Vuoden alussa raportissa Internet-ongelmista ja saavutettavuudesta vuosille 2018-2019 että TLS 1.3:n leviäminen on väistämätöntä. Jokin aika sitten otimme itse käyttöön Transport Layer Security -protokollan version 1.3, ja tiedonkeruun ja -analyysin jälkeen olemme vihdoin valmiita puhumaan tämän siirtymän ominaisuuksista.
IETF TLS -työryhmän puheenjohtajat :
"Lyhyesti sanottuna TLS 1.3:n pitäisi tarjota perusta turvallisemmalle ja tehokkaammalle Internetille seuraavien 20 vuoden ajan."
suunnittelu kesti 10 pitkää vuotta. Me Qrator Labsissa yhdessä muun alan kanssa olemme seuranneet tiiviisti protokollan luontiprosessia alkuperäisestä luonnoksesta lähtien. Tänä aikana luonnoksesta piti kirjoittaa 28 peräkkäistä versiota, jotta lopulta näkisi tasapainoisen ja helposti käyttöön otettavan protokollan valon vuonna 2019. Aktiivinen markkinatuki TLS 1.3:lle on jo ilmeinen: hyväksi todetun ja luotettavan suojausprotokollan käyttöönotto vastaa ajan tarpeita.
Eric Rescorlan (Firefoxin teknologiajohtaja ja TLS 1.3:n ainoa kirjoittaja) mukaan :
"Tämä korvaa täydellisesti TLS 1.2:n ja käyttää samoja avaimia ja varmenteita, joten asiakas ja palvelin voivat kommunikoida automaattisesti TLS 1.3:n kautta, jos molemmat tukevat sitä", hän sanoi. "Kirjastotasolla on jo hyvä tuki, ja Chrome ja Firefox mahdollistavat TLS 1.3:n oletuksena."
Samanaikaisesti TLS päättyy IETF-työryhmään , joka julistaa TLS:n vanhemmat versiot (pois lukien vain TLS 1.2) vanhentuneiksi ja käyttökelvottomiksi. Todennäköisesti lopullinen RFC julkaistaan ennen kesän loppua. Tämä on toinen signaali IT-alalle: salausprotokollien päivittämistä ei pidä viivyttää.
Luettelo nykyisistä TLS 1.3 -toteutuksista on saatavilla Githubissa kaikille, jotka etsivät sopivinta kirjastoa: . On selvää, että päivitetyn protokollan käyttöönotto ja tuki etenevät – ja jo nyt – nopeasti. Ymmärrys siitä, kuinka perustavanlaatuinen salaus on tullut nykymaailmassa, on levinnyt melko laajalle.
Mikä on muuttunut TLS 1.2:n jälkeen?
Ja :
"Miten TLS 1.3 tekee maailmasta paremman paikan?
TLS 1.3 sisältää tiettyjä teknisiä etuja – kuten yksinkertaistetun kättelyprosessin suojatun yhteyden muodostamiseksi – ja mahdollistaa myös asiakkaiden nopeamman jatkaa istuntoja palvelimien kanssa. Näiden toimenpiteiden tarkoituksena on vähentää yhteyden määritysviivettä ja heikkojen linkkien yhteyshäiriöitä, joita käytetään usein perusteena vain salaamattomien HTTP-yhteyksien tarjoamiselle.
Yhtä tärkeää on se, että se poistaa tuen useille vanhoille ja epävarmoille salaus- ja hajautusalgoritmeille, jotka ovat edelleen sallittuja (joskaan ei suositella) käytettäväksi aiempien TLS-versioiden kanssa, mukaan lukien SHA-1, MD5, DES, 3DES ja AES-CBC. tuen lisääminen uusille salausohjelmistoille. Muita parannuksia ovat kädenpuristuksen salatut elementit (esimerkiksi varmennetietojen vaihto on nyt salattu), jotta mahdolliselle liikenteen salakuuntelijalle jäävien vihjeiden määrää vähennetään, sekä parannuksia edelleensalaisuuteen käytettäessä tiettyjä avaimenvaihtotiloja, jotta viestintä on aina pysyttävä turvassa, vaikka salaamiseen käytetyt algoritmit vaarantuisivat tulevaisuudessa."
