տարեսկզբին ինտերնետի խնդիրների և հասանելիության 2018-2019թթ որ TLS 1.3-ի տարածումն անխուսափելի է։ Որոշ ժամանակ առաջ մենք ինքներս տեղակայեցինք Transport Layer Security արձանագրության 1.3 տարբերակը և տվյալները հավաքելուց և վերլուծելուց հետո վերջապես պատրաստ ենք խոսել այս անցման առանձնահատկությունների մասին:
IETF TLS աշխատանքային խմբի ամբիոններ :
«Մի խոսքով, TLS 1.3-ը պետք է հիմք տա առաջիկա 20 տարում ավելի անվտանգ և արդյունավետ ինտերնետի համար»:
Զարգացում տևեց 10 երկար տարիներ: Մենք Qrator Labs-ում, արդյունաբերության մնացած մասի հետ միասին, սկզբնական նախագծից ուշադիր հետևել ենք արձանագրության ստեղծման գործընթացին: Այս ընթացքում անհրաժեշտ էր գրել նախագծի 28 անընդմեջ տարբերակներ՝ ի վերջո 2019 թվականին հավասարակշռված և հեշտ տեղակայվող արձանագրության լույսը տեսնելու համար։ TLS 1.3-ի շուկայական ակտիվ աջակցությունն արդեն ակնհայտ է. ապացուցված և հուսալի անվտանգության արձանագրության ներդրումը բավարարում է ժամանակի կարիքները:
Ըստ Էրիկ Ռեսկորլայի (Firefox CTO և TLS 1.3-ի միակ հեղինակ) :
«Սա TLS 1.2-ի ամբողջական փոխարինումն է՝ օգտագործելով նույն բանալիներն ու վկայագրերը, այնպես որ հաճախորդը և սերվերը կարող են ավտոմատ կերպով շփվել TLS 1.3-ի միջոցով, եթե երկուսն էլ աջակցեն դրան», - ասաց նա: «Արդեն լավ աջակցություն կա գրադարանի մակարդակում, և Chrome-ը և Firefox-ը լռելյայն միացնում են TLS 1.3-ը»:
Զուգահեռաբար, TLS-ն ավարտվում է IETF-ի աշխատանքային խմբում , հայտարարելով TLS-ի ավելի հին տարբերակները (բացառությամբ միայն TLS 1.2-ի) հնացած և անօգտագործելի: Ամենայն հավանականությամբ, վերջնական RFC-ն կթողարկվի մինչև ամառվա վերջ։ Սա ևս մեկ ազդանշան է ՏՏ ոլորտին. գաղտնագրման արձանագրությունների թարմացումը չպետք է հետաձգվի:
Ընթացիկ TLS 1.3 ներդրման ցանկը հասանելի է Github-ում բոլոր նրանց համար, ովքեր փնտրում են ամենահարմար գրադարանը. . Հասկանալի է, որ նորացված արձանագրության ընդունումն ու աջակցությունը արագորեն առաջընթաց է ապրելու և արդեն իսկ ընթանում է: Բավականին լայն տարածում է գտել այն մասին, թե ինչպես է արմատական դարձել գաղտնագրումը ժամանակակից աշխարհում:
Ի՞նչ է փոխվել TLS 1.2-ից հետո:
Of :
«Ինչպե՞ս է TLS 1.3-ն աշխարհը դարձնում ավելի լավը:
TLS 1.3-ը ներառում է որոշակի տեխնիկական առավելություններ, օրինակ՝ պարզեցված ձեռքսեղմման գործընթացը՝ անվտանգ կապ հաստատելու համար, ինչպես նաև թույլ է տալիս հաճախորդներին ավելի արագ վերսկսել սերվերների հետ աշխատաշրջանները: Այս միջոցները նպատակ ունեն նվազեցնել կապի տեղադրման հետաձգումը և թույլ հղումների վրա կապի խափանումները, որոնք հաճախ օգտագործվում են որպես հիմնավորում միայն չգաղտնագրված HTTP կապեր տրամադրելու համար:
Նույնքան կարևոր է, որ այն հեռացնում է մի քանի ժառանգական և անապահով գաղտնագրման և հեշավորման ալգորիթմների աջակցությունը, որոնք դեռ թույլատրվում են (թեև խորհուրդ չի տրվում) օգտագործել TLS-ի ավելի վաղ տարբերակների հետ, ներառյալ SHA-1, MD5, DES, 3DES և AES-CBC: ավելացնելով աջակցություն նոր գաղտնագրային փաթեթների համար: Այլ բարելավումները ներառում են ձեռքսեղմման ավելի գաղտնագրված տարրեր (օրինակ՝ վկայագրի տեղեկատվության փոխանակումն այժմ գաղտնագրված է)՝ նվազեցնելու երթևեկության հնարավոր գաղտնալսողի մասին հուշումների քանակը, ինչպես նաև բանալիների փոխանակման որոշ ռեժիմներ օգտագործելիս գաղտնիության բարելավումներ, որպեսզի հաղորդակցությունը միշտ պետք է ապահով մնա, նույնիսկ եթե ապագայում դրա գաղտնագրման համար օգտագործվող ալգորիթմները վտանգված լինեն»:
Ժամանակակից արձանագրությունների և DDoS-ի մշակում
Ինչպես արդեն կարդացել եք, արձանագրության մշակման ժամանակ , IETF TLS աշխատանքային խմբում . Այժմ պարզ է, որ առանձին ձեռնարկությունները (ներառյալ ֆինանսական հաստատությունները) պետք է փոխեն իրենց սեփական ցանցի ապահովման ձևը, որպեսզի համապատասխանեն արձանագրություններին այժմ ներկառուցված: .
