Zu Beginn des Jahres im 2018-2019 Internet Challenges and Accessibility Report
Vorsitzende der IETF TLS-Arbeitsgruppe
„Kurz gesagt, TLS 1.3 sollte die Grundlage für ein sichereres und effizienteres Internet für die nächsten 20 Jahre bilden.“
Entwicklung
Laut Eric Rescorla (Firefox CTO und alleiniger Autor von TLS 1.3)
„Dies ist ein vollständiger Ersatz für TLS 1.2, der dieselben Schlüssel und Zertifikate verwendet, sodass Client und Server automatisch über TLS 1.3 kommunizieren können, wenn beide es unterstützen“, sagte er. „Auf Bibliotheksebene gibt es bereits eine gute Unterstützung, und Chrome und Firefox aktivieren TLS 1.3 standardmäßig.“
Parallel zur IETF Working Group endet TLS
Eine Liste der aktuellen TLS 1.3-Implementierungen ist auf Github für alle verfügbar, die nach der am besten geeigneten Bibliothek suchen:
Was hat sich seit TLS 1.2 geändert?
Von
Wie macht TLS 1.3 die Welt zu einem besseren Ort?
TLS 1.3 bietet bestimmte technische Vorteile – etwa einen vereinfachten Handshake-Prozess zum Aufbau einer sicheren Verbindung – und ermöglicht es Clients außerdem, Sitzungen mit Servern schneller fortzusetzen. Ziel dieser Maßnahmen ist es, die Latenz beim Verbindungsaufbau und die Anzahl fehlgeschlagener Verbindungen auf schwachen Links zu reduzieren, die häufig als Vorwand dafür dienen, nur unverschlüsselte HTTP-Verbindungen bereitzustellen.
Ebenso wichtig ist die Unterstützung mehrerer veralteter und unsicherer Verschlüsselungs- und Hashing-Algorithmen, deren Verwendung mit früheren Versionen von TLS weiterhin zulässig (obwohl nicht empfohlen) ist, darunter SHA-1, MD5, DES, 3DES und AES-CBC entfernt. Gleichzeitig wurde Unterstützung für neue Cipher-Suites hinzugefügt. Weitere Verbesserungen umfassen mehr verschlüsselte Handshake-Elemente (z. B. ist der Austausch von Zertifikatsinformationen jetzt verschlüsselt), um Hinweise auf einen potenziellen Abhörer zu reduzieren, sowie Verbesserungen der Weiterleitungsgeheimhaltung bei der Verwendung bestimmter Schlüsselaustauschmodi, sodass die Kommunikation jederzeit sicher bleiben muss. selbst wenn die zur Verschlüsselung verwendeten Algorithmen in Zukunft kompromittiert werden.“
Entwicklung moderner Protokolle und DDoS
Wie Sie vielleicht gelesen haben, während der Entwicklung des Protokolls
Die Gründe, warum dies erforderlich sein kann, sind im Dokument dargelegt.
Wir sind zwar definitiv nicht bereit, über regulatorische Anforderungen zu spekulieren, aber unser eigenes angewandtes DDoS-Abwehrprodukt (einschließlich
Auch seit der Implementierung wurden keine Probleme im Zusammenhang mit der Transportverschlüsselung festgestellt. Offiziell: TLS 1.3 ist bereit für den Einsatz in der Produktion.
Allerdings gibt es immer noch ein Problem im Zusammenhang mit der Entwicklung von Protokollen der nächsten Generation. Dies liegt daran, dass der Fortschritt bei der Entwicklung von Protokollen in der IETF in der Regel stark von den Ergebnissen der wissenschaftlichen Forschung abhängt und der Stand der akademischen Forschung in der Branche zur Neutralisierung verteilter Denial-of-Service-Angriffe sehr bedauerlich ist.
Ein gutes Beispiel wäre also
Letzteres ist in realen Unternehmensumgebungen tatsächlich sehr selten (und nur teilweise auf ISPs anwendbar) und dürfte in der realen Welt sowieso kein „allgemeiner Fall“ sein – erscheint aber ständig in wissenschaftlichen Veröffentlichungen, die normalerweise nicht unterstützt werden durch Testen des gesamten Spektrums potenzieller DDoS-Angriffe, einschließlich Angriffen auf Anwendungsebene. Letzteres kann, zumindest aufgrund der weltweiten Verbreitung von TLS, durch die passive Messung von Netzwerkpaketen und -flüssen offensichtlich in keiner Weise erkannt werden.
Ebenso wissen wir noch nicht, wie sich Hersteller von DDoS-Abwehrgeräten an die Realität von TLS 1.3 anpassen werden. Aufgrund der technischen Komplexität der Unterstützung des Out-of-Band-Protokolls kann das Upgrade einige Zeit dauern.
Die richtigen Ziele für die Forschungsrichtung festzulegen, ist eine große Herausforderung für Anbieter von DDoS-Abwehrdiensten. Einer der Bereiche, in denen mit der Entwicklung begonnen werden kann, ist −
Source: habr.com