Oan it begjin fan it jier, yn in rapport oer ynternetproblemen en tagonklikens foar 2018-2019 dat de fersprieding fan TLS 1.3 ûnûntkomber is. In skoft lyn hawwe wy sels ferzje 1.3 fan it Transport Layer Security-protokol ynset en, nei it sammeljen en analysearjen fan gegevens, binne wy einlings ree om te praten oer de funksjes fan dizze oergong.
IETF TLS Wurkgroep Stoelen :
"Koartsein, TLS 1.3 moat de basis leverje foar in feiliger en effisjinter ynternet foar de kommende 20 jier."
Untwikkeling naam 10 lange jierren. Wy by Qrator Labs, tegearre mei de rest fan 'e yndustry, hawwe nau folge it protokol oanmeitsjen proses fan it earste ûntwerp. Yn dizze tiid wie it nedich om 28 opienfolgjende ferzjes fan it konsept te skriuwen om úteinlik it ljocht te sjen fan in lykwichtich en maklik te ynsetten protokol yn 2019. De aktive merkstipe foar TLS 1.3 is al evident: de ymplemintaasje fan in bewiisd en betrouber feiligensprotokol foldocht oan 'e behoeften fan' e tiden.
Neffens Eric Rescorla (Firefox CTO en ienige skriuwer fan TLS 1.3) :
"Dit is in folsleine ferfanging foar TLS 1.2, mei deselde kaaien en sertifikaten, sadat de kliïnt en tsjinner automatysk kinne kommunisearje oer TLS 1.3 as se it beide stypje," sei er. "D'r is al goede stipe op biblioteeknivo, en Chrome en Firefox skeakelje standert TLS 1.3 yn."
Parallel einiget TLS yn 'e IETF-wurkgroep , ferklearje âldere ferzjes fan TLS (útsein allinnich TLS 1.2) ferâldere en ûnbrûkber. Meast wierskynlik sil de definitive RFC foar it ein fan 'e simmer frijlitten wurde. Dit is in oar sinjaal foar de IT-sektor: it bywurkjen fan fersiferingsprotokollen moat net fertrage wurde.
In list mei hjoeddeistige TLS 1.3-ymplemintaasjes is beskikber op Github foar elkenien dy't op syk is nei de meast geskikte bibleteek: . It is dúdlik dat oannimmen en stipe foar it bywurke protokol sil wêze - en is al - rap foarútgong. Begryp fan hoe't fûnemintele fersifering wurden is yn 'e moderne wrâld is frij wiid ferspraat.
Wat is feroare sûnt TLS 1.2?
Из :
"Hoe makket TLS 1.3 de wrâld in better plak?
TLS 1.3 omfettet bepaalde technyske foardielen - lykas in ferienfâldige handshake-proses om in feilige ferbining te meitsjen - en lit kliïnten ek sesjes mei servers rapper hervatten. Dizze maatregels binne bedoeld om de latency fan ferbining opset en ferbiningsflaters op swakke keppelings te ferminderjen, dy't faak brûkt wurde as rjochtfeardiging foar it leverjen fan allinich net-fersifere HTTP-ferbiningen.
Krekt sa wichtich, it ferwideret stipe foar ferskate legacy en ûnfeilige fersifering en hashing algoritmen dy't noch tastien (hoewol net oan te rieden) foar gebrûk mei eardere ferzjes fan TLS, ynklusyf SHA-1, MD5, DES, 3DES, en AES-CBC. it tafoegjen fan stipe foar nije cipher suites. Oare ferbetteringen omfetsje mear fersifere eleminten fan 'e handshake (bygelyks, de útwikseling fan sertifikaatynformaasje is no fersifere) om it oantal oanwizings te ferminderjen nei in potinsjele ferkearsôflussiker, lykas ek ferbetteringen foar foarútgeheim by it brûken fan bepaalde kaai-útwikselmodi, sadat kommunikaasje moatte altyd feilich bliuwe, sels as de algoritmen dy't brûkt wurde om it te fersiferjen yn 'e takomst kompromittearre binne.
