En début d'année, dans un rapport sur les problèmes et l'accessibilité d'Internet pour 2018-2019
Présidents des groupes de travail TLS de l’IETF
"En bref, TLS 1.3 devrait constituer la base d'un Internet plus sécurisé et plus efficace pour les 20 prochaines années."
Développement
Selon Eric Rescorla (CTO de Firefox et seul auteur de TLS 1.3)
"Il s'agit d'un remplacement complet de TLS 1.2, utilisant les mêmes clés et certificats, de sorte que le client et le serveur peuvent communiquer automatiquement via TLS 1.3 s'ils le prennent tous les deux en charge", a-t-il déclaré. "Il existe déjà un bon support au niveau de la bibliothèque, et Chrome et Firefox activent TLS 1.3 par défaut."
En parallèle, TLS se termine au sein du groupe de travail de l'IETF
Une liste des implémentations actuelles de TLS 1.3 est disponible sur Github pour tous ceux qui recherchent la bibliothèque la plus adaptée :
Qu'est-ce qui a changé depuis TLS 1.2 ?
De
« Comment TLS 1.3 rend-il le monde meilleur ?
TLS 1.3 inclut certains avantages techniques, tels qu'un processus d'établissement de liaison simplifié pour établir une connexion sécurisée, et permet également aux clients de reprendre plus rapidement les sessions avec les serveurs. Ces mesures visent à réduire la latence d'établissement de la connexion et les échecs de connexion sur les liens faibles, qui sont souvent utilisés pour justifier la fourniture uniquement de connexions HTTP non cryptées.
Tout aussi important, il supprime la prise en charge de plusieurs algorithmes de chiffrement et de hachage anciens et non sécurisés qui sont toujours autorisés (bien que non recommandés) pour une utilisation avec les versions antérieures de TLS, notamment SHA-1, MD5, DES, 3DES et AES-CBC. ajout de la prise en charge de nouvelles suites de chiffrement. D'autres améliorations incluent davantage d'éléments cryptés de la négociation (par exemple, l'échange d'informations de certificat est désormais crypté) pour réduire la quantité d'indices d'une écoute clandestine potentielle, ainsi que des améliorations pour transmettre le secret lors de l'utilisation de certains modes d'échange de clés afin que la communication à tout moment doit rester sécurisé même si les algorithmes utilisés pour le chiffrer sont compromis à l’avenir.
Développement de protocoles modernes et DDoS
Comme vous l'avez peut-être déjà lu, lors de l'élaboration du protocole
Les raisons pour lesquelles cela peut être requis sont exposées dans le document,
Même si nous ne sommes certainement pas prêts à spéculer sur les exigences réglementaires, notre produit exclusif d'atténuation des attaques DDoS (comprenant une solution
De plus, depuis la mise en œuvre, aucun problème lié au chiffrement du transport n’a été identifié. C'est officiel : TLS 1.3 est prêt pour la production.
Cependant, il existe toujours un problème lié au développement de protocoles de nouvelle génération. Le problème est que les progrès des protocoles au sein de l’IETF dépendent généralement fortement de la recherche universitaire, et l’état de la recherche universitaire dans le domaine de l’atténuation des attaques par déni de service distribué est lamentable.
Donc, un bon exemple serait
Ce dernier cas est, en fait, très rare dans les environnements d'entreprise réels (et seulement partiellement applicable aux FAI), et de toute façon il est peu probable qu'il s'agisse d'un "cas général" dans le monde réel - mais apparaît constamment dans les publications scientifiques, généralement non étayées. en testant l'ensemble du spectre des attaques DDoS potentielles, y compris les attaques au niveau des applications. Ces derniers, du fait au moins du déploiement mondial de TLS, ne peuvent évidemment pas être détectés par la mesure passive des paquets et des flux réseau.
De même, nous ne savons pas encore comment les fournisseurs de matériel d’atténuation DDoS s’adapteront aux réalités de TLS 1.3. En raison de la complexité technique liée à la prise en charge du protocole hors bande, la mise à niveau peut prendre un certain temps.
Fixer les bons objectifs pour guider la recherche constitue un défi majeur pour les fournisseurs de services d’atténuation des attaques DDoS. Un domaine dans lequel le développement peut commencer est
Source: habr.com