年の初めに、2018 年から 2019 年のインターネットの問題とアクセシビリティに関するレポートが発表されました。
IETF TLS ワーキング グループの議長
「要するに、TLS 1.3 は今後 20 年間、より安全で効率的なインターネットの基盤を提供するはずです。」
開発
Eric Rescorla 氏 (Firefox CTO および TLS 1.3 の単独著者) によると
「これは、同じキーと証明書を使用する TLS 1.2 の完全な代替品です。そのため、クライアントとサーバーが両方とも TLS 1.3 をサポートしていれば、自動的に TLS 1.3 経由で通信できます。」と同氏は述べています。 「ライブラリレベルではすでに優れたサポートがあり、Chrome と Firefox ではデフォルトで TLS XNUMX が有効になっています。」
並行して、TLS は IETF ワーキング グループで終了します
最適なライブラリを探している人は、現在の TLS 1.3 実装のリストを Github で入手できます。
TLS 1.2 以降何が変わりましたか?
の
「TLS 1.3 はどのように世界をより良い場所にするのでしょうか?
TLS 1.3 には、安全な接続を確立するためのハンドシェイク プロセスの簡素化など、特定の技術的利点が含まれており、クライアントがサーバーとのセッションをより迅速に再開できるようになります。 これらの対策は、接続セットアップの遅延と弱いリンクでの接続失敗を減らすことを目的としており、暗号化されていない HTTP 接続のみを提供することを正当化するためによく使用されます。
同様に重要なことは、SHA-1、MD5、DES、3DES、AES-CBC など、以前のバージョンの TLS での使用がまだ許可されている (ただし推奨されていない) いくつかのレガシーで安全でない暗号化およびハッシュ アルゴリズムのサポートが削除されることです。新しい暗号スイートのサポートを追加します。 その他の改善点には、潜在的なトラフィック盗聴者への手がかりの量を減らすためにハンドシェイクの暗号化された要素が増えたこと (たとえば、証明書情報の交換が暗号化されるようになった) や、特定のキー交換モードを使用するときの転送秘密性の改善が含まれます。たとえ将来、暗号化に使用されたアルゴリズムが危険にさらされたとしても、常に安全性を維持する必要があります。」
最新のプロトコルと DDoS の開発
すでにお読みになったかもしれませんが、プロトコルの開発中に
これが必要となる理由はドキュメントに記載されています。
私たちには規制要件について推測する準備ができていないことは確かですが、当社独自のアプリケーション DDoS 軽減製品 (ソリューションを含む)
また、導入以来、トランスポート暗号化に関する問題は確認されていません。 公式には、TLS 1.3 の運用準備が整っています。
しかし、次世代プロトコルの開発には依然として問題が残されています。 問題は、IETF におけるプロトコルの進歩は一般的に学術研究に大きく依存しており、分散型サービス妨害攻撃の緩和分野における学術研究の状況が悲惨であることです。
したがって、良い例は次のとおりです
実際、後者は実際の企業環境では非常にまれであり (ISP には部分的にのみ適用されます)、いずれの場合も現実世界では「一般的なケース」である可能性は低いですが、科学出版物には常に表示され、通常はサポートされていません。アプリケーション レベルの攻撃を含む、潜在的な DDoS 攻撃の全範囲をテストします。 後者は、少なくとも TLS が世界的に展開されているため、ネットワーク パケットとフローの受動的な測定では明らかに検出できません。
同様に、DDoS 軽減ハードウェア ベンダーが TLS 1.3 の現実にどのように適応するかはまだわかりません。 帯域外プロトコルのサポートは技術的に複雑であるため、アップグレードには時間がかかる場合があります。
研究を導くための適切な目標を設定することは、DDoS 軽減サービス プロバイダーにとって大きな課題です。 開発を開始できる領域の XNUMX つは、
出所: habr.com