A principios de año, en un informe sobre los problemas y la accesibilidad de Internet para 2018-2019
Presidentes del grupo de trabajo IETF TLS
"En resumen, TLS 1.3 debería sentar las bases para una Internet más segura y eficiente durante los próximos 20 años".
Desarrollo
Según Eric Rescorla (CTO de Firefox y único autor de TLS 1.3)
"Este es un reemplazo completo para TLS 1.2, usando las mismas claves y certificados, por lo que el cliente y el servidor pueden comunicarse automáticamente a través de TLS 1.3 si ambos lo admiten", dijo. "Ya existe un buen soporte a nivel de biblioteca, y Chrome y Firefox habilitan TLS 1.3 de forma predeterminada".
Paralelamente, TLS finaliza en el grupo de trabajo del IETF
Una lista de implementaciones actuales de TLS 1.3 está disponible en Github para cualquiera que busque la biblioteca más adecuada:
¿Qué ha cambiado desde TLS 1.2?
de
“¿Cómo TLS 1.3 hace del mundo un lugar mejor?
TLS 1.3 incluye ciertas ventajas técnicas, como un proceso de protocolo de enlace simplificado para establecer una conexión segura, y también permite a los clientes reanudar más rápidamente las sesiones con los servidores. Estas medidas tienen como objetivo reducir la latencia de configuración de la conexión y los fallos de conexión en enlaces débiles, que a menudo se utilizan como justificación para proporcionar únicamente conexiones HTTP no cifradas.
Igual de importante es que elimina la compatibilidad con varios algoritmos de cifrado y hash heredados e inseguros que todavía están permitidos (aunque no recomendados) para su uso con versiones anteriores de TLS, incluidos SHA-1, MD5, DES, 3DES y AES-CBC. agregando soporte para nuevos conjuntos de cifrado. Otras mejoras incluyen más elementos cifrados del protocolo de enlace (por ejemplo, el intercambio de información del certificado ahora está cifrado) para reducir la cantidad de pistas para un potencial espía de tráfico, así como mejoras para reenviar el secreto cuando se utilizan ciertos modos de intercambio de claves para que la comunicación debe permanecer seguro en todo momento, incluso si los algoritmos utilizados para cifrarlo se ven comprometidos en el futuro”.
Desarrollo de protocolos modernos y DDoS.
Como ya habrás leído, durante el desarrollo del protocolo
Las razones por las que esto puede ser necesario se establecen en el documento,
Si bien no estamos preparados para especular sobre los requisitos regulatorios, nuestra aplicación patentada de producto de mitigación de DDoS (que incluye una solución
Además, desde la implementación, no se han identificado problemas relacionados con el cifrado del transporte. Es oficial: TLS 1.3 está listo para producción.
Sin embargo, todavía existe un problema asociado con el desarrollo de protocolos de próxima generación. El problema es que el progreso del protocolo en el IETF suele depender en gran medida de la investigación académica, y el estado de la investigación académica en el campo de la mitigación de ataques distribuidos de denegación de servicio es deprimente.
Entonces, un buen ejemplo sería
De hecho, esto último es muy raro en entornos empresariales reales (y sólo parcialmente aplicable a los ISP) y, en cualquier caso, es poco probable que sea un "caso general" en el mundo real, pero aparece constantemente en publicaciones científicas, generalmente sin respaldo. probando todo el espectro de posibles ataques DDoS, incluidos los ataques a nivel de aplicación. Esto último, debido al menos al despliegue mundial de TLS, obviamente no puede detectarse mediante mediciones pasivas de paquetes y flujos de red.
Del mismo modo, todavía no sabemos cómo se adaptarán los proveedores de hardware de mitigación de DDoS a las realidades de TLS 1.3. Debido a la complejidad técnica que supone admitir el protocolo fuera de banda, la actualización puede tardar algún tiempo.
Establecer los objetivos correctos para guiar la investigación es un desafío importante para los proveedores de servicios de mitigación de DDoS. Un área donde puede comenzar el desarrollo es
Fuente: habr.com