Untwikkeling fan moderne protokollen en DDoS
Lykas jo miskien al hawwe lêzen, tidens de ûntwikkeling fan it protokol , yn de IETF TLS wurkgroep . It is no dúdlik dat yndividuele bedriuwen (ynklusyf finansjele ynstellingen) de manier moatte feroarje wêrop se har eigen netwurk befeiligje om te foldwaan oan de no ynboude protokol .
De redenen wêrom't dit ferplicht kin wurde beskreaun yn it dokumint, . It papier fan 20 pagina's neamt ferskate foarbylden wêr't in ûndernimming bûten-bandferkear wol ûntsiferje wol (wat PFS net tastiet) foar tafersjoch, neilibjen of applikaasjelaach (L7) DDoS-beskermingsdoelen.
Wylst wy perfoarst net ree binne om te spekulearjen oer regeljouwingseasken, ús proprietêre applikaasje DDoS-mitigaasjeprodukt (ynklusyf in oplossing gefoelige en/of fertroulike ynformaasje) waard makke yn 2012 mei rekkening mei PFS, sadat ús kliïnten en partners gjin wizigingen hoege te meitsjen oan har ynfrastruktuer nei it bywurkjen fan de TLS-ferzje oan 'e serverkant.
Ek sûnt de ymplemintaasje binne gjin problemen yn ferbân mei ferfier fersifering identifisearre. It is offisjeel: TLS 1.3 is klear foar produksje.
D'r is lykwols noch in probleem ferbûn mei de ûntwikkeling fan folgjende generaasje protokollen. It probleem is dat protokol foarútgong yn 'e IETF is typysk swier ôfhinklik fan akademysk ûndersyk, en de steat fan akademysk ûndersyk op it mêd fan mitigating ferspraat ûntkenning-fan-tsjinst oanfallen is slim.
Dus, in goed foarbyld soe wêze It IETF-ûntwerp "QUIC Manageability", diel fan 'e kommende QUIC-protokolsuite, stelt dat "moderne metoaden foar it opspoaren en ferminderjen fan [DDoS-oanfallen] typysk passive mjitting omfetsje mei gebrûk fan netwurkstreamgegevens."
Dat lêste is yn feite heul seldsum yn echte ûndernimmingsomjouwings (en mar foar in part fan tapassing op ISP's), en is yn alle gefallen net wierskynlik in "algemien gefal" yn 'e echte wrâld - mar ferskynt konstant yn wittenskiplike publikaasjes, meast net stipe troch it hiele spektrum fan potinsjele DDoS-oanfallen te testen, ynklusyf oanfallen op applikaasjenivo. Dat lêste, fanwege teminsten de wrâldwide ynset fan TLS, kin fansels net ûntdutsen wurde troch passive mjitting fan netwurkpakketten en streamen.
Likemin witte wy noch net hoe't DDoS-mitigaasje-hardwareleveransiers sille oanpasse oan 'e realiteiten fan TLS 1.3. Fanwegen de technyske kompleksiteit fan it stypjen fan it out-of-band protokol kin de upgrade wat tiid duorje.
De juste doelen ynstelle om ûndersyk te begelieden is in grutte útdaging foar DDoS-mitigaasjetsjinstferlieners. Ien gebiet dêr't ûntwikkeling kin begjinne is by de IRTF, dêr't ûndersikers kinne gearwurkje mei yndustry te ferfine harren eigen kennis fan in útdaagjende yndustry en ferkenne nije avenues fan ûndersyk. Wy noegje alle ûndersikers ek in hertlik wolkom út, mochten der wat wêze - kinne wy kontakt opnommen wurde mei fragen of suggestjes yn ferbân mei DDoS-ûndersyk of de SMART-ûndersyksgroep by
Boarne: www.habr.com