Komence de la jaro, en raporto pri interretaj problemoj kaj alirebleco por 2018-2019
IETF TLS Laborgrupo-Prezidoj
"Mallonge, TLS 1.3 devus provizi la fundamenton por pli sekura kaj efika Interreto dum la venontaj 20 jaroj."
Disvolviĝo
Laŭ Eric Rescorla (Firefox CTO kaj sola aŭtoro de TLS 1.3)
"Ĉi tio estas kompleta anstataŭaĵo por TLS 1.2, uzante la samajn ŝlosilojn kaj atestojn, do la kliento kaj servilo povas aŭtomate komuniki per TLS 1.3 se ili ambaŭ subtenas ĝin," li diris. "Ekzistas jam bona subteno ĉe la biblioteka nivelo, kaj Chrome kaj Fajrovulpo ebligas TLS 1.3 defaŭlte."
Paralele, TLS finiĝas en la laborgrupo de IETF
Listo de aktualaj TLS 1.3-efektivigoj haveblas ĉe Github por ĉiuj, kiuj serĉas la plej taŭgan bibliotekon:
Kio ŝanĝiĝis ekde TLS 1.2?
De
"Kiel TLS 1.3 faras la mondon pli bona loko?
TLS 1.3 inkluzivas iujn teknikajn avantaĝojn - kiel simpligitan manpremon por establi sekuran konekton - kaj ankaŭ permesas al klientoj pli rapide rekomenci sesiojn kun serviloj. Ĉi tiuj mezuroj celas redukti latentecon de konekto-agordo kaj konekto-malsukcesoj sur malfortaj ligiloj, kiuj ofte estas uzataj kiel pravigo por provizi nur neĉifritajn HTTP-ligojn.
Same grave, ĝi forigas subtenon por pluraj heredaj kaj nesekuraj ĉifrado kaj hashing algoritmoj kiuj ankoraŭ estas permesitaj (kvankam ne rekomenditaj) por uzi kun pli fruaj versioj de TLS, inkluzive de SHA-1, MD5, DES, 3DES, kaj AES-CBC. aldonante subtenon por novaj ĉifroj. Aliaj plibonigoj inkludas pli ĉifritajn elementojn de la manpremo (ekzemple, la interŝanĝo de atestilinformoj nun estas ĉifrita) por redukti la kvanton de indicoj al ebla trafika subaŭskultanto, same kiel plibonigoj por plusendi sekretecon dum uzado de certaj ŝlosilaj interŝanĝoreĝimoj tiel ke komunikado ĉiam devas resti sekura eĉ se la algoritmoj uzataj por ĉifri ĝin estas endanĝerigitaj en la estonteco."
Evoluo de modernaj protokoloj kaj DDoS
Kiel vi eble jam legis, dum la disvolviĝo de la protokolo
La kialoj, kial tio povas esti postulata, estas prezentitaj en la dokumento,
Kvankam ni certe ne pretas konjekti pri reguligaj postuloj, nia proprieta aplikaĵa DDoS mildiga produkto (inkluzive de solvo
Ankaŭ, ekde la efektivigo, neniuj problemoj ligitaj al transporta ĉifrado estis identigitaj. Ĝi estas oficiala: TLS 1.3 estas preta por produktado.
Tamen, ekzistas ankoraŭ problemo asociita kun la evoluo de venontgeneraciaj protokoloj. La problemo estas, ke protokola progreso en la IETF estas tipe tre dependa de akademia esplorado, kaj la stato de akademia esplorado en la kampo de mildigado de distribuitaj ne-de-servo-atakoj estas malgaja.
Do, bona ekzemplo estus
Ĉi-lasta estas, fakte, tre malofta en realaj entreprenaj medioj (kaj nur parte aplikebla al ISP-oj), kaj ĉiukaze verŝajne ne estos "ĝenerala kazo" en la reala mondo - sed aperas konstante en sciencaj publikaĵoj, kutime ne subtenataj. provante la tutan spektron de eblaj DDoS-atakoj, inkluzive de aplikaj nivelaj atakoj. Ĉi-lasta, pro almenaŭ la tutmonda deplojo de TLS, evidente ne povas esti detektita per pasiva mezurado de retpakoj kaj fluoj.
Same, ni ankoraŭ ne scias kiel DDoS mildiga aparataro vendistoj adaptos al la realaĵoj de TLS 1.3. Pro la teknika komplekseco de subtenado de la ekster-grupa protokolo, la ĝisdatigo povas daŭri iom da tempo.
Fiksi la ĝustajn celojn por gvidi esploradon estas grava defio por provizantoj de DDoS-mildigaj servoj. Unu areo kie evoluo povas komenci estas
fonto: www.habr.com