I begyndelsen af året i en rapport om internetproblemer og tilgængelighed for 2018-2019 at udbredelsen af TLS 1.3 er uundgåelig. For nogen tid siden implementerede vi selv version 1.3 af Transport Layer Security-protokollen, og efter at have indsamlet og analyseret data, er vi endelig klar til at tale om funktionerne i denne overgang.
IETF TLS arbejdsgruppeformænd :
"Kort sagt burde TLS 1.3 danne grundlaget for et mere sikkert og effektivt internet i de næste 20 år."
design tog 10 lange år. Vi hos Qrator Labs har sammen med resten af industrien fulgt protokoloprettelsesprocessen tæt fra det første udkast. I løbet af denne tid var det nødvendigt at skrive 28 på hinanden følgende versioner af udkastet for i sidste ende at se lyset af en afbalanceret og nem at implementere protokol i 2019. Den aktive markedsunderstøttelse af TLS 1.3 er allerede tydelig: Implementeringen af en gennemprøvet og pålidelig sikkerhedsprotokol opfylder tidens behov.
Ifølge Eric Rescorla (Firefox CTO og eneste forfatter til TLS 1.3) :
"Dette er en komplet erstatning for TLS 1.2, der bruger de samme nøgler og certifikater, så klienten og serveren automatisk kan kommunikere over TLS 1.3, hvis de begge understøtter det," sagde han. "Der er allerede god support på biblioteksniveau, og Chrome og Firefox aktiverer TLS 1.3 som standard."
Sideløbende slutter TLS i IETF-arbejdsgruppen , der erklærer ældre versioner af TLS (kun med undtagelse af TLS 1.2) for forældede og ubrugelige. Mest sandsynligt vil den endelige RFC blive frigivet inden udgangen af sommeren. Dette er endnu et signal til it-branchen: opdatering af krypteringsprotokoller bør ikke forsinkes.
En liste over aktuelle TLS 1.3-implementeringer er tilgængelig på Github for alle, der leder efter det bedst egnede bibliotek: . Det er klart, at vedtagelsen og understøttelsen af den opdaterede protokol vil være – og allerede er – i hurtig fremskridt. Forståelsen af, hvordan grundlæggende kryptering er blevet i den moderne verden, har spredt sig ganske bredt.
Hvad har ændret sig siden TLS 1.2?
Af :
“Hvordan gør TLS 1.3 verden til et bedre sted?
TLS 1.3 indeholder visse tekniske fordele – såsom en forenklet handshake-proces for at etablere en sikker forbindelse – og giver også klienter mulighed for hurtigere at genoptage sessioner med servere. Disse foranstaltninger er beregnet til at reducere forbindelsesopsætningsforsinkelse og forbindelsesfejl på svage links, som ofte bruges som begrundelse for kun at levere ukrypterede HTTP-forbindelser.
Lige så vigtigt er det, at det fjerner understøttelse af flere ældre og usikre kryptering og hashing-algoritmer, der stadig er tilladt (dog ikke anbefalet) til brug med tidligere versioner af TLS, herunder SHA-1, MD5, DES, 3DES og AES-CBC. tilføjelse af understøttelse af nye krypteringspakker. Andre forbedringer omfatter flere krypterede elementer i håndtrykket (for eksempel er udvekslingen af certifikatoplysninger nu krypteret) for at reducere mængden af ledetråde til en potentiel trafikaflytning, samt forbedringer af videresendelseshemmeligheden ved brug af visse nøgleudvekslingstilstande, så kommunikation til enhver tid skal forblive sikker, selvom de algoritmer, der bruges til at kryptere det, kompromitteres i fremtiden."
Udvikling af moderne protokoller og DDoS
Som du måske allerede har læst, under udviklingen af protokollen , i IETF TLS-arbejdsgruppen . Det er nu klart, at individuelle virksomheder (inklusive finansielle institutioner) bliver nødt til at ændre måden, de sikrer deres eget netværk på for at imødekomme protokollens nu indbyggede .
Årsagerne til, at dette kan være påkrævet, er angivet i dokumentet, . Det 20 sider lange papir nævner adskillige eksempler, hvor en virksomhed måske ønsker at dekryptere out-of-band-trafik (hvilket PFS ikke tillader) til overvågning, overholdelse eller applikationslag (L7) DDoS-beskyttelsesformål.
Selvom vi bestemt ikke er parate til at spekulere i regulatoriske krav, er vores proprietære applikation DDoS-reduktionsprodukt (inklusive en løsning følsomme og/eller fortrolige oplysninger) blev oprettet i 2012 under hensyntagen til PFS, så vores kunder og partnere behøvede ikke at foretage ændringer i deres infrastruktur efter opdatering af TLS-versionen på serversiden.
Siden implementeringen er der heller ikke identificeret problemer relateret til transportkryptering. Det er officielt: TLS 1.3 er klar til produktion.
Der er dog stadig et problem forbundet med udviklingen af næste generations protokoller. Problemet er, at protokolfremskridt i IETF typisk er stærkt afhængigt af akademisk forskning, og akademisk forskning inden for feltet af afbødning af distribuerede denial-of-service-angreb er dyster.
Så et godt eksempel ville være IETF-udkastet "QUIC Manageability", en del af den kommende QUIC-protokolsuite, siger, at "moderne metoder til at detektere og afbøde [DDoS-angreb] typisk involverer passiv måling ved hjælp af netværksflowdata."
Sidstnævnte er faktisk meget sjældent i virkelige virksomhedsmiljøer (og kun delvist anvendeligt for internetudbydere), og det er under alle omstændigheder usandsynligt, at det er et "generelt tilfælde" i den virkelige verden - men optræder konstant i videnskabelige publikationer, som normalt ikke understøttes ved at teste hele spektret af potentielle DDoS-angreb, inklusive angreb på applikationsniveau. Sidstnævnte, på grund af i det mindste den verdensomspændende udrulning af TLS, kan naturligvis ikke detekteres ved passiv måling af netværkspakker og flows.
Ligeledes ved vi endnu ikke, hvordan DDoS-reducerende hardwareleverandører vil tilpasse sig virkeligheden i TLS 1.3. På grund af den tekniske kompleksitet ved at understøtte out-of-band-protokollen, kan opgraderingen tage noget tid.
At sætte de rigtige mål til at guide forskning er en stor udfordring for DDoS-reduktionstjenesteudbydere. Et område, hvor udviklingen kan begynde, er på IRTF, hvor forskere kan samarbejde med industrien for at forfine deres egen viden om en udfordrende industri og udforske nye forskningsmuligheder. Vi byder også hjertelig velkommen til alle forskere, hvis der skulle være nogen - vi kan kontaktes med spørgsmål eller forslag relateret til DDoS-forskning eller SMART-forskningsgruppen på
Kilde: www.habr.com