Am Ufank vum Joer an engem Bericht iwwer Internetproblemer an Accessibilitéit fir 2018-2019 datt d'Verbreedung vun TLS 1.3 inévitabel ass. Virun enger Zäit hu mir selwer d'Versioun 1.3 vum Transport Layer Security Protokoll ofgesat an, nodeems mir Daten gesammelt an analyséiert hunn, si mir endlech prett iwwer d'Features vun dësem Iwwergang ze schwätzen.
IETF TLS Working Group Chairs :
Kuerz gesot, TLS 1.3 soll d'Basis fir e méi sécheren an effizienten Internet fir déi nächst 20 Joer ubidden.
Entwécklung huet 10 laang Joer. Mir bei Qrator Labs, zesumme mam Rescht vun der Industrie, hunn de Protokollkreatiounsprozess vum initialen Entworf no gefollegt. Wärend dëser Zäit war et néideg 28 konsekutiv Versioune vum Entworf ze schreiwen fir schlussendlech d'Liicht vun engem equilibréierten an einfach z'installéieren Protokoll am Joer 2019 ze gesinn. Déi aktiv Maartunterstëtzung fir TLS 1.3 ass scho evident: d'Ëmsetzung vun engem bewährten an zouverléissege Sécherheetsprotokoll entsprécht d'Bedierfnesser vun der Zäit.
Nom Eric Rescorla (Firefox CTO an eenzegen Auteur vun TLS 1.3) :
"Dëst ass e komplette Ersatz fir TLS 1.2, déi déiselwecht Schlësselen an Zertifikater benotzt, sou datt de Client an de Server automatesch iwwer TLS 1.3 kommunizéieren wa se béid et ënnerstëtzen," sot hien. "Et gëtt scho gutt Ënnerstëtzung um Bibliothéiksniveau, a Chrome a Firefox aktivéieren TLS 1.3 par défaut."
Parallel schléisst TLS am IETF-Aarbechtsgrupp op , déi eeler Versioune vun TLS erklären (ausser nëmmen TLS 1.2) obsolet an onbrauchbar. Wahrscheinlech gëtt de leschte RFC virum Enn vum Summer verëffentlecht. Dëst ass en anert Signal fir d'IT Industrie: d'Aktualiséierung vun Verschlësselungsprotokoller sollt net verspéit ginn.
Eng Lëscht vun aktuellen TLS 1.3 Implementatiounen ass verfügbar op Github fir jiddereen deen no der gëeegentste Bibliothéik sicht: . Et ass kloer datt d'Adoptioun an d'Ënnerstëtzung fir den aktualiséierte Protokoll wäert sinn - a scho - séier virugoen. D'Verstoe vu wéi fundamental Verschlësselung an der moderner Welt ginn ass ass zimlech wäit verbreet.
Wat huet geännert zënter TLS 1.2?
Vun :
"Wéi mécht TLS 1.3 d'Welt eng besser Plaz?
TLS 1.3 enthält gewësse technesch Virdeeler - sou wéi e vereinfachte Handshakeprozess fir eng sécher Verbindung ze etabléieren - an erlaabt och Clienten méi séier Sessiounen mat Serveren ze resuméieren. Dës Moossname sollen d'Verbindungssetuplatenz a Verbindungsfehler op schwaache Linken reduzéieren, déi dacks als Begrënnung benotzt ginn fir nëmmen onverschlësselte HTTP-Verbindungen ze liwweren.
Just esou wichteg, et läscht Ënnerstëtzung fir verschidde Legacy an onsécher Verschlësselung an Hashing Algorithmen déi nach ëmmer erlaabt sinn (awer net recommandéiert) fir ze benotzen mat fréiere Versioune vun TLS, dorënner SHA-1, MD5, DES, 3DES, an AES-CBC. derbäi Ënnerstëtzung fir nei Chiffer Suiten. Aner Verbesserungen enthalen méi verschlësselte Elementer vum Handshake (zum Beispill den Austausch vun Zertifikatinformatioun ass elo verschlësselt) fir d'Quantitéit vun Hiweiser op e potenziellen Traffic Oflauschterskandal ze reduzéieren, souwéi Verbesserunge fir d'Forward Geheimnis wann Dir verschidde Schlësselaustauschmodi benotzt, sou datt d'Kommunikatioun zu all Moment muss sécher bleiwen, och wann d'Algorithmen, déi benotzt gi fir et ze verschlësselen, an Zukunft kompromittéiert sinn.
