Gada sākumā ziņojumā par interneta problēmām un pieejamību 2018.-2019. ka TLS 1.3 izplatība ir neizbēgama. Pirms kāda laika mēs paši izvietojām Transport Layer Security protokola versiju 1.3 un pēc datu apkopošanas un analīzes beidzot esam gatavi runāt par šīs pārejas iezīmēm.
IETF TLS darba grupas priekšsēdētāji :
"Īsumā sakot, TLS 1.3 ir jānodrošina pamats drošākam un efektīvākam internetam nākamajiem 20 gadiem."
Attīstība prasīja 10 garus gadus. Mēs Qrator Labs kopā ar pārējām nozarēm esam rūpīgi sekojuši protokola izveides procesam no sākotnējā projekta. Šajā laikā bija nepieciešams uzrakstīt 28 secīgas projekta versijas, lai 2019. gadā galu galā ieraudzītu līdzsvarota un viegli izvietojama protokola gaismu. Aktīvais tirgus atbalsts TLS 1.3 jau ir acīmredzams: pārbaudīta un uzticama drošības protokola ieviešana atbilst laikmeta vajadzībām.
Saskaņā ar Ēriku Reskorlu (Firefox CTO un vienīgais TLS 1.3 autors) :
"Šis ir pilnīgs TLS 1.2 aizstājējs, izmantojot tās pašas atslēgas un sertifikātus, tāpēc klients un serveris var automātiski sazināties, izmantojot TLS 1.3, ja abi to atbalsta," viņš teica. "Bibliotēkas līmenī jau ir labs atbalsts, un pārlūkā Chrome un Firefox pēc noklusējuma ir iespējots TLS 1.3."
Paralēli TLS beidzas IETF darba grupā , pasludinot vecākas TLS versijas (izņemot tikai TLS 1.2) par novecojušām un nelietojamām. Visticamāk, galīgais RFC tiks izdots pirms vasaras beigām. Tas ir vēl viens signāls IT nozarei: ar šifrēšanas protokolu atjaunināšanu nevajadzētu aizkavēties.
Pašreizējo TLS 1.3 implementāciju saraksts ir pieejams vietnē Github ikvienam, kas meklē vispiemērotāko bibliotēku: . Ir skaidrs, ka atjauninātā protokola pieņemšana un atbalsts strauji progresēs un jau turpinās. Izpratne par to, kā mūsdienu pasaulē ir kļuvusi fundamentāla šifrēšana, ir izplatījusies diezgan plaši.
Kas ir mainījies kopš TLS 1.2?
No :
“Kā TLS 1.3 padara pasauli labāku?
TLS 1.3 ietver noteiktas tehniskas priekšrocības, piemēram, vienkāršotu rokasspiediena procesu, lai izveidotu drošu savienojumu, kā arī ļauj klientiem ātrāk atsākt sesijas ar serveriem. Šie pasākumi ir paredzēti, lai samazinātu savienojuma iestatīšanas latentumu un savienojuma kļūmes vājās saitēs, ko bieži izmanto kā attaisnojumu tikai nešifrētu HTTP savienojumu nodrošināšanai.
Tikpat svarīgi ir tas, ka tiek noņemts atbalsts vairākiem mantotiem un nedrošiem šifrēšanas un jaukšanas algoritmiem, kas joprojām ir atļauti (lai gan nav ieteicami) lietošanai ar iepriekšējām TLS versijām, tostarp SHA-1, MD5, DES, 3DES un AES-CBC. pievienojot atbalstu jauniem šifru komplektiem. Citi uzlabojumi ietver vairāk šifrētu rokasspiediena elementu (piemēram, sertifikātu informācijas apmaiņa tagad ir šifrēta), lai samazinātu norādes uz potenciālo satiksmes noklausītāju, kā arī pārsūtīšanas slepenības uzlabojumi, izmantojot noteiktus atslēgu apmaiņas režīmus, lai nodrošinātu saziņu. vienmēr ir jāpaliek drošam, pat ja algoritmi, kas tiek izmantoti tā šifrēšanai, nākotnē tiek apdraudēti.