Nykyaikaisten protokollien ja DDoS:n kehittäminen
Kuten olet ehkä jo lukenut, protokollaa kehitettäessä , IETF TLS -työryhmässä . Nyt on selvää, että yksittäisten yritysten (mukaan lukien rahoituslaitokset) on muutettava tapaa, jolla ne suojaavat omaa verkkoaan voidakseen ottaa huomioon protokollan nyt sisäänrakennetun .
Syyt, miksi tätä voidaan vaatia, esitetään asiakirjassa, . 20-sivuisessa paperissa mainitaan useita esimerkkejä, joissa yritys saattaa haluta purkaa kaistan ulkopuolisen liikenteen salaus (mitä PFS ei salli) valvontaa, vaatimustenmukaisuutta tai sovelluskerroksen (L7) DDoS-suojaustarkoituksiin.
Vaikka emme todellakaan ole valmiita spekuloimaan lakisääteisillä vaatimuksilla, meidän patentoitu DDoS-lievennystuotteemme (mukaan lukien ratkaisu arkaluonteiset ja/tai luottamukselliset tiedot) luotiin vuonna 2012 PFS huomioiden, joten asiakkaidemme ja yhteistyökumppaneidemme ei tarvinnut tehdä muutoksia infrastruktuuriinsa palvelinpuolen TLS-version päivittämisen jälkeen.
Toteutuksen jälkeen ei myöskään ole havaittu kuljetuksen salaukseen liittyviä ongelmia. Se on virallista: TLS 1.3 on valmis tuotantoon.
Seuraavan sukupolven protokollien kehittämiseen liittyy kuitenkin edelleen ongelma. Ongelmana on, että protokollan edistyminen IETF:ssä on tyypillisesti vahvasti riippuvainen akateemisesta tutkimuksesta, ja akateemisen tutkimuksen tilanne hajautettujen palvelunestohyökkäysten lieventämisen alalla on surkea.
Eli hyvä esimerkki olisi IETF:n luonnos "QUIC Manageability", joka on osa tulevaa QUIC-protokollapakettia, sanoo, että "modernit menetelmät [DDoS-hyökkäysten] havaitsemiseen ja lieventämiseen sisältävät tyypillisesti passiivisen mittauksen käyttämällä verkkovirtatietoja."
Jälkimmäinen on itse asiassa hyvin harvinainen todellisissa yritysympäristöissä (ja vain osittain sovellettavissa Internet-palveluntarjoajiin), ja joka tapauksessa se ei todennäköisesti ole "yleinen tapaus" todellisessa maailmassa - mutta sitä esiintyy jatkuvasti tieteellisissä julkaisuissa, yleensä sitä ei tueta. testaamalla kaikkia mahdollisia DDoS-hyökkäyksiä, mukaan lukien sovellustason hyökkäykset. Jälkimmäistä, ainakin TLS:n maailmanlaajuisen käyttöönoton vuoksi, ei tietenkään voida havaita verkkopakettien ja -virtojen passiivisella mittauksella.
Emme myöskään vielä tiedä, kuinka DDoS:n lieventämislaitteistojen toimittajat mukautuvat TLS 1.3:n todellisuuteen. Out-of-band-protokollan tukemisen teknisen monimutkaisuuden vuoksi päivitys voi kestää jonkin aikaa.
Oikeiden tavoitteiden asettaminen ohjaamaan tutkimusta on suuri haaste DDoS-mittauspalvelujen tarjoajille. Yksi alue, josta kehitys voi alkaa, on IRTF:ssä, jossa tutkijat voivat tehdä yhteistyötä teollisuuden kanssa jalostaakseen omaa tietämystään haastavasta toimialasta ja tutkiakseen uusia tutkimusmahdollisuuksia. Toivotamme myös kaikki tutkijat lämpimästi tervetulleiksi, mikäli niitä on - meihin voi ottaa yhteyttä DDoS-tutkimukseen tai SMART-tutkimusryhmään liittyvillä kysymyksillä tai ehdotuksilla osoitteessa
Lähde: will.com