A principios de año, en un informe sobre los problemas y la accesibilidad de Internet para 2018-2019 que la propagación de TLS 1.3 es inevitable. Hace algún tiempo, nosotros mismos implementamos la versión 1.3 del protocolo Transport Layer Security y, después de recopilar y analizar datos, finalmente estamos listos para hablar sobre las características de esta transición.
Presidentes del grupo de trabajo IETF TLS :
"En resumen, TLS 1.3 debería sentar las bases para una Internet más segura y eficiente durante los próximos 20 años".
Desarrollo Tomó 10 largos años. Nosotros en Qrator Labs, junto con el resto de la industria, hemos seguido de cerca el proceso de creación del protocolo desde el borrador inicial. Durante este tiempo, fue necesario escribir 28 versiones consecutivas del borrador para finalmente ver la luz en 2019 como un protocolo equilibrado y fácil de implementar. El apoyo activo del mercado para TLS 1.3 ya es evidente: la implementación de un protocolo de seguridad probado y confiable satisface las necesidades de los tiempos.
Según Eric Rescorla (CTO de Firefox y único autor de TLS 1.3) :
"Este es un reemplazo completo para TLS 1.2, usando las mismas claves y certificados, por lo que el cliente y el servidor pueden comunicarse automáticamente a través de TLS 1.3 si ambos lo admiten", dijo. "Ya existe un buen soporte a nivel de biblioteca, y Chrome y Firefox habilitan TLS 1.3 de forma predeterminada".
Paralelamente, TLS finaliza en el grupo de trabajo del IETF , declarando las versiones anteriores de TLS (excluyendo solo TLS 1.2) obsoletas e inutilizables. Lo más probable es que el RFC final se publique antes de que finalice el verano. Esta es otra señal para la industria de TI: la actualización de los protocolos de cifrado no debe retrasarse.
Una lista de implementaciones actuales de TLS 1.3 está disponible en Github para cualquiera que busque la biblioteca más adecuada: . Está claro que la adopción y el apoyo al protocolo actualizado progresarán rápidamente (y ya lo están haciendo). La comprensión de cuán fundamental se ha vuelto el cifrado en el mundo moderno se ha extendido bastante.
¿Qué ha cambiado desde TLS 1.2?
de :
“¿Cómo TLS 1.3 hace del mundo un lugar mejor?
TLS 1.3 incluye ciertas ventajas técnicas, como un proceso de protocolo de enlace simplificado para establecer una conexión segura, y también permite a los clientes reanudar más rápidamente las sesiones con los servidores. Estas medidas tienen como objetivo reducir la latencia de configuración de la conexión y los fallos de conexión en enlaces débiles, que a menudo se utilizan como justificación para proporcionar únicamente conexiones HTTP no cifradas.
Igual de importante es que elimina la compatibilidad con varios algoritmos de cifrado y hash heredados e inseguros que todavía están permitidos (aunque no recomendados) para su uso con versiones anteriores de TLS, incluidos SHA-1, MD5, DES, 3DES y AES-CBC. agregando soporte para nuevos conjuntos de cifrado. Otras mejoras incluyen más elementos cifrados del protocolo de enlace (por ejemplo, el intercambio de información del certificado ahora está cifrado) para reducir la cantidad de pistas para un potencial espía de tráfico, así como mejoras para reenviar el secreto cuando se utilizan ciertos modos de intercambio de claves para que la comunicación debe permanecer seguro en todo momento, incluso si los algoritmos utilizados para cifrarlo se ven comprometidos en el futuro”.
Desarrollo de protocolos modernos y DDoS.
Como ya habrás leído, durante el desarrollo del protocolo , en el grupo de trabajo TLS del IETF . Ahora está claro que las empresas individuales (incluidas las instituciones financieras) tendrán que cambiar la forma en que protegen su propia red para poder adaptarse a las funciones ahora incorporadas del protocolo. .
Las razones por las que esto puede ser necesario se establecen en el documento, . El documento de 20 páginas menciona varios ejemplos en los que una empresa podría querer descifrar el tráfico fuera de banda (que PFS no permite) con fines de monitoreo, cumplimiento o protección DDoS de la capa de aplicación (L7).
Si bien no estamos preparados para especular sobre los requisitos regulatorios, nuestra aplicación patentada de producto de mitigación de DDoS (que incluye una solución información sensible y/o confidencial) fue creado en 2012 teniendo en cuenta PFS, por lo que nuestros clientes y socios no necesitaron realizar ningún cambio en su infraestructura después de actualizar la versión TLS en el lado del servidor.
Además, desde la implementación, no se han identificado problemas relacionados con el cifrado del transporte. Es oficial: TLS 1.3 está listo para producción.
Sin embargo, todavía existe un problema asociado con el desarrollo de protocolos de próxima generación. El problema es que el progreso del protocolo en el IETF suele depender en gran medida de la investigación académica, y el estado de la investigación académica en el campo de la mitigación de ataques distribuidos de denegación de servicio es deprimente.
Entonces, un buen ejemplo sería El borrador del IETF "QUIC Manageability", parte del próximo conjunto de protocolos QUIC, establece que "los métodos modernos para detectar y mitigar [ataques DDoS] normalmente implican mediciones pasivas utilizando datos de flujo de red".
De hecho, esto último es muy raro en entornos empresariales reales (y sólo parcialmente aplicable a los ISP) y, en cualquier caso, es poco probable que sea un "caso general" en el mundo real, pero aparece constantemente en publicaciones científicas, generalmente sin respaldo. probando todo el espectro de posibles ataques DDoS, incluidos los ataques a nivel de aplicación. Esto último, debido al menos al despliegue mundial de TLS, obviamente no puede detectarse mediante mediciones pasivas de paquetes y flujos de red.
Del mismo modo, todavía no sabemos cómo se adaptarán los proveedores de hardware de mitigación de DDoS a las realidades de TLS 1.3. Debido a la complejidad técnica que supone admitir el protocolo fuera de banda, la actualización puede tardar algún tiempo.
Establecer los objetivos correctos para guiar la investigación es un desafío importante para los proveedores de servicios de mitigación de DDoS. Un área donde puede comenzar el desarrollo es en el IRTF, donde los investigadores pueden colaborar con la industria para perfeccionar su propio conocimiento de una industria desafiante y explorar nuevas vías de investigación. También damos una cálida bienvenida a todos los investigadores, en caso de que los haya: podemos contactarnos si tienen preguntas o sugerencias relacionadas con la investigación de DDoS o el grupo de investigación SMART en
Fuente: habr.com