Στις αρχές του έτους, σε έκθεση για προβλήματα Διαδικτύου και προσβασιμότητα για το 2018-2019
Πρόεδροι ομάδων εργασίας IETF TLS
«Εν ολίγοις, το TLS 1.3 θα πρέπει να παρέχει τα θεμέλια για ένα πιο ασφαλές και αποτελεσματικό Διαδίκτυο για τα επόμενα 20 χρόνια».
Ανάπτυξη
Σύμφωνα με τον Eric Rescorla (CTO του Firefox και μοναδικός συγγραφέας του TLS 1.3)
"Αυτή είναι μια πλήρης αντικατάσταση του TLS 1.2, χρησιμοποιώντας τα ίδια κλειδιά και πιστοποιητικά, έτσι ώστε ο πελάτης και ο διακομιστής να μπορούν να επικοινωνούν αυτόματα μέσω του TLS 1.3 εάν το υποστηρίζουν και οι δύο", είπε. "Υπάρχει ήδη καλή υποστήριξη σε επίπεδο βιβλιοθήκης και ο Chrome και ο Firefox ενεργοποιούν το TLS 1.3 από προεπιλογή."
Παράλληλα, το TLS τελειώνει στην ομάδα εργασίας του IETF
Μια λίστα με τις τρέχουσες υλοποιήσεις TLS 1.3 είναι διαθέσιμη στο Github για όποιον αναζητά την καταλληλότερη βιβλιοθήκη:
Τι έχει αλλάξει από το TLS 1.2;
από
«Πώς το TLS 1.3 κάνει τον κόσμο καλύτερο;
Το TLS 1.3 περιλαμβάνει ορισμένα τεχνικά πλεονεκτήματα—όπως μια απλοποιημένη διαδικασία χειραψίας για τη δημιουργία ασφαλούς σύνδεσης—και επίσης επιτρέπει στους πελάτες να συνεχίσουν πιο γρήγορα τις συνεδρίες με διακομιστές. Αυτά τα μέτρα αποσκοπούν στη μείωση του λανθάνοντος χρόνου εγκατάστασης σύνδεσης και των αποτυχιών σύνδεσης σε αδύναμες συνδέσεις, οι οποίες συχνά χρησιμοποιούνται ως δικαιολογία για την παροχή μόνο μη κρυπτογραφημένων συνδέσεων HTTP.
Εξίσου σημαντικό, καταργεί την υποστήριξη για αρκετούς αλγόριθμους κρυπτογράφησης και κατακερματισμού παλαιού τύπου και μη ασφαλούς που εξακολουθούν να επιτρέπονται (αν και δεν συνιστάται) για χρήση με προηγούμενες εκδόσεις του TLS, συμπεριλαμβανομένων των SHA-1, MD5, DES, 3DES και AES-CBC. προσθήκη υποστήριξης για νέες σουίτες κρυπτογράφησης. Άλλες βελτιώσεις περιλαμβάνουν πιο κρυπτογραφημένα στοιχεία της χειραψίας (για παράδειγμα, η ανταλλαγή πληροφοριών πιστοποιητικού είναι πλέον κρυπτογραφημένη) για να μειωθεί ο αριθμός των ενδείξεων για έναν πιθανό υποκλοπή κυκλοφορίας, καθώς και βελτιώσεις για την προώθηση του απορρήτου κατά τη χρήση ορισμένων τρόπων ανταλλαγής κλειδιών, έτσι ώστε η επικοινωνία πρέπει ανά πάσα στιγμή να παραμένει ασφαλής, ακόμα κι αν οι αλγόριθμοι που χρησιμοποιούνται για την κρυπτογράφηση παραβιαστούν στο μέλλον.»
Ανάπτυξη σύγχρονων πρωτοκόλλων και DDoS
Όπως ίσως έχετε ήδη διαβάσει, κατά την ανάπτυξη του πρωτοκόλλου
Οι λόγοι για τους οποίους μπορεί να απαιτείται αυτό αναφέρονται στο έγγραφο,
Αν και σίγουρα δεν είμαστε έτοιμοι να κάνουμε εικασίες σχετικά με τις ρυθμιστικές απαιτήσεις, το αποκλειστικό προϊόν μετριασμού DDoS της εφαρμογής μας (συμπεριλαμβανομένης μιας λύσης
Επίσης, από την υλοποίηση, δεν έχουν εντοπιστεί προβλήματα σχετικά με την κρυπτογράφηση μεταφοράς. Είναι επίσημο: Το TLS 1.3 είναι έτοιμο για παραγωγή.
Ωστόσο, εξακολουθεί να υπάρχει ένα πρόβλημα που σχετίζεται με την ανάπτυξη πρωτοκόλλων επόμενης γενιάς. Το πρόβλημα είναι ότι η πρόοδος του πρωτοκόλλου στο IETF συνήθως εξαρτάται σε μεγάλο βαθμό από την ακαδημαϊκή έρευνα και η κατάσταση της ακαδημαϊκής έρευνας στον τομέα του μετριασμού των κατανεμημένων επιθέσεων άρνησης υπηρεσίας είναι θλιβερή.
Έτσι, ένα καλό παράδειγμα θα ήταν
Το τελευταίο είναι, στην πραγματικότητα, πολύ σπάνιο σε πραγματικά εταιρικά περιβάλλοντα (και μόνο εν μέρει ισχύει για τους ISP) και σε κάθε περίπτωση είναι απίθανο να είναι μια «γενική περίπτωση» στον πραγματικό κόσμο - αλλά εμφανίζεται συνεχώς σε επιστημονικές δημοσιεύσεις, συνήθως δεν υποστηρίζεται δοκιμάζοντας ολόκληρο το φάσμα των πιθανών επιθέσεων DDoS, συμπεριλαμβανομένων των επιθέσεων σε επίπεδο εφαρμογής. Το τελευταίο, λόγω τουλάχιστον της παγκόσμιας ανάπτυξης του TLS, προφανώς δεν μπορεί να εντοπιστεί με παθητική μέτρηση πακέτων και ροών δικτύου.
Ομοίως, δεν γνωρίζουμε ακόμη πώς οι προμηθευτές υλικού μετριασμού DDoS θα προσαρμοστούν στην πραγματικότητα του TLS 1.3. Λόγω της τεχνικής πολυπλοκότητας της υποστήριξης του πρωτοκόλλου εκτός ζώνης, η αναβάθμιση μπορεί να διαρκέσει κάποιο χρόνο.
Ο καθορισμός των σωστών στόχων για την καθοδήγηση της έρευνας είναι μια σημαντική πρόκληση για τους παρόχους υπηρεσιών μετριασμού DDoS. Ένας τομέας όπου μπορεί να ξεκινήσει η ανάπτυξη είναι
Πηγή: www.habr.com