Պատճառները, թե ինչու դա կարող է պահանջվել, նշված են փաստաթղթում, . 20 էջանոց թղթում նշվում են մի քանի օրինակներ, երբ ձեռնարկությունը կարող է ցանկանալ վերծանել երթևեկությունը առանց գոտու (ինչը PFS-ն թույլ չի տալիս) մոնիտորինգի, համապատասխանության կամ կիրառական շերտի (L7) DDoS պաշտպանության նպատակներով:
Թեև մենք, անշուշտ, պատրաստ չենք շահարկել կարգավորող պահանջները, մեր սեփական կիրառման DDoS մեղմացման արտադրանքը (ներառյալ լուծումը զգայուն և/կամ գաղտնի տեղեկատվություն) ստեղծվել է 2012 թվականին՝ հաշվի առնելով PFS-ը, ուստի մեր հաճախորդները և գործընկերները կարիք չունեին որևէ փոփոխություն կատարել իրենց ենթակառուցվածքում՝ սերվերի կողմից TLS տարբերակը թարմացնելուց հետո:
Նաև ներդրումից ի վեր տրանսպորտի գաղտնագրման հետ կապված խնդիրներ չեն հայտնաբերվել: Պաշտոնական է՝ TLS 1.3-ը պատրաստ է արտադրության:
Այնուամենայնիվ, դեռևս խնդիր կա՝ կապված հաջորդ սերնդի արձանագրությունների մշակման հետ: Խնդիրն այն է, որ IETF-ում արձանագրության առաջընթացը, որպես կանոն, մեծապես կախված է ակադեմիական հետազոտություններից, և ակադեմիական հետազոտությունների վիճակը բաշխված ծառայության մերժման հարձակումները մեղմելու ոլորտում անմխիթար է:
Այսպիսով, լավ օրինակ կլինի IETF-ի «QUIC կառավարելիության» նախագիծը, որը գալիք QUIC արձանագրությունների փաթեթի մաս է, նշում է, որ «[DDoS հարձակումները] հայտնաբերելու և մեղմելու ժամանակակից մեթոդները սովորաբար ներառում են պասիվ չափումներ՝ օգտագործելով ցանցի հոսքի տվյալները»:
Վերջինս, ըստ էության, շատ հազվադեպ է իրական ձեռնարկատիրական միջավայրերում (և միայն մասամբ կիրառելի է ISP-ների համար), և ամեն դեպքում դժվար թե «ընդհանուր դեպք» լինի իրական աշխարհում, բայց անընդհատ հայտնվում է գիտական հրապարակումներում, սովորաբար չի աջակցվում: փորձարկելով հնարավոր DDoS հարձակումների ողջ սպեկտրը, ներառյալ հավելվածի մակարդակի հարձակումները: Վերջինս, առնվազն ամբողջ աշխարհում TLS-ի տարածման պատճառով, ակնհայտորեն չի կարող հայտնաբերվել ցանցային փաթեթների և հոսքերի պասիվ չափման միջոցով:
Նմանապես, մենք դեռ չգիտենք, թե ինչպես DDoS-ի մեղմացման ապարատային վաճառողները կհարմարվեն TLS 1.3-ի իրողություններին: Շրջանակից դուրս արձանագրության աջակցման տեխնիկական բարդության պատճառով թարմացումը կարող է որոշ ժամանակ տևել:
Հետազոտությունը ուղղորդելու համար ճիշտ նպատակներ դնելը մեծ մարտահրավեր է DDoS-ի մեղմացման ծառայություններ մատուցողների համար: Ոլորտներից մեկը, որտեղ կարող է սկսվել զարգացումը, դա է IRTF-ում, որտեղ հետազոտողները կարող են համագործակցել արդյունաբերության հետ՝ կատարելագործելու իրենց սեփական գիտելիքները դժվար արդյունաբերության վերաբերյալ և հետազոտելու նոր ուղիներ: Մենք նաև ջերմորեն ողջունում ենք բոլոր հետազոտողներին, եթե այդպիսիք լինեն. մեզ հետ կարող են կապվել DDoS հետազոտության կամ SMART հետազոտական խմբի հետ կապված հարցերով կամ առաջարկներով.
Source: www.habr.com