All’inizio dell’anno, in un rapporto sui problemi di Internet e sull’accessibilità per il 2018-2019
Presidenti dei gruppi di lavoro IETF TLS
“In breve, TLS 1.3 dovrebbe fornire le basi per un Internet più sicuro ed efficiente per i prossimi 20 anni”.
Разработка
Secondo Eric Rescorla (CTO di Firefox e unico autore di TLS 1.3)
"Si tratta di un sostituto completo di TLS 1.2, che utilizza le stesse chiavi e certificati, in modo che il client e il server possano comunicare automaticamente tramite TLS 1.3 se entrambi lo supportano", ha affermato. "Esiste già un buon supporto a livello di libreria e Chrome e Firefox abilitano TLS 1.3 per impostazione predefinita."
Parallelamente, TLS finisce nel gruppo di lavoro IETF
Un elenco delle attuali implementazioni di TLS 1.3 è disponibile su Github per chiunque cerchi la libreria più adatta:
Cosa è cambiato da TLS 1.2?
Di
“In che modo TLS 1.3 rende il mondo un posto migliore?
TLS 1.3 include alcuni vantaggi tecnici, come un processo di handshake semplificato per stabilire una connessione sicura, e consente inoltre ai client di riprendere più rapidamente le sessioni con i server. Queste misure hanno lo scopo di ridurre la latenza di configurazione della connessione e gli errori di connessione su collegamenti deboli, che vengono spesso utilizzati come giustificazione per fornire solo connessioni HTTP non crittografate.
Cosa altrettanto importante, rimuove il supporto per numerosi algoritmi di crittografia e hashing legacy e non sicuri che sono ancora consentiti (sebbene non consigliati) per l'uso con versioni precedenti di TLS, tra cui SHA-1, MD5, DES, 3DES e AES-CBC. aggiunta del supporto per nuove suite di crittografia. Altri miglioramenti includono elementi più crittografati dell'handshake (ad esempio, lo scambio di informazioni sui certificati è ora crittografato) per ridurre la quantità di indizi su un potenziale intercettatore del traffico, nonché miglioramenti alla segretezza di inoltro quando si utilizzano determinate modalità di scambio di chiavi in modo che la comunicazione deve rimanere sempre sicuro anche se gli algoritmi utilizzati per crittografarlo dovessero essere compromessi in futuro.”
Sviluppo di protocolli moderni e DDoS
Come forse avrai già letto, durante lo sviluppo del protocollo
Le ragioni per le quali ciò può essere richiesto sono esposte nel documento,
Anche se non siamo certamente disposti a speculare sui requisiti normativi, il nostro prodotto di mitigazione DDoS applicativo proprietario (inclusa una soluzione
Inoltre, dopo l'implementazione, non sono stati identificati problemi relativi alla crittografia del trasporto. È ufficiale: TLS 1.3 è pronto per la produzione.
Tuttavia, esiste ancora un problema associato allo sviluppo dei protocolli di prossima generazione. Il problema è che il progresso del protocollo nell’IETF dipende in genere fortemente dalla ricerca accademica, e lo stato della ricerca accademica nel campo della mitigazione degli attacchi denial-of-service distribuiti è deprimente.
Quindi, un buon esempio sarebbe
Quest'ultimo è, infatti, molto raro negli ambienti aziendali reali (e applicabile solo parzialmente agli ISP), e in ogni caso difficilmente costituisce un "caso generale" nel mondo reale - ma appare costantemente in pubblicazioni scientifiche, solitamente non supportate testando l'intero spettro di potenziali attacchi DDoS, compresi gli attacchi a livello di applicazione. Quest'ultimo, almeno a causa della diffusione mondiale di TLS, ovviamente non può essere rilevato mediante misurazione passiva di pacchetti e flussi di rete.
Allo stesso modo, non sappiamo ancora come i fornitori di hardware di mitigazione DDoS si adatteranno alla realtà di TLS 1.3. A causa della complessità tecnica del supporto del protocollo fuori banda, l'aggiornamento potrebbe richiedere del tempo.
Stabilire gli obiettivi giusti per guidare la ricerca è una sfida importante per i fornitori di servizi di mitigazione DDoS. Un'area in cui può iniziare lo sviluppo è
Fonte: habr.com