Početkom godine u izvješću o problemima i dostupnosti interneta za 2018.-2019. da je širenje TLS 1.3 neizbježno. Prije nekog vremena sami smo implementirali verziju 1.3 protokola Transport Layer Security i, nakon prikupljanja i analize podataka, konačno smo spremni govoriti o značajkama ovog prijelaza.
Predsjednici IETF TLS radnih skupina :
"Ukratko, TLS 1.3 trebao bi pružiti temelje za sigurniji i učinkovitiji internet u sljedećih 20 godina."
dizajn trajalo je dugih 10 godina. Mi u Qrator Labsu, zajedno s ostatkom industrije, pomno smo pratili proces stvaranja protokola od početnog nacrta. Tijekom tog vremena bilo je potrebno napisati 28 uzastopnih verzija nacrta kako bi u konačnici ugledao svjetlo uravnoteženog protokola koji je jednostavan za implementaciju 2019. godine. Aktivna tržišna podrška za TLS 1.3 već je očita: implementacija provjerenog i pouzdanog sigurnosnog protokola zadovoljava potrebe vremena.
Prema Eric Rescorla (Firefox CTO i jedini autor TLS 1.3) :
"Ovo je potpuna zamjena za TLS 1.2, koristeći iste ključeve i certifikate, tako da klijent i poslužitelj mogu automatski komunicirati preko TLS 1.3 ako ga oboje podržavaju", rekao je. "Već postoji dobra podrška na razini knjižnice, a Chrome i Firefox prema zadanim postavkama omogućuju TLS 1.3."
Paralelno, TLS završava u IETF radnoj skupini , proglašavajući starije verzije TLS-a (isključujući samo TLS 1.2) zastarjelim i neupotrebljivim. Najvjerojatnije će konačni RFC biti objavljen prije kraja ljeta. Ovo je još jedan signal IT industriji: ažuriranje protokola šifriranja ne bi trebalo odgađati.
Popis trenutnih implementacija TLS 1.3 dostupan je na Githubu za sve koji traže najprikladniju biblioteku: . Jasno je da će usvajanje i podrška za ažurirani protokol brzo napredovati – i već napreduje. Razumijevanje toga koliko je šifriranje postalo temeljno u modernom svijetu prilično se proširilo.
Što se promijenilo od TLS 1.2?
Od :
“Kako TLS 1.3 čini svijet boljim mjestom?
TLS 1.3 uključuje određene tehničke prednosti—kao što je pojednostavljeni postupak rukovanja za uspostavljanje sigurne veze—a također omogućuje klijentima brži nastavak sesija s poslužiteljima. Ove mjere imaju za cilj smanjiti kašnjenje postavljanja veze i kvarove veze na slabim vezama, koje se često koriste kao opravdanje za pružanje samo nekriptiranih HTTP veza.
Jednako važno, uklanja podršku za nekoliko naslijeđenih i nesigurnih algoritama enkripcije i hashiranja koji su još uvijek dopušteni (iako se ne preporučuju) za upotrebu s ranijim verzijama TLS-a, uključujući SHA-1, MD5, DES, 3DES i AES-CBC. dodavanje podrške za nove pakete šifri. Ostala poboljšanja uključuju više kriptiranih elemenata rukovanja (na primjer, razmjena informacija certifikata sada je kriptirana) kako bi se smanjila količina tragova potencijalnom prisluškivaču prometa, kao i poboljšanja prosljeđivanja tajnosti pri korištenju određenih načina razmjene ključeva tako da komunikacija u svakom trenutku mora ostati siguran čak i ako algoritmi korišteni za šifriranje budu ugroženi u budućnosti.”
Razvoj modernih protokola i DDoS-a
Kao što ste možda već pročitali, tijekom razvoja protokola , u radnoj skupini IETF TLS . Sada je jasno da će pojedinačna poduzeća (uključujući financijske institucije) morati promijeniti način na koji osiguravaju vlastitu mrežu kako bi se prilagodila sada ugrađenom protokolu .
Razlozi zbog kojih bi to moglo biti potrebno navedeni su u dokumentu, . Dokument od 20 stranica spominje nekoliko primjera u kojima bi poduzeće moglo htjeti dešifrirati izvanpojasni promet (što PFS ne dopušta) u svrhu praćenja, usklađenosti ili zaštite od DDoS sloja aplikacije (L7).
Iako sigurno nismo spremni nagađati o regulatornim zahtjevima, naš proizvod za ublažavanje DDoS-a u vlasništvu naše aplikacije (uključujući rješenje osjetljive i/ili povjerljive informacije) kreiran je 2012. godine uzimajući u obzir PFS, tako da naši klijenti i partneri nisu morali unositi nikakve promjene u svoju infrastrukturu nakon ažuriranja TLS verzije na strani poslužitelja.
Također, od implementacije nisu uočeni problemi vezani uz enkripciju prijenosa. Službeno je: TLS 1.3 je spreman za proizvodnju.
Međutim, još uvijek postoji problem povezan s razvojem protokola sljedeće generacije. Problem je u tome što napredak protokola u IETF-u obično uvelike ovisi o akademskom istraživanju, a stanje akademskog istraživanja na polju ublažavanja distribuiranih napada uskraćivanja usluge je loše.
Dakle, dobar primjer bi bio Nacrt IETF-a "QUIC Manageability", dio nadolazećeg paketa protokola QUIC, navodi da "moderne metode za otkrivanje i ublažavanje [DDoS napada] obično uključuju pasivno mjerenje korištenjem podataka o protoku mreže."
Potonji je, zapravo, vrlo rijedak u stvarnim poslovnim okruženjima (i samo djelomično primjenjiv na ISP-ove), iu svakom slučaju malo je vjerojatno da će biti "opći slučaj" u stvarnom svijetu - ali se stalno pojavljuje u znanstvenim publikacijama, obično nije podržan testiranjem cijelog spektra potencijalnih DDoS napada, uključujući napade na razini aplikacije. Potonji se, barem zbog svjetske primjene TLS-a, očito ne može detektirati pasivnim mjerenjem mrežnih paketa i protoka.
Isto tako, još ne znamo kako će se dobavljači hardvera za ublažavanje DDoS-a prilagoditi stvarnosti TLS-a 1.3. Zbog tehničke složenosti podrške izvanpojasnog protokola, nadogradnja može potrajati neko vrijeme.
Postavljanje pravih ciljeva za usmjeravanje istraživanja veliki je izazov za pružatelje usluga ublažavanja DDoS-a. Jedno područje gdje razvoj može započeti je na IRTF-u, gdje istraživači mogu surađivati s industrijom kako bi poboljšali vlastito znanje o izazovnoj industriji i istražili nove puteve istraživanja. Također želimo toplu dobrodošlicu svim istraživačima, ako ih bude - možete nas kontaktirati s pitanjima ili prijedlozima vezanim uz DDoS istraživanje ili istraživačku grupu SMART na
Izvor: www.habr.com