A principios de ano, nun informe sobre problemas de Internet e accesibilidade para o curso 2018-2019 que a difusión de TLS 1.3 é inevitable. Hai tempo, nós mesmos despregamos a versión 1.3 do protocolo Transport Layer Security e, despois de recoller e analizar os datos, por fin estamos preparados para falar das características desta transición.
Presidentes do grupo de traballo IETF TLS :
"En resumo, TLS 1.3 debería proporcionar a base para unha Internet máis segura e eficiente durante os próximos 20 anos".
Desenvolvemento levou 10 longos anos. En Qrator Labs, xunto co resto da industria, seguimos de preto o proceso de creación do protocolo desde o borrador inicial. Durante este tempo, foi necesario escribir 28 versións consecutivas do borrador para, finalmente, ver a luz dun protocolo equilibrado e fácil de implantar en 2019. O soporte activo do mercado para TLS 1.3 xa é evidente: a implementación dun protocolo de seguridade comprobado e fiable responde ás necesidades dos tempos.
Segundo Eric Rescorla (CTO de Firefox e autor único de TLS 1.3) :
"Este é un substituto completo para TLS 1.2, utilizando as mesmas claves e certificados, polo que o cliente e o servidor poden comunicarse automaticamente a través de TLS 1.3 se ambos o admiten", dixo. "Xa hai un bo soporte a nivel de biblioteca e Chrome e Firefox activan TLS 1.3 por defecto".
Paralelamente, TLS está rematando no grupo de traballo IETF , declarando as versións antigas de TLS (excluíndo só TLS 1.2) obsoletas e inutilizables. O máis probable é que o RFC final se publique antes de finais do verán. Este é outro sinal para a industria das TI: a actualización dos protocolos de cifrado non debe demorarse.
Unha lista das implementacións actuais de TLS 1.3 está dispoñible en Github para quen busque a biblioteca máis adecuada: . Está claro que a adopción e o apoio ao protocolo actualizado estarán -e xa están- progresando rapidamente. A comprensión de como se tornou fundamental o cifrado no mundo moderno estendeuse bastante.
Que cambiou desde TLS 1.2?
De :
"Como fai TLS 1.3 facer o mundo un lugar mellor?
TLS 1.3 inclúe certas vantaxes técnicas, como un proceso de apretón de contactos simplificado para establecer unha conexión segura, e tamén permite aos clientes retomar sesións cos servidores máis rapidamente. Estas medidas están destinadas a reducir a latencia de configuración da conexión e os fallos de conexión en ligazóns débiles, que adoitan utilizarse como xustificación para proporcionar só conexións HTTP sen cifrar.
Igual de importante, elimina a compatibilidade con varios algoritmos de cifrado e hash legados e inseguros que aínda se permiten (aínda que non se recomendan) para o seu uso con versións anteriores de TLS, incluíndo SHA-1, MD5, DES, 3DES e AES-CBC. engadindo soporte para novas suites de cifrado. Outras melloras inclúen elementos máis cifrados do apretón de mans (por exemplo, o intercambio de información do certificado agora está cifrado) para reducir a cantidade de pistas para un posible espiador de tráfico, así como melloras para reenviar o segredo cando se usan determinados modos de intercambio de claves para que a comunicación debe permanecer seguro en todo momento aínda que os algoritmos utilizados para cifralo se vexan comprometidos no futuro".
Desenvolvemento de protocolos modernos e DDoS
Como xa leras, durante o desenvolvemento do protocolo , no grupo de traballo IETF TLS . Agora está claro que as empresas individuais (incluídas as institucións financeiras) terán que cambiar a forma en que protexen a súa propia rede para acomodar o protocolo agora integrado. .
As razóns polas que se pode esixir establécense no documento, . O documento de 20 páxinas menciona varios exemplos nos que unha empresa pode querer descifrar o tráfico fóra de banda (que PFS non permite) con fins de supervisión, cumprimento ou protección contra DDoS da capa de aplicación (L7).
Aínda que certamente non estamos preparados para especular sobre os requisitos regulamentarios, o noso produto de mitigación de DDoS da aplicación propietaria (incluída unha solución información sensible e/ou confidencial) creouse en 2012 tendo en conta PFS, polo que os nosos clientes e socios non precisaron facer ningún cambio na súa infraestrutura despois de actualizar a versión TLS no lado do servidor.
Ademais, desde a implantación, non se identificaron problemas relacionados co cifrado do transporte. É oficial: TLS 1.3 está listo para a produción.
Non obstante, aínda hai un problema asociado ao desenvolvemento de protocolos de próxima xeración. O problema é que o progreso do protocolo no IETF adoita depender en gran medida da investigación académica, e o estado da investigación académica no campo da mitigación dos ataques de denegación de servizo distribuídos é pésimo.
Entón, un bo exemplo sería O borrador de IETF "QUIC Manageability", que forma parte da próxima suite de protocolos QUIC, indica que "os métodos modernos para detectar e mitigar [ataques DDoS] normalmente implican medicións pasivas utilizando datos de fluxo de rede".
Este último é, de feito, moi raro en contornos empresariais reais (e só é aplicable parcialmente aos ISP), e en calquera caso é improbable que sexa un "caso xeral" no mundo real, pero aparece constantemente en publicacións científicas, normalmente non admitidas. probando todo o espectro de posibles ataques DDoS, incluídos os ataques a nivel de aplicación. Este último, debido polo menos ao despregamento mundial de TLS, obviamente non se pode detectar mediante a medición pasiva de paquetes e fluxos de rede.
Así mesmo, aínda non sabemos como se adaptarán os provedores de hardware de mitigación de DDoS ás realidades de TLS 1.3. Debido á complexidade técnica da compatibilidade do protocolo fóra de banda, a actualización pode levar algún tempo.
Establecer os obxectivos correctos para guiar a investigación é un gran desafío para os provedores de servizos de mitigación de DDoS. Unha das áreas onde o desenvolvemento pode comezar é no IRTF, onde os investigadores poden colaborar coa industria para perfeccionar o seu propio coñecemento dunha industria desafiante e explorar novas vías de investigación. Tamén damos unha cálida benvida a todos os investigadores, se os houbese; podemos contactar connosco con preguntas ou suxestións relacionadas coa investigación DDoS ou o grupo de investigación SMART en
Fonte: www.habr.com