На почетокот на годината, во извештај за проблемите со Интернет и пристапноста за 2018-2019 година дека ширењето на TLS 1.3 е неизбежно. Пред извесно време, ние самите ја распоредивме верзијата 1.3 на протоколот за безбедност на транспортниот слој и, по собирањето и анализата на податоците, конечно сме подготвени да зборуваме за карактеристиките на оваа транзиција.
Претседатели на работната група на IETF TLS :
„Накратко, TLS 1.3 треба да обезбеди основа за побезбеден и поефикасен интернет во следните 20 години.
Развој траеја 10 долги години. Ние во Qrator Labs, заедно со остатокот од индустријата, внимателно го следевме процесот на создавање протокол од првичниот нацрт. За тоа време, беше неопходно да се напишат 28 последователни верзии на нацртот за на крајот да се види светлината на избалансиран и лесен за распоредување протокол во 2019 година. Активната поддршка на пазарот за TLS 1.3 е веќе евидентна: имплементацијата на докажан и доверлив безбедносен протокол ги задоволува потребите на времето.
Според Ерик Рескорла (CTO на Firefox и единствен автор на TLS 1.3) :
„Ова е целосна замена за TLS 1.2, со користење на истите клучеви и сертификати, така што клиентот и серверот можат автоматски да комуницираат преку TLS 1.3 доколку и двајцата го поддржуваат“, рече тој. „Веќе има добра поддршка на ниво на библиотека, а Chrome и Firefox стандардно овозможуваат TLS 1.3.
Паралелно, TLS завршува во работната група на IETF , прогласувајќи ги постарите верзии на TLS (со исклучок само на TLS 1.2) за застарени и неупотребливи. Најверојатно, конечниот RFC ќе излезе пред крајот на летото. Ова е уште еден сигнал за ИТ индустријата: ажурирањето на протоколите за шифрирање не треба да се одложува.
Список на тековни имплементации на TLS 1.3 е достапен на Github за секој што бара најсоодветна библиотека: . Јасно е дека усвојувањето и поддршката за ажурираниот протокол ќе биде - и веќе - напредува брзо. Разбирањето за тоа како фундаменталното шифрирање стана во современиот свет се прошири доста широко.
Што се смени од TLS 1.2?
На :
„Како TLS 1.3 го прави светот подобро место?
TLS 1.3 вклучува одредени технички предности - како што е поедноставен процес на ракување за воспоставување безбедна врска - и исто така им овозможува на клиентите побрзо да ги продолжат сесиите со серверите. Овие мерки се наменети да го намалат доцнењето на поставувањето на конекцијата и неуспесите на поврзувањето на слабите врски, кои често се користат како оправдување за обезбедување само нешифрирани HTTP конекции.
Исто толку важно, ја отстранува поддршката за неколку наследени и несигурни алгоритми за шифрирање и хеширање кои сè уште се дозволени (иако не се препорачуваат) за употреба со претходните верзии на TLS, вклучувајќи SHA-1, