Di awal tahun, dalam laporan permasalahan dan aksesibilitas Internet tahun 2018-2019 bahwa penyebaran TLS 1.3 tidak bisa dihindari. Beberapa waktu lalu, kami sendiri menerapkan protokol Keamanan Lapisan Transportasi versi 1.3 dan, setelah mengumpulkan dan menganalisis data, kami akhirnya siap untuk membicarakan fitur transisi ini.
Ketua Kelompok Kerja IETF TLS :
“Singkatnya, TLS 1.3 harus memberikan landasan bagi Internet yang lebih aman dan efisien untuk 20 tahun ke depan.”
Pembangunan memakan waktu 10 tahun yang panjang. Kami di Qrator Labs, bersama dengan industri lainnya, telah mengikuti dengan cermat proses pembuatan protokol dari draf awal. Selama masa ini, perlu untuk menulis 28 versi draf secara berturut-turut agar pada akhirnya dapat melihat protokol yang seimbang dan mudah diterapkan pada tahun 2019. Dukungan pasar aktif untuk TLS 1.3 sudah terbukti: penerapan protokol keamanan yang terbukti dan andal memenuhi kebutuhan zaman.
Menurut Eric Rescorla (Firefox CTO dan penulis tunggal TLS 1.3) :
“Ini merupakan pengganti lengkap TLS 1.2, menggunakan kunci dan sertifikat yang sama, sehingga klien dan server dapat berkomunikasi secara otomatis melalui TLS 1.3 jika keduanya mendukungnya,” ujarnya. “Sudah ada dukungan yang baik di tingkat perpustakaan, dan Chrome serta Firefox mengaktifkan TLS 1.3 secara default.”
Secara paralel, TLS berakhir di kelompok kerja IETF , menyatakan versi TLS yang lebih lama (tidak termasuk TLS 1.2 saja) sudah usang dan tidak dapat digunakan. Kemungkinan besar, RFC final akan dirilis sebelum akhir musim panas. Ini adalah sinyal lain bagi industri TI: pembaruan protokol enkripsi tidak boleh ditunda.
Daftar implementasi TLS 1.3 saat ini tersedia di Github untuk siapa saja yang mencari perpustakaan yang paling sesuai: . Jelas bahwa penerapan dan dukungan terhadap protokol yang diperbarui ini akan—dan sudah—berkembang pesat. Pemahaman tentang betapa mendasarnya enkripsi di dunia modern telah menyebar cukup luas.
Apa yang berubah sejak TLS 1.2?
Dari :
“Bagaimana TLS 1.3 membuat dunia menjadi tempat yang lebih baik?
TLS 1.3 mencakup keunggulan teknis tertentu—seperti proses jabat tangan yang disederhanakan untuk membuat sambungan aman—dan juga memungkinkan klien melanjutkan sesi dengan server dengan lebih cepat. Langkah-langkah ini dimaksudkan untuk mengurangi latensi pengaturan koneksi dan kegagalan koneksi pada tautan lemah, yang sering kali digunakan sebagai pembenaran untuk hanya menyediakan koneksi HTTP yang tidak terenkripsi.
Yang sama pentingnya, hal ini menghilangkan dukungan untuk beberapa algoritma enkripsi dan hashing lama dan tidak aman yang masih diizinkan (meskipun tidak disarankan) untuk digunakan dengan versi TLS sebelumnya, termasuk SHA-1, MD5, DES, 3DES, dan AES-CBC. menambahkan dukungan untuk cipher suite baru. Perbaikan lainnya mencakup elemen jabat tangan yang lebih terenkripsi (misalnya, pertukaran informasi sertifikat sekarang dienkripsi) untuk mengurangi jumlah petunjuk kepada calon penyadap lalu lintas, serta perbaikan untuk meneruskan kerahasiaan saat menggunakan mode pertukaran kunci tertentu sehingga komunikasi dapat berjalan lancar. setiap saat harus tetap aman meskipun algoritma yang digunakan untuk mengenkripsinya disusupi di masa depan.”
Pengembangan protokol modern dan DDoS
Seperti yang mungkin sudah Anda baca, selama pengembangan protokol , dalam kelompok kerja TLS IETF . Sekarang jelas bahwa masing-masing perusahaan (termasuk lembaga keuangan) harus mengubah cara mereka mengamankan jaringan mereka sendiri untuk mengakomodasi protokol yang sudah ada di dalamnya. .
Alasan mengapa hal ini diperlukan dijelaskan dalam dokumen, . Makalah setebal 20 halaman menyebutkan beberapa contoh di mana suatu perusahaan mungkin ingin mendekripsi lalu lintas out-of-band (yang tidak diizinkan oleh PFS) untuk tujuan pemantauan, kepatuhan, atau perlindungan DDoS lapisan aplikasi (L7).
Meskipun kami tentu saja tidak siap untuk berspekulasi mengenai persyaratan peraturan, produk mitigasi DDoS aplikasi milik kami (termasuk solusinya informasi sensitif dan/atau rahasia) dibuat pada tahun 2012 dengan mempertimbangkan PFS, sehingga klien dan mitra kami tidak perlu melakukan perubahan apa pun pada infrastruktur mereka setelah memperbarui versi TLS di sisi server.
Selain itu, sejak implementasi, tidak ada masalah terkait enkripsi transport yang teridentifikasi. Resmi: TLS 1.3 siap diproduksi.
Namun, masih terdapat masalah terkait dengan pengembangan protokol generasi berikutnya. Masalahnya adalah kemajuan protokol di IETF biasanya sangat bergantung pada penelitian akademis, dan kondisi penelitian akademis di bidang mitigasi serangan penolakan layanan terdistribusi (distributed denial-of-service) sangat suram.
Jadi, contoh yang bagus adalah Draf IETF “QUIC Manageability,” bagian dari rangkaian protokol QUIC yang akan datang, menyatakan bahwa “metode modern untuk mendeteksi dan memitigasi [serangan DDoS] biasanya melibatkan pengukuran pasif menggunakan data aliran jaringan.”
Kenyataannya, hal yang terakhir ini sangat jarang terjadi di lingkungan perusahaan nyata (dan hanya sebagian yang dapat diterapkan pada ISP), dan dalam kasus apa pun kemungkinannya tidak akan menjadi "kasus umum" di dunia nyata - namun muncul terus-menerus dalam publikasi ilmiah, biasanya tidak didukung dengan menguji seluruh spektrum potensi serangan DDoS, termasuk serangan tingkat aplikasi. Yang terakhir, setidaknya karena penerapan TLS di seluruh dunia, jelas tidak dapat dideteksi dengan pengukuran pasif paket dan aliran jaringan.
Demikian pula, kami belum mengetahui bagaimana vendor perangkat keras mitigasi DDoS akan beradaptasi dengan realitas TLS 1.3. Karena kerumitan teknis dalam mendukung protokol out-of-band, pemutakhiran mungkin memerlukan waktu.
Menetapkan tujuan yang tepat untuk memandu penelitian merupakan tantangan besar bagi penyedia layanan mitigasi DDoS. Salah satu area di mana pembangunan dapat dimulai adalah di IRTF, tempat para peneliti dapat berkolaborasi dengan industri untuk menyempurnakan pengetahuan mereka tentang industri yang penuh tantangan dan mencari jalur penelitian baru. Kami juga menyampaikan sambutan hangat kepada seluruh peneliti, jika ada - kami dapat dihubungi jika ada pertanyaan atau saran terkait penelitian DDoS atau grup penelitian SMART di
Sumber: www.habr.com