I begyndelsen af året i en rapport om internetproblemer og tilgængelighed for 2018-2019
IETF TLS arbejdsgruppeformænd
"Kort sagt burde TLS 1.3 danne grundlaget for et mere sikkert og effektivt internet i de næste 20 år."
design
Ifølge Eric Rescorla (Firefox CTO og eneste forfatter til TLS 1.3)
"Dette er en komplet erstatning for TLS 1.2, der bruger de samme nøgler og certifikater, så klienten og serveren automatisk kan kommunikere over TLS 1.3, hvis de begge understøtter det," sagde han. "Der er allerede god support på biblioteksniveau, og Chrome og Firefox aktiverer TLS 1.3 som standard."
Sideløbende slutter TLS i IETF-arbejdsgruppen
En liste over aktuelle TLS 1.3-implementeringer er tilgængelig på Github for alle, der leder efter det bedst egnede bibliotek:
Hvad har ændret sig siden TLS 1.2?
Af
“Hvordan gør TLS 1.3 verden til et bedre sted?
TLS 1.3 indeholder visse tekniske fordele – såsom en forenklet handshake-proces for at etablere en sikker forbindelse – og giver også klienter mulighed for hurtigere at genoptage sessioner med servere. Disse foranstaltninger er beregnet til at reducere forbindelsesopsætningsforsinkelse og forbindelsesfejl på svage links, som ofte bruges som begrundelse for kun at levere ukrypterede HTTP-forbindelser.
Lige så vigtigt er det, at det fjerner understøttelse af flere ældre og usikre kryptering og hashing-algoritmer, der stadig er tilladt (dog ikke anbefalet) til brug med tidligere versioner af TLS, herunder SHA-1, MD5, DES, 3DES og AES-CBC. tilføjelse af understøttelse af nye krypteringspakker. Andre forbedringer omfatter flere krypterede elementer i håndtrykket (for eksempel er udvekslingen af certifikatoplysninger nu krypteret) for at reducere mængden af ledetråde til en potentiel trafikaflytning, samt forbedringer af videresendelseshemmeligheden ved brug af visse nøgleudvekslingstilstande, så kommunikation til enhver tid skal forblive sikker, selvom de algoritmer, der bruges til at kryptere det, kompromitteres i fremtiden."
Udvikling af moderne protokoller og DDoS
Som du måske allerede har læst, under udviklingen af protokollen
Årsagerne til, at dette kan være påkrævet, er angivet i dokumentet,
Selvom vi bestemt ikke er parate til at spekulere i regulatoriske krav, er vores proprietære applikation DDoS-reduktionsprodukt (inklusive en løsning
Siden implementeringen er der heller ikke identificeret problemer relateret til transportkryptering. Det er officielt: TLS 1.3 er klar til produktion.
Der er dog stadig et problem forbundet med udviklingen af næste generations protokoller. Problemet er, at protokolfremskridt i IETF typisk er stærkt afhængigt af akademisk forskning, og akademisk forskning inden for feltet af afbødning af distribuerede denial-of-service-angreb er dyster.
Så et godt eksempel ville være
Sidstnævnte er faktisk meget sjældent i virkelige virksomhedsmiljøer (og kun delvist anvendeligt for internetudbydere), og det er under alle omstændigheder usandsynligt, at det er et "generelt tilfælde" i den virkelige verden - men optræder konstant i videnskabelige publikationer, som normalt ikke understøttes ved at teste hele spektret af potentielle DDoS-angreb, inklusive angreb på applikationsniveau. Sidstnævnte, på grund af i det mindste den verdensomspændende udrulning af TLS, kan naturligvis ikke detekteres ved passiv måling af netværkspakker og flows.
Ligeledes ved vi endnu ikke, hvordan DDoS-reducerende hardwareleverandører vil tilpasse sig virkeligheden i TLS 1.3. På grund af den tekniske kompleksitet ved at understøtte out-of-band-protokollen, kan opgraderingen tage noget tid.
At sætte de rigtige mål til at guide forskning er en stor udfordring for DDoS-reduktionstjenesteudbydere. Et område, hvor udviklingen kan begynde, er
Kilde: www.habr.com