A principios de ano, nun informe sobre problemas de Internet e accesibilidade para o curso 2018-2019
Presidentes do grupo de traballo IETF TLS
"En resumo, TLS 1.3 debería proporcionar a base para unha Internet máis segura e eficiente durante os próximos 20 anos".
Desenvolvemento
Segundo Eric Rescorla (CTO de Firefox e autor único de TLS 1.3)
"Este é un substituto completo para TLS 1.2, utilizando as mesmas claves e certificados, polo que o cliente e o servidor poden comunicarse automaticamente a través de TLS 1.3 se ambos o admiten", dixo. "Xa hai un bo soporte a nivel de biblioteca e Chrome e Firefox activan TLS 1.3 por defecto".
Paralelamente, TLS está rematando no grupo de traballo IETF
Unha lista das implementacións actuais de TLS 1.3 está dispoñible en Github para quen busque a biblioteca máis adecuada:
Que cambiou desde TLS 1.2?
De
"Como fai TLS 1.3 facer o mundo un lugar mellor?
TLS 1.3 inclúe certas vantaxes técnicas, como un proceso de apretón de contactos simplificado para establecer unha conexión segura, e tamén permite aos clientes retomar sesións cos servidores máis rapidamente. Estas medidas están destinadas a reducir a latencia de configuración da conexión e os fallos de conexión en ligazóns débiles, que adoitan utilizarse como xustificación para proporcionar só conexións HTTP sen cifrar.
Igual de importante, elimina a compatibilidade con varios algoritmos de cifrado e hash legados e inseguros que aínda se permiten (aínda que non se recomendan) para o seu uso con versións anteriores de TLS, incluíndo SHA-1, MD5, DES, 3DES e AES-CBC. engadindo soporte para novas suites de cifrado. Outras melloras inclúen elementos máis cifrados do apretón de mans (por exemplo, o intercambio de información do certificado agora está cifrado) para reducir a cantidade de pistas para un posible espiador de tráfico, así como melloras para reenviar o segredo cando se usan determinados modos de intercambio de claves para que a comunicación debe permanecer seguro en todo momento aínda que os algoritmos utilizados para cifralo se vexan comprometidos no futuro".
Desenvolvemento de protocolos modernos e DDoS
Como xa leras, durante o desenvolvemento do protocolo
As razóns polas que se pode esixir establécense no documento,
Aínda que certamente non estamos preparados para especular sobre os requisitos regulamentarios, o noso produto de mitigación de DDoS da aplicación propietaria (incluída unha solución
Ademais, desde a implantación, non se identificaron problemas relacionados co cifrado do transporte. É oficial: TLS 1.3 está listo para a produción.
Non obstante, aínda hai un problema asociado ao desenvolvemento de protocolos de próxima xeración. O problema é que o progreso do protocolo no IETF adoita depender en gran medida da investigación académica, e o estado da investigación académica no campo da mitigación dos ataques de denegación de servizo distribuídos é pésimo.
Entón, un bo exemplo sería
Este último é, de feito, moi raro en contornos empresariais reais (e só é aplicable parcialmente aos ISP), e en calquera caso é improbable que sexa un "caso xeral" no mundo real, pero aparece constantemente en publicacións científicas, normalmente non admitidas. probando todo o espectro de posibles ataques DDoS, incluídos os ataques a nivel de aplicación. Este último, debido polo menos ao despregamento mundial de TLS, obviamente non se pode detectar mediante a medición pasiva de paquetes e fluxos de rede.
Así mesmo, aínda non sabemos como se adaptarán os provedores de hardware de mitigación de DDoS ás realidades de TLS 1.3. Debido á complexidade técnica da compatibilidade do protocolo fóra de banda, a actualización pode levar algún tempo.
Establecer os obxectivos correctos para guiar a investigación é un gran desafío para os provedores de servizos de mitigación de DDoS. Unha das áreas onde o desenvolvemento pode comezar é
Fonte: www.habr.com