémech a dostupnosti internetu za roky 2018-2019
Předseda pracovní skupiny IETF TLS
"Stručně řečeno, TLS 1.3 by měl poskytnout základ pro bezpečnější a efektivnější internet na příštích 20 let."
Vývoj
Podle Erica Rescorly (CTO Firefoxu a výhradního autora TLS 1.3)
„Toto je kompletní náhrada za TLS 1.2, která používá stejné klíče a certifikáty, takže klient a server mohou automaticky komunikovat přes TLS 1.3, pokud jej oba podporují,“ řekl. "Na úrovni knihovny již existuje dobrá podpora a Chrome a Firefox standardně povolují TLS 1.3."
Paralelně TLS končí v pracovní skupině IETF
Seznam aktuálních implementací TLS 1.3 je k dispozici na Github pro každého, kdo hledá nejvhodnější knihovnu:
Co se změnilo od TLS 1.2?
Z
„Jak TLS 1.3 dělá svět lepším místem?
TLS 1.3 obsahuje určité technické výhody – jako je zjednodušený proces handshake pro navázání zabezpečeného připojení – a také umožňuje klientům rychleji obnovit relace se servery. Tato opatření jsou určena ke snížení latence nastavení připojení a selhání připojení na slabých spojích, které se často používají jako ospravedlnění pro poskytování pouze nešifrovaných připojení HTTP.
Stejně důležité je, že odstraňuje podporu pro několik starších a nezabezpečených šifrovacích a hašovacích algoritmů, které jsou stále povoleny (ačkoli se nedoporučují) pro použití s dřívějšími verzemi TLS, včetně SHA-1, MD5, DES, 3DES a AES-CBC. přidání podpory pro nové šifrovací sady. Mezi další vylepšení patří více šifrovaných prvků handshake (například výměna informací o certifikátu je nyní šifrována), aby se snížilo množství vodítek k potenciálnímu odposlechu provozu, a také vylepšení předávání utajení při použití určitých režimů výměny klíčů, takže komunikace musí vždy zůstat v bezpečí, i když algoritmy používané k šifrování budou v budoucnu kompromitovány.“
Vývoj moderních protokolů a DDoS
Jak jste si již mohli přečíst, během vývoje protokolu
Důvody, proč to může být požadováno, jsou uvedeny v dokumentu,
I když rozhodně nejsme připraveni spekulovat o regulačních požadavcích, naše proprietární aplikace DDoS zmírňující produkt (včetně řešení
Od implementace také nebyly identifikovány žádné problémy související s transportním šifrováním. Je to oficiální: TLS 1.3 je připraven k výrobě.
Stále však existuje problém spojený s vývojem protokolů nové generace. Problém je v tom, že pokrok v protokolech v IETF je typicky silně závislý na akademickém výzkumu a stav akademického výzkumu v oblasti zmírňování distribuovaných útoků denial-of-service je tristní.
Takže dobrý příklad by byl
To druhé je ve skutečnosti velmi vzácné v reálném podnikovém prostředí (a pouze částečně použitelné pro ISP) a v žádném případě je nepravděpodobné, že by šlo o „obecný případ“ v reálném světě – ale neustále se objevuje ve vědeckých publikacích, obvykle nepodporovaných. testováním celého spektra potenciálních DDoS útoků, včetně útoků na aplikační úrovni. To druhé vzhledem k alespoň celosvětovému nasazení TLS evidentně nelze pasivním měřením síťových paketů a toků detekovat.
Stejně tak zatím nevíme, jak se dodavatelé hardwaru pro zmírnění DDoS přizpůsobí realitě TLS 1.3. Vzhledem k technické složitosti podpory protokolu mimo pásmo může upgrade nějakou dobu trvat.
Stanovení správných cílů pro vedení výzkumu je pro poskytovatele služeb zmírňování DDoS velkou výzvou. Jednou z oblastí, kde může vývoj začít, je
Zdroj: www.habr.com