Zu Beginn des Jahres im 2018-2019 Internet Challenges and Accessibility Report dass die Verbreitung von TLS 1.3 unausweichlich ist. Vor einiger Zeit haben wir selbst Version 1.3 des Transport Layer Security-Protokolls bereitgestellt und sind nach dem Sammeln und Analysieren der Daten endlich bereit, über die Merkmale dieses Übergangs zu sprechen.
Vorsitzende der IETF TLS-Arbeitsgruppe :
„Kurz gesagt, TLS 1.3 sollte die Grundlage für ein sichereres und effizienteres Internet für die nächsten 20 Jahre bilden.“
Entwicklung hat 10 lange Jahre gedauert. Wir bei Qrator Labs haben zusammen mit dem Rest der Branche den Prozess der Protokollerstellung vom ersten Entwurf an genau verfolgt. In dieser Zeit mussten 28 aufeinanderfolgende Entwurfsversionen geschrieben werden, um schließlich im Jahr 2019 das Licht der Welt zu erblicken, ein ausgewogenes und einfach bereitzustellendes Protokoll. Die aktive Unterstützung von TLS 1.3 durch den Markt ist bereits jetzt offensichtlich: Die Implementierung eines bewährten und zuverlässigen Sicherheitsprotokolls entspricht den Anforderungen der Zeit.
Laut Eric Rescorla (Firefox CTO und alleiniger Autor von TLS 1.3) :
„Dies ist ein vollständiger Ersatz für TLS 1.2, der dieselben Schlüssel und Zertifikate verwendet, sodass Client und Server automatisch über TLS 1.3 kommunizieren können, wenn beide es unterstützen“, sagte er. „Auf Bibliotheksebene gibt es bereits eine gute Unterstützung, und Chrome und Firefox aktivieren TLS 1.3 standardmäßig.“
Parallel zur IETF Working Group endet TLS ältere Versionen von TLS (außer nur TLS 1.2) als veraltet und unbrauchbar zu erklären. Höchstwahrscheinlich wird der endgültige RFC noch vor Ende des Sommers veröffentlicht. Dies ist ein weiteres Signal der IT-Branche: Die Aktualisierung von Verschlüsselungsprotokollen sollte nicht verschoben werden.
Eine Liste der aktuellen TLS 1.3-Implementierungen ist auf Github für alle verfügbar, die nach der am besten geeigneten Bibliothek suchen: . Es ist klar, dass die Annahme und Unterstützung eines aktualisierten Protokolls schnelle Schritte sein wird und bereits im Gange ist. Das Verständnis dafür, wie grundlegend Verschlüsselung in der modernen Welt geworden ist, hat sich weit verbreitet.
Was hat sich seit TLS 1.2 geändert?
Von :
Wie macht TLS 1.3 die Welt zu einem besseren Ort?
TLS 1.3 bietet bestimmte technische Vorteile – etwa einen vereinfachten Handshake-Prozess zum Aufbau einer sicheren Verbindung – und ermöglicht es Clients außerdem, Sitzungen mit Servern schneller fortzusetzen. Ziel dieser Maßnahmen ist es, die Latenz beim Verbindungsaufbau und die Anzahl fehlgeschlagener Verbindungen auf schwachen Links zu reduzieren, die häufig als Vorwand dafür dienen, nur unverschlüsselte HTTP-Verbindungen bereitzustellen.
Ebenso wichtig ist die Unterstützung mehrerer veralteter und unsicherer Verschlüsselungs- und Hashing-Algorithmen, deren Verwendung mit früheren Versionen von TLS weiterhin zulässig (obwohl nicht empfohlen) ist, darunter SHA-1, MD5, DES, 3DES und AES-CBC entfernt. Gleichzeitig wurde Unterstützung für neue Cipher-Suites hinzugefügt. Weitere Verbesserungen umfassen mehr verschlüsselte Handshake-Elemente (z. B. ist der Austausch von Zertifikatsinformationen jetzt verschlüsselt), um Hinweise auf einen potenziellen Abhörer zu reduzieren, sowie Verbesserungen der Weiterleitungsgeheimhaltung bei der Verwendung bestimmter Schlüsselaustauschmodi, sodass die Kommunikation jederzeit sicher bleiben muss. selbst wenn die zur Verschlüsselung verwendeten Algorithmen in Zukunft kompromittiert werden.“
Entwicklung moderner Protokolle und DDoS
Wie Sie vielleicht gelesen haben, während der Entwicklung des Protokolls , in der IETF TLS-Arbeitsgruppe . Es ist bereits klar, dass einzelne Unternehmen (einschließlich Finanzinstitute) die Art und Weise ändern müssen, wie sie ihr eigenes Netzwerk sichern, um das jetzt integrierte Protokoll zu unterstützen. .
Die Gründe, warum dies erforderlich sein kann, sind im Dokument dargelegt. . Das 20-seitige Papier nennt mehrere Beispiele, bei denen ein Unternehmen möglicherweise Out-of-Band-Verkehr (was PFS nicht zulässt) für Überwachungs-, Compliance- oder Anwendungsschicht-(L7)-DDoS-Schutzzwecke entschlüsseln möchte.
Wir sind zwar definitiv nicht bereit, über regulatorische Anforderungen zu spekulieren, aber unser eigenes angewandtes DDoS-Abwehrprodukt (einschließlich sensible und/oder vertrauliche Informationen) wurde 2012 mit Blick auf PFS erstellt, sodass unsere Kunden und Partner nach der Aktualisierung der TLS-Version auf der Serverseite keine Änderungen an ihrer Infrastruktur vornehmen mussten.
Auch seit der Implementierung wurden keine Probleme im Zusammenhang mit der Transportverschlüsselung festgestellt. Offiziell: TLS 1.3 ist bereit für den Einsatz in der Produktion.
Allerdings gibt es immer noch ein Problem im Zusammenhang mit der Entwicklung von Protokollen der nächsten Generation. Dies liegt daran, dass der Fortschritt bei der Entwicklung von Protokollen in der IETF in der Regel stark von den Ergebnissen der wissenschaftlichen Forschung abhängt und der Stand der akademischen Forschung in der Branche zur Neutralisierung verteilter Denial-of-Service-Angriffe sehr bedauerlich ist.
Ein gutes Beispiel wäre also Der IETF-Entwurf „QUIC Manageability“, der Teil der kommenden QUIC-Protokollsuite ist, besagt, dass „aktuelle Methoden zur Erkennung und Abwehr von [DDoS-Angriffen] typischerweise passive Messungen mithilfe von Netzwerkflussdaten umfassen.“
Letzteres ist in realen Unternehmensumgebungen tatsächlich sehr selten (und nur teilweise auf ISPs anwendbar) und dürfte in der realen Welt sowieso kein „allgemeiner Fall“ sein – erscheint aber ständig in wissenschaftlichen Veröffentlichungen, die normalerweise nicht unterstützt werden durch Testen des gesamten Spektrums potenzieller DDoS-Angriffe, einschließlich Angriffen auf Anwendungsebene. Letzteres kann, zumindest aufgrund der weltweiten Verbreitung von TLS, durch die passive Messung von Netzwerkpaketen und -flüssen offensichtlich in keiner Weise erkannt werden.
Ebenso wissen wir noch nicht, wie sich Hersteller von DDoS-Abwehrgeräten an die Realität von TLS 1.3 anpassen werden. Aufgrund der technischen Komplexität der Unterstützung des Out-of-Band-Protokolls kann das Upgrade einige Zeit dauern.
Die richtigen Ziele für die Forschungsrichtung festzulegen, ist eine große Herausforderung für Anbieter von DDoS-Abwehrdiensten. Einer der Bereiche, in denen mit der Entwicklung begonnen werden kann, ist − am IRTF, wo Forscher mit der Industrie zusammenarbeiten können, um ihr eigenes Wissen über eine problematische Branche zu verfeinern und neue Forschungsbereiche zu erkunden. Wir heißen auch alle Forscher, falls vorhanden, herzlich willkommen – für Fragen oder Anregungen im Zusammenhang mit der DDoS-Forschung oder der SMART Research Group können wir unter kontaktiert werden
Source: habr.com