Жылдын башында 2018-2019-жылдар үчүн Интернет көйгөйлөрү жана жеткиликтүүлүк жөнүндө отчетунда
IETF TLS жумушчу тобунун төрагалары
"Кыскача айтканда, TLS 1.3 кийинки 20 жыл үчүн коопсуз жана натыйжалуу Интернет үчүн негиз болушу керек."
дизайн
Эрик Рескорла (Firefox CTO жана TLS 1.3тин жалгыз автору) айтымында
"Бул бир эле ачкычтарды жана сертификаттарды колдонуу менен TLS 1.2 үчүн толук алмаштыруу, ошондуктан кардар менен сервер TLS 1.3 аркылуу автоматтык түрдө байланыша алышат, эгерде экөө тең колдосо," деди ал. "Китепкананын деңгээлинде мурунтан эле жакшы колдоо бар жана Chrome жана Firefox демейки боюнча TLS 1.3ти иштетет."
Буга катар эле, TLS IETF жумушчу тобунда аяктап жатат
Учурдагы TLS 1.3 ишке ашыруулардын тизмеси эң ылайыктуу китепкананы издеген адамдар үчүн Githubда жеткиликтүү:
TLS 1.2ден бери эмне өзгөрдү?
чейин
"TLS 1.3 кантип дүйнөнү жакшыраак кылат?
TLS 1.3 коопсуз байланышты түзүү үчүн жөнөкөйлөштүрүлгөн кол алышуу процесси сыяктуу белгилүү бир техникалык артыкчылыктарды камтыйт жана ошондой эле кардарларга серверлер менен сессияларды тезирээк улантууга мүмкүндүк берет. Бул чаралар көбүнчө шифрленбеген HTTP туташуулар менен камсыз кылуу үчүн негиз катары колдонулган алсыз шилтемелердеги туташуунун кечигүү убактысын жана туташуу каталарын азайтуу үчүн арналган.
Маанилүү болгондой эле, ал TLSтин мурунку версиялары, анын ичинде SHA-1, MD5, DES, 3DES жана AES-CBC менен колдонууга уруксат берилген (бирок сунушталбайт) бир нече эски жана кооптуу шифрлөө жана хэширлөө алгоритмдерин колдоону жок кылат. жаңы шифр топтомун колдоо кошуу. Башка өркүндөтүүлөргө кол алышуунун шифрленген элементтери кирет (мисалы, күбөлүк маалыматы менен алмашуу азыр шифрленген), трафиктин потенциалдуу тыңшоочусуна болгон ачкычтардын санын азайтуу үчүн, ошондой эле айрым ачкыч алмашуу режимдерин колдонууда сырды кайра жөнөтүүнү жакшыртуу. Келечекте аны шифрлөө үчүн колдонулган алгоритмдер бузулса дагы, ар дайым коопсуз бойдон калууга тийиш.
Заманбап протоколдорду жана DDoS иштеп чыгуу
Протоколду иштеп чыгуу учурунда сиз буга чейин окугансыз
Бул талап кылынышы мүмкүн болгон себептер документте,
Биз, албетте, ченемдик укуктук талаптар боюнча ой жүгүртүүгө даяр эмес болсок да, биздин менчик колдонмо DDoS жумшартуучу продукт (анын ичинде чечим
Ошондой эле, ишке ашырылгандан бери транспорттук шифрлөө менен байланышкан көйгөйлөр аныкталган эмес. Бул расмий: TLS 1.3 өндүрүшкө даяр.
Бирок, кийинки муундагы протоколдорду иштеп чыгуу менен байланышкан көйгөй дагы эле бар. Көйгөй IETF протоколунун прогресси, адатта, академиялык изилдөөлөрдөн көз каранды жана бөлүштүрүлгөн кызмат көрсөтүүдөн баш тартуу чабуулдарын азайтуу жаатындагы академиялык изилдөөлөрдүн абалы начар.
Ошентип, жакшы үлгү болот
Акыркысы, чындыгында, чыныгы ишкана чөйрөлөрүндө өтө сейрек кездешет (жана ISPлерге жарым-жартылай гана тиешелүү) жана кандай болгон күндө да чыныгы дүйнөдө "жалпы окуя" болушу күмөн - бирок илимий басылмаларда дайыма пайда болот, адатта колдоого алынбайт. мүмкүн болуучу DDoS чабуулдарынын бүт спектрин, анын ичинде колдонмо деңгээлиндеги чабуулдарды сыноо аркылуу. Акыркысы, жок эле дегенде, TLSтин дүйнө жүзү боюнча жайылышына байланыштуу, тармак пакеттерин жана агымдарын пассивдүү өлчөө жолу менен аныктоо мүмкүн эмес.
Ошо сыяктуу эле, DDoS жумшартуу аппараттык камсыздоочулары TLS 1.3 реалдуулуктарына кантип ыңгайлашарын азырынча билбейбиз. Типтен тышкаркы протоколду колдоонун техникалык татаалдыгынан улам жаңыртуу бир аз убакытты талап кылышы мүмкүн.
Изилдөөгө туура максаттарды коюу DDoS жумшартуу кызмат көрсөтүүчүлөрү үчүн негизги көйгөй болуп саналат. Өнүгүү баштала турган аймактын бири
Source: www.habr.com