Az év elején a 2018-2019-es internetes problémákról és elérhetőségről szóló jelentésben hogy a TLS 1.3 terjedése elkerülhetetlen. Egy ideje mi magunk telepítettük a Transport Layer Security protokoll 1.3-as verzióját, és az adatok összegyűjtése és elemzése után végre készen állunk, hogy beszéljünk ennek az átállásnak a jellemzőiről.
IETF TLS munkacsoport-elnökök :
"Röviden: a TLS 1.3-nak kell alapot adnia egy biztonságosabb és hatékonyabb internethez a következő 20 évben."
tervezés 10 hosszú évig tartott. Mi, a Qrator Labs, az iparág többi tagjával együtt szorosan követtük a protokoll létrehozásának folyamatát a kezdeti tervezettől kezdve. Ez idő alatt a tervezet 28 egymást követő változatát kellett megírni, hogy végül 2019-ben egy kiegyensúlyozott és könnyen telepíthető protokoll fényét lássuk. A TLS 1.3 aktív piaci támogatása már nyilvánvaló: a bevált és megbízható biztonsági protokoll megvalósítása megfelel a kor igényeinek.
Eric Rescorla (Firefox műszaki igazgatója és a TLS 1.3 egyetlen szerzője) szerint :
"Ez a TLS 1.2 teljes helyettesítője, ugyanazokat a kulcsokat és tanúsítványokat használja, így a kliens és a szerver automatikusan kommunikálhat a TLS 1.3-on keresztül, ha mindkettő támogatja" - mondta. "A könyvtár szintjén már jó támogatás van, és a Chrome és a Firefox alapértelmezés szerint engedélyezi a TLS 1.3-at."
Ezzel párhuzamosan a TLS véget ér az IETF munkacsoportjában , amely a TLS régebbi verzióit (csak a TLS 1.2 kivételével) elavultnak és használhatatlannak nyilvánítja. Valószínűleg a végleges RFC még a nyár vége előtt megjelenik. Ez egy újabb jelzés az IT-ipar számára: a titkosítási protokollok frissítését nem szabad késleltetni.
A jelenlegi TLS 1.3 implementációk listája elérhető a Githubon bárki számára, aki a legmegfelelőbb könyvtárat keresi: . Nyilvánvaló, hogy a frissített protokoll elfogadása és támogatása gyorsan halad – és már most is –. Meglehetősen széles körben elterjedt annak megértése, hogy a titkosítás hogyan vált alapvetővé a modern világban.
Mi változott a TLS 1.2 óta?
Of :
„Hogyan teszi jobb hellyé a világot a TLS 1.3?
A TLS 1.3 tartalmaz bizonyos technikai előnyöket – például egy egyszerűsített kézfogási folyamatot a biztonságos kapcsolat létrehozásához –, és lehetővé teszi az ügyfelek számára, hogy gyorsabban folytassák a munkameneteket a szerverekkel. Ezeknek az intézkedéseknek a célja a kapcsolatbeállítási késleltetés és a gyenge hivatkozásokon fellépő kapcsolati hibák csökkentése, amelyeket gyakran csak titkosítatlan HTTP-kapcsolatok biztosítására használnak.
Ugyanilyen fontos, hogy eltávolítja számos örökölt és nem biztonságos titkosítási és kivonatolási algoritmus támogatását, amelyek továbbra is engedélyezettek (bár nem ajánlottak) a TLS korábbi verzióihoz, köztük az SHA-1, MD5, DES, 3DES és AES-CBC. támogatás hozzáadása az új titkosítási csomagokhoz. Az egyéb fejlesztések közé tartozik a kézfogás titkosítottabb elemei (például a tanúsítványinformációk cseréje immár titkosítva van), hogy csökkentsék a potenciális forgalomlehallgató nyomait, valamint a továbbítási titok továbbfejlesztése bizonyos kulcscsere-módok használatakor, hogy a kommunikációt mindenkor biztonságosnak kell maradnia, még akkor is, ha a titkosításhoz használt algoritmusok a jövőben veszélybe kerülnek."
Modern protokollok és DDoS fejlesztése
Amint azt már olvashatta, a protokoll fejlesztése során , az IETF TLS munkacsoportjában . Most már világos, hogy az egyes vállalkozásoknak (beleértve a pénzintézeteket is) meg kell változtatniuk saját hálózatuk biztosításának módját, hogy alkalmazkodjanak a protokollba most beépített .
A szükséges okokat a dokumentum tartalmazza, . A 20 oldalas írás több olyan példát is említ, amikor egy vállalatnak a sávon kívüli forgalmat (amit a PFS nem tesz lehetővé) a DDoS felügyeleti, megfelelőségi vagy alkalmazási réteg (L7) védelmi célokból kívánhat visszafejteni.
Bár természetesen nem állunk készen arra, hogy a szabályozási követelményekről spekuláljunk, a saját fejlesztésű DDoS-mérséklő termékünk (beleértve a megoldást is érzékeny és/vagy bizalmas információk) 2012-ben jött létre a PFS figyelembevételével, így ügyfeleinknek és partnereinknek nem kellett semmilyen változtatást végrehajtaniuk infrastruktúrájukon a szerveroldali TLS verzió frissítése után.
Ezenkívül a megvalósítás óta nem azonosítottak a szállítási titkosítással kapcsolatos problémákat. Hivatalos: a TLS 1.3 készen áll a gyártásra.
A következő generációs protokollok fejlesztésével azonban továbbra is fennáll egy probléma. A probléma az, hogy az IETF protokollok fejlődése jellemzően nagymértékben függ az akadémiai kutatásoktól, és az elosztott szolgáltatásmegtagadási támadások mérséklésével kapcsolatos tudományos kutatások állapota lehangoló.
Szóval jó példa lenne Az IETF „QUIC Manageability” tervezete, amely a hamarosan megjelenő QUIC protokollcsomag részét képezi, kijelenti, hogy „a [DDoS-támadások] észlelésének és mérséklésének modern módszerei jellemzően passzív mérést tartalmaznak a hálózati áramlási adatok felhasználásával”.
Ez utóbbi valójában nagyon ritka a valós vállalati környezetben (és csak részben alkalmazható az internetszolgáltatókra), és semmi esetre sem valószínű, hogy "általános eset" lenne a való világban - de folyamatosan megjelenik a tudományos publikációkban, általában nem támogatott. a lehetséges DDoS-támadások teljes spektrumának tesztelésével, beleértve az alkalmazásszintű támadásokat is. Ez utóbbi, legalábbis a TLS világszerte elterjedtsége miatt, nyilvánvalóan nem észlelhető a hálózati csomagok és folyamok passzív mérésével.
Hasonlóképpen, még nem tudjuk, hogyan alkalmazkodnak a DDoS-csökkentő hardvergyártók a TLS 1.3 valóságához. A sávon kívüli protokoll támogatásának technikai bonyolultsága miatt a frissítés eltarthat egy ideig.
A megfelelő kutatási célok kitűzése komoly kihívást jelent a DDoS-csökkentési szolgáltatók számára. Az egyik terület, ahol elkezdődhet a fejlesztés az IRTF-en, ahol a kutatók az iparággal együttműködve finomíthatják tudásukat egy kihívásokkal teli iparágról, és új kutatási utakat fedezhetnek fel. Szeretettel várunk minden kutatót, ha van - a DDoS-kutatással vagy a SMART kutatócsoporttal kapcsolatos kérdéseivel, javaslataival fordulhatnak hozzánk a következő címen:
Forrás: will.com