Nan kòmansman ane a, nan yon rapò sou pwoblèm entènèt ak aksè pou 2018-2019 ke gaye TLS 1.3 se inevitab. Kèk tan de sa, nou menm nou deplwaye vèsyon 1.3 pwotokòl Sekirite Kouch Transpò a epi, apre yo fin kolekte ak analize done, nou finalman pare pou pale sou karakteristik tranzisyon sa a.
Prezidan Gwoup Travay IETF TLS :
"An ti bout tan, TLS 1.3 ta dwe bay fondasyon pou yon Entènèt ki pi an sekirite ak efikas pou 20 pwochen ane yo."
Devlopman te pran 10 long ane. Nou menm nan Qrator Labs, ansanm ak rès endistri a, te suiv ak anpil atansyon pwosesis kreyasyon pwotokòl la depi premye bouyon an. Pandan tan sa a, li te nesesè yo ekri 28 vèsyon youn apre lòt nan bouyon an nan lòd yo finalman wè limyè a nan yon pwotokòl balanse ak fasil-a-deplwaye nan 2019. Sipò nan mache aktif pou TLS 1.3 deja evidan: aplikasyon an nan yon pwotokòl sekirite pwouve ak serye satisfè bezwen yo nan tan yo.
Dapre Eric Rescorla (Firefox CTO ak sèl otè TLS 1.3) :
"Sa a se yon ranplasman konplè pou TLS 1.2, lè l sèvi avèk menm kle ak sètifika yo, kidonk kliyan an ak sèvè ka otomatikman kominike sou TLS 1.3 si yo tou de sipòte li," li te di. "Genyen deja bon sipò nan nivo bibliyotèk, epi Chrome ak Firefox pèmèt TLS 1.3 pa default."
An paralèl, TLS ap fini nan gwoup travay IETF , ki deklare ansyen vèsyon TLS (eksepte sèlman TLS 1.2) demode epi ki pa ka itilize. Gen plis chans, RFC final la pral lage anvan fen sezon ete a. Sa a se yon lòt siyal nan endistri IT: mete ajou pwotokòl chifreman yo pa ta dwe retade.
Yon lis aktyèl TLS 1.3 aplikasyon disponib sou Github pou nenpòt moun kap chèche bibliyotèk ki pi apwopriye: . Li klè ke adopsyon ak sipò pou pwotokòl ajou la pral—e li deja—pwogrese rapidman. Konpreyansyon sou fason chifreman fondamantal te vin nan mond modèn lan gaye byen lajman.
Kisa ki chanje depi TLS 1.2?
Nan :
"Ki jan TLS 1.3 fè mond lan yon pi bon kote?
TLS 1.3 gen ladann sèten avantaj teknik-tankou yon pwosesis senplifye lanmen pou etabli yon koneksyon an sekirite-epi tou pèmèt kliyan yo pi vit rekòmanse sesyon yo ak sèvè. Mezi sa yo gen entansyon diminye latansi konfigirasyon koneksyon ak echèk koneksyon sou lyen fèb, ki souvan itilize kòm jistifikasyon pou bay sèlman koneksyon HTTP ki pa chiffres.
Menm jan enpòtan an, li retire sipò pou plizyè eritaj ak ansekirite chifreman ak hashing algoritm ki toujou pèmèt (menm si pa rekòmande) pou itilize ak vèsyon pi bonè nan TLS, ki gen ladan SHA-1, MD5, DES, 3DES, ak AES-CBC. ajoute sipò pou nouvo suite chifreman. Lòt amelyorasyon gen ladan plis eleman ankripte nan lanmen an (pa egzanp, echanj enfòmasyon sètifika a kounye a ankode) pou redwi kantite endikasyon pou yon potansyèl ekoutè trafik, ansanm ak amelyorasyon pou voye sekrè lè w ap itilize sèten mòd echanj kle pou kominikasyon. tout tan dwe rete an sekirite menm si algorithm yo itilize yo ankripte li yo konpwomèt alavni.
Devlopman pwotokòl modèn ak DDoS
Kòm ou ka deja li, pandan devlopman pwotokòl la , nan gwoup travay IETF TLS . Kounye a li klè ke antrepriz endividyèl yo (ki gen ladan enstitisyon finansye) pral oblije chanje fason yo sekirize pwòp rezo yo pou yo ka akomode pwotokòl la kounye a. .
Rezon ki fè sa ka mande yo tabli nan dokiman an, . Papye 20 paj la mansyone plizyè egzanp kote yon antrepriz ta ka vle dechifre trafik andeyò gwoup (ki PFS pa pèmèt) pou siveyans, konfòmite oswa aplikasyon kouch (L7) pwoteksyon DDoS.
Pandan ke nou sètènman pa prepare pou espekile sou kondisyon regilasyon, aplikasyon propriétaires nou an pwodwi mitigasyon DDoS (ki gen ladan yon solisyon enfòmasyon sansib ak/oswa konfidansyèl) te kreye an 2012 pran PFS an kont, kidonk kliyan nou yo ak patnè pa t 'bezwen fè okenn chanjman nan enfrastrikti yo apre yo fin mete ajou vèsyon TLS la sou bò sèvè a.
Epitou, depi aplikasyon an, pa gen okenn pwoblèm ki gen rapò ak chifreman transpò yo te idantifye. Li ofisyèl: TLS 1.3 pare pou pwodiksyon an.
Sepandan, toujou gen yon pwoblèm ki asosye ak devlopman pwotokòl pwochen jenerasyon an. Pwoblèm lan se ke pwogrè pwotokòl nan IETF a anjeneral depann anpil sou rechèch akademik, ak eta a nan rechèch akademik nan domèn atténuation distribiye refi-of-sèvis atak se trist.
Se konsa, yon bon egzanp ta dwe Bouyon IETF "QUIC Manageability," yon pati nan suite pwotokòl QUIC kap vini an, deklare ke "metòd modèn pou detekte ak atténuation [atak DDoS] anjeneral enplike mezi pasif lè l sèvi avèk done koule rezo a."
Lèt la se, an reyalite, trè ra nan anviwònman antrepriz reyèl (e sèlman pasyèlman aplikab a ISP), ak nan nenpòt ka se fasil yo dwe yon "ka jeneral" nan mond reyèl la - men parèt toujou ap nan piblikasyon syantifik, anjeneral, pa sipòte. pa teste tout spectre potansyèl DDoS atak, ki gen ladan atak nivo aplikasyon yo. Lèt la, akòz omwen deplwaman atravè lemond TLS, evidamman pa ka detekte pa mezi pasif nan pake rezo ak koule.
Menm jan an tou, nou poko konnen ki jan vandè pyès ki nan konpitè mitigasyon DDoS pral adapte yo ak reyalite TLS 1.3. Akòz konpleksite teknik pou sipòte pwotokòl andeyò gwoup la, amelyorasyon an ka pran kèk tan.
Fikse bon objektif pou gide rechèch se yon gwo defi pou founisè sèvis alèjman DDoS yo. Youn nan zòn kote devlopman ka kòmanse se nan IRTF a, kote chèchè yo ka kolabore ak endistri yo rafine pwòp konesans yo nan yon endistri difisil epi eksplore nouvo avni rechèch. Nou bay tout chèchè yo yon bon akeyi tou, si ta gen nenpòt - nou ka kontakte nou pou kesyon oswa sijesyon ki gen rapò ak rechèch DDoS oswa gwoup rechèch SMART la nan
Sous: www.habr.com