Početkom godine u izvješću o problemima i dostupnosti interneta za 2018.-2019.
Predsjednici IETF TLS radnih skupina
"Ukratko, TLS 1.3 trebao bi pružiti temelje za sigurniji i učinkovitiji internet u sljedećih 20 godina."
dizajn
Prema Eric Rescorla (Firefox CTO i jedini autor TLS 1.3)
"Ovo je potpuna zamjena za TLS 1.2, koristeći iste ključeve i certifikate, tako da klijent i poslužitelj mogu automatski komunicirati preko TLS 1.3 ako ga oboje podržavaju", rekao je. "Već postoji dobra podrška na razini knjižnice, a Chrome i Firefox prema zadanim postavkama omogućuju TLS 1.3."
Paralelno, TLS završava u IETF radnoj skupini
Popis trenutnih implementacija TLS 1.3 dostupan je na Githubu za sve koji traže najprikladniju biblioteku:
Što se promijenilo od TLS 1.2?
Od
“Kako TLS 1.3 čini svijet boljim mjestom?
TLS 1.3 uključuje određene tehničke prednosti—kao što je pojednostavljeni postupak rukovanja za uspostavljanje sigurne veze—a također omogućuje klijentima brži nastavak sesija s poslužiteljima. Ove mjere imaju za cilj smanjiti kašnjenje postavljanja veze i kvarove veze na slabim vezama, koje se često koriste kao opravdanje za pružanje samo nekriptiranih HTTP veza.
Jednako važno, uklanja podršku za nekoliko naslijeđenih i nesigurnih algoritama enkripcije i hashiranja koji su još uvijek dopušteni (iako se ne preporučuju) za upotrebu s ranijim verzijama TLS-a, uključujući SHA-1, MD5, DES, 3DES i AES-CBC. dodavanje podrške za nove pakete šifri. Ostala poboljšanja uključuju više kriptiranih elemenata rukovanja (na primjer, razmjena informacija certifikata sada je kriptirana) kako bi se smanjila količina tragova potencijalnom prisluškivaču prometa, kao i poboljšanja prosljeđivanja tajnosti pri korištenju određenih načina razmjene ključeva tako da komunikacija u svakom trenutku mora ostati siguran čak i ako algoritmi korišteni za šifriranje budu ugroženi u budućnosti.”
Razvoj modernih protokola i DDoS-a
Kao što ste možda već pročitali, tijekom razvoja protokola
Razlozi zbog kojih bi to moglo biti potrebno navedeni su u dokumentu,
Iako sigurno nismo spremni nagađati o regulatornim zahtjevima, naš proizvod za ublažavanje DDoS-a u vlasništvu naše aplikacije (uključujući rješenje
Također, od implementacije nisu uočeni problemi vezani uz enkripciju prijenosa. Službeno je: TLS 1.3 je spreman za proizvodnju.
Međutim, još uvijek postoji problem povezan s razvojem protokola sljedeće generacije. Problem je u tome što napredak protokola u IETF-u obično uvelike ovisi o akademskom istraživanju, a stanje akademskog istraživanja na polju ublažavanja distribuiranih napada uskraćivanja usluge je loše.
Dakle, dobar primjer bi bio
Potonji je, zapravo, vrlo rijedak u stvarnim poslovnim okruženjima (i samo djelomično primjenjiv na ISP-ove), iu svakom slučaju malo je vjerojatno da će biti "opći slučaj" u stvarnom svijetu - ali se stalno pojavljuje u znanstvenim publikacijama, obično nije podržan testiranjem cijelog spektra potencijalnih DDoS napada, uključujući napade na razini aplikacije. Potonji se, barem zbog svjetske primjene TLS-a, očito ne može detektirati pasivnim mjerenjem mrežnih paketa i protoka.
Isto tako, još ne znamo kako će se dobavljači hardvera za ublažavanje DDoS-a prilagoditi stvarnosti TLS-a 1.3. Zbog tehničke složenosti podrške izvanpojasnog protokola, nadogradnja može potrajati neko vrijeme.
Postavljanje pravih ciljeva za usmjeravanje istraživanja veliki je izazov za pružatelje usluga ublažavanja DDoS-a. Jedno područje gdje razvoj može započeti je
Izvor: www.habr.com