Mūsdienīgu protokolu un DDoS izstrāde
Kā jūs, iespējams, jau lasījāt, protokola izstrādes laikā , IETF TLS darba grupā . Tagad ir skaidrs, ka atsevišķiem uzņēmumiem (tostarp finanšu iestādēm) būs jāmaina veids, kā nodrošināt savu tīklu, lai pielāgotos protokolā tagad iebūvētajam. .
Iemesli, kāpēc tas var būt nepieciešams, ir izklāstīti dokumentā, . 20 lappušu garajā dokumentā ir minēti vairāki piemēri, kad uzņēmums varētu vēlēties atšifrēt ārpusjoslas trafiku (ko PFS neļauj) uzraudzības, atbilstības vai lietojumprogrammas slāņa (L7) DDoS aizsardzības nolūkos.
Lai gan mēs noteikti neesam gatavi spekulēt par normatīvajām prasībām, mūsu patentētais DDoS mazināšanas produkts (tostarp risinājums sensitīva un/vai konfidenciāla informācija) tika izveidota 2012. gadā, ņemot vērā PFS, tāpēc mūsu klientiem un partneriem pēc TLS versijas atjaunināšanas servera pusē nebija jāveic nekādas izmaiņas savā infrastruktūrā.
Tāpat kopš ieviešanas nav konstatētas ar transporta šifrēšanu saistītas problēmas. Tas ir oficiāli: TLS 1.3 ir gatavs ražošanai.
Tomēr joprojām pastāv problēma, kas saistīta ar nākamās paaudzes protokolu izstrādi. Problēma ir tā, ka protokola progress IETF parasti ir ļoti atkarīgs no akadēmiskiem pētījumiem, un akadēmiskās izpētes stāvoklis izplatīto pakalpojumu atteikuma uzbrukumu mazināšanas jomā ir bēdīgs.
Tātad labs piemērs būtu IETF projektā "QUIC Manageability", kas ir daļa no gaidāmā QUIC protokolu komplekta, teikts, ka "modernās metodes [DDoS uzbrukumu] noteikšanai un mazināšanai parasti ietver pasīvu mērījumu, izmantojot tīkla plūsmas datus."
Pēdējais faktiski ir ļoti reti sastopams reālos uzņēmumu vidē (un tikai daļēji piemērojams interneta pakalpojumu sniedzējiem), un jebkurā gadījumā maz ticams, ka tas būs "vispārējs gadījums" reālajā pasaulē, taču tas pastāvīgi parādās zinātniskās publikācijās, parasti netiek atbalstīts. pārbaudot visu iespējamo DDoS uzbrukumu spektru, tostarp lietojumprogrammas līmeņa uzbrukumus. Pēdējo, vismaz visā pasaulē izplatītās TLS dēļ, acīmredzami nevar noteikt, pasīvi mērot tīkla paketes un plūsmas.
Tāpat mēs vēl nezinām, kā DDoS mazināšanas aparatūras pārdevēji pielāgosies TLS 1.3 realitātei. Ārpusjoslas protokola atbalsta tehniskās sarežģītības dēļ jaunināšana var aizņemt kādu laiku.
Pareizo mērķu noteikšana, lai vadītu pētniecību, ir liels izaicinājums DDoS mazināšanas pakalpojumu sniedzējiem. Viena joma, kurā var sākties attīstība, ir IRTF, kur pētnieki var sadarboties ar nozari, lai uzlabotu savas zināšanas par izaicinošu nozari un izpētītu jaunas pētniecības iespējas. Mēs arī sirsnīgi sveicam visus pētniekus, ja tādi ir - ar mums var sazināties ar jautājumiem vai ieteikumiem saistībā ar DDoS izpēti vai SMART pētnieku grupu plkst.
Avots: www.habr.com