Ing awal taun, ing laporan babagan masalah Internet lan aksesibilitas kanggo 2018-2019 yen panyebaran TLS 1.3 ora bisa dihindari. Sawetara wektu kepungkur, kita dhewe nyebarake versi 1.3 saka protokol Keamanan Lapisan Transportasi lan, sawise ngumpulake lan nganalisa data, pungkasane kita siap ngomong babagan fitur transisi iki.
Ketua Kelompok Kerja IETF TLS :
"Singkatipun, TLS 1.3 kudu nyedhiyakake dhasar kanggo Internet sing luwih aman lan efisien sajrone 20 taun sabanjure."
Pangembangan saka njupuk 10 taun suwene. Kita ing Qrator Labs, bebarengan karo industri liyane, wis ngetutake proses nggawe protokol saka konsep awal. Sajrone wektu kasebut, perlu nulis 28 versi draf sing berturut-turut supaya bisa ndeleng protokol sing seimbang lan gampang disebarake ing taun 2019. Dhukungan pasar aktif kanggo TLS 1.3 wis katon: implementasi protokol keamanan sing wis bukti lan dipercaya nyukupi kabutuhan jaman saiki.
Miturut Eric Rescorla (Firefox CTO lan penulis tunggal TLS 1.3) :
"Iki minangka panggantos lengkap kanggo TLS 1.2, nggunakake tombol lan sertifikat sing padha, supaya klien lan server bisa komunikasi kanthi otomatis liwat TLS 1.3 yen loro-lorone ndhukung," ujare. "Wis ana dhukungan sing apik ing tingkat perpustakaan, lan Chrome lan Firefox ngaktifake TLS 1.3 kanthi standar."
Ing paralel, TLS wis rampung ing grup kerja IETF , nyatakake versi lawas saka TLS (ora kalebu mung TLS 1.2) lungse lan ora bisa digunakake. Paling kamungkinan, RFC final bakal dirilis sadurunge pungkasan mangsa panas. Iki minangka sinyal liyane kanggo industri IT: nganyari protokol enkripsi ora kudu ditundha.
Dhaptar implementasi TLS 1.3 saiki kasedhiya ing Github kanggo sapa wae sing nggoleki perpustakaan sing paling cocok: . Cetha yen adopsi lan dhukungan kanggo protokol sing dianyari bakal-lan wis-maju kanthi cepet. Pangertosan babagan enkripsi dhasar ing jagad modern wis nyebar kanthi wiyar.
Apa sing wis diganti wiwit TLS 1.2?
Saka :
"Kepiye TLS 1.3 nggawe jagad dadi papan sing luwih apik?
TLS 1.3 kalebu kaluwihan teknis tartamtu-kayata proses jabat tangan sing disederhanakake kanggo nggawe sambungan sing aman-lan uga ngidini klien nerusake sesi karo server kanthi luwih cepet. Langkah-langkah kasebut dimaksudake kanggo nyuda latensi persiyapan sambungan lan kegagalan sambungan ing tautan sing lemah, sing asring digunakake minangka kabeneran kanggo nyedhiyakake mung sambungan HTTP sing ora dienkripsi.
Sing penting, mbusak dhukungan kanggo sawetara enkripsi lan algoritma hashing warisan lan ora aman sing isih diidinake (sanajan ora dianjurake) kanggo digunakake karo versi TLS sadurungΓ©, kalebu SHA-1, MD5, DES, 3DES, lan AES-CBC. nambahake dhukungan kanggo suite cipher anyar. Perbaikan liyane kalebu unsur salaman sing luwih ndhelik (contone, ijol-ijolan informasi sertifikat saiki dienkripsi) kanggo nyuda jumlah pitunjuk menyang eavesdropper lalu lintas potensial, uga dandan kanggo nerusake rahasia nalika nggunakake mode pertukaran tombol tartamtu supaya komunikasi sawayah-wayah kudu tetep aman sanajan algoritma sing digunakake kanggo enkripsi bakal dikompromi ing mangsa ngarep.
Pangembangan protokol modern lan DDoS
Nalika sampeyan bisa uga wis maca, sak pangembangan protokol , ing grup kerja IETF TLS . Saiki wis jelas manawa perusahaan individu (kalebu institusi finansial) kudu ngganti cara ngamanake jaringan dhewe supaya bisa nampung protokol sing saiki wis dibangun. .
Alasan kenapa iki bisa uga dibutuhake diterangake ing dokumen kasebut, . Kertas 20-kaca kasebut nyebataken sawetara conto ing ngendi perusahaan bisa uga pengin dekripsi lalu lintas metu saka band (sing PFS ora ngidini) kanggo ngawasi, kepatuhan utawa lapisan aplikasi (L7) tujuan proteksi DDoS.
Nalika kita mesthi ora siyap kanggo spekulasi babagan syarat regulasi, produk mitigasi DDoS aplikasi kepemilikan kita (kalebu solusi informasi sensitif lan/utawa rahasia) digawe ing 2012 njupuk PFS menyang akun, supaya klien lan partners kita ora perlu kanggo nggawe owah-owahan ing infrastruktur sawise nganyari versi TLS ing sisih server.
Uga, wiwit implementasine, ora ana masalah sing ana gandhengane karo enkripsi transportasi sing diidentifikasi. Resmi: TLS 1.3 siyap kanggo produksi.
Nanging, isih ana masalah sing ana gandhengane karo pangembangan protokol generasi sabanjure. Masalahe yaiku kemajuan protokol ing IETF biasane gumantung banget karo riset akademik, lan kahanan riset akademik ing bidang nyuda serangan penolakan layanan sing disebarake ora apik.
Dadi, conto sing apik Draf IETF "QUIC Manageability," bagean saka suite protokol QUIC sing bakal teka, nyatakake yen "cara modern kanggo ndeteksi lan nyuda [serangan DDoS] biasane kalebu pangukuran pasif nggunakake data aliran jaringan."
Sing terakhir, nyatane, arang banget ing lingkungan perusahaan nyata (lan mung sebagian ditrapake kanggo ISP), lan ing kasus apa wae ora mungkin dadi "kasus umum" ing donya nyata - nanging katon terus-terusan ing publikasi ilmiah, biasane ora didhukung. kanthi nguji kabeh spektrum serangan DDoS potensial, kalebu serangan level aplikasi. Sing terakhir, amarga paling ora penyebaran TLS ing saindenging jagad, jelas ora bisa dideteksi kanthi pangukuran pasif paket lan aliran jaringan.
Kajaba iku, kita durung ngerti kepiye vendor hardware mitigasi DDoS bakal adaptasi karo kasunyatan TLS 1.3. Amarga kerumitan teknis ndhukung protokol out-of-band, upgrade bisa njupuk sawetara wektu.
Nyetel tujuan sing tepat kanggo nuntun riset minangka tantangan utama kanggo panyedhiya layanan mitigasi DDoS. Salah sawijining wilayah sing bisa diwiwiti pembangunan yaiku ing IRTF, ngendi peneliti bisa kolaborasi karo industri kanggo nyaring kawruh dhewe babagan industri tantangan lan njelajah dalan anyar riset. Kita uga menehi sambutan sing apik kanggo kabeh peneliti, yen ana - kita bisa dikontak karo pitakonan utawa saran sing ana gandhengane karo riset DDoS utawa grup riset SMART ing
Source: www.habr.com