Entwécklung vu modernen Protokoller an DDoS
Wéi Dir scho gelies hutt, während der Entwécklung vum Protokoll , am IETF TLS Aarbechtsgrupp . Et ass elo kloer datt eenzel Entreprisen (inklusiv Finanzinstituter) d'Art a Weis wéi se hiren eegene Netzwierk ofsécheren mussen änneren fir de Protokoll elo agebaute .
D'Grënn firwat dëst erfuerderlech ass, sinn am Dokument festgeluecht, . Den 20-Säit Pabeier nennt verschidde Beispiller wou eng Entreprise den Out-of-Band Traffic decryptéiere wëllt (wat PFS net erlaabt) fir Iwwerwaachung, Konformitéit oder Uwendungsschicht (L7) DDoS Schutzzwecker.
Och wa mir sécher net bereet sinn iwwer reglementaresch Ufuerderungen ze spekuléieren, eis propriétaire Applikatioun DDoS Mitigatiounsprodukt (inklusiv eng Léisung sensibel an/oder vertraulech Informatioun) gouf am Joer 2012 erstallt andeems PFS Rechnung gedroe gëtt, sou datt eis Clienten a Partner keng Ännerunge fir hir Infrastruktur brauchen no der Aktualiséierung vun der TLS Versioun op der Server Säit.
Och zënter der Ëmsetzung si keng Probleemer am Zesummenhang mat Transportverschlësselung identifizéiert. Et ass offiziell: TLS 1.3 ass prett fir d'Produktioun.
Wéi och ëmmer, et gëtt nach ëmmer e Problem mat der Entwécklung vun den nächste Generatioun Protokoller assoziéiert. De Problem ass datt de Protokoll Fortschrëtt an der IETF typesch staark vun der akademescher Fuerschung ofhängeg ass, an den Zoustand vun der akademescher Fuerschung am Beräich vun der Vermeidung vun verdeelt Denial-of-Service Attacken ass déif.
Also, e gutt Beispill wier Den IETF Entworf "QUIC Manageability", Deel vun der zukünfteg QUIC Protokoll Suite, seet datt "modern Methode fir [DDoS Attacken] z'entdecken an ze reduzéieren typesch passiv Messung mat Netzflowdaten involvéieren."
Déi lescht ass tatsächlech ganz seelen an realen Enterprise-Ëmfeld (an nëmmen deelweis applicabel fir ISPs), an op alle Fall ass et onwahrscheinlech en "allgemenge Fall" an der realer Welt - awer erschéngt stänneg a wëssenschaftleche Publikatiounen, normalerweis net ënnerstëtzt andeems Dir de ganze Spektrum vu potenziellen DDoS-Attacke testen, inklusiv Applikatiounsniveau Attacken. Déi lescht, wéinst op d'mannst déi weltwäit Deployment vun TLS, kann selbstverständlech net duerch passiv Messung vu Netzwierkpakete a Flux festgestallt ginn.
Och wësse mir nach net wéi DDoS-mitigéierend Hardware Ubidder un d'Realitéite vun TLS 1.3 adaptéieren. Wéinst der technescher Komplexitéit vum Out-of-Band Protokoll z'ënnerstëtzen, kann den Upgrade e bëssen Zäit daueren.
Déi richteg Ziler ze setzen fir d'Fuerschung ze guidéieren ass eng grouss Erausfuerderung fir DDoS Mitigatiounsserviceprovider. Ee Beräich wou d'Entwécklung ufänken kann ass op der IRTF, wou Fuerscher mat der Industrie kollaboréieren kënnen fir hiren eegene Wëssen vun enger Erausfuerderung Industrie ze verfeineren an nei Weeër vun der Fuerschung ze entdecken. Mir begréissen och all Fuerscher häerzlech wëllkomm, sollten et sinn - mir kënne mat Froen oder Suggestiounen am Zesummenhang mat DDoS Fuerschung oder der SMART Fuerschungsgrupp kontaktéiert ginn
Source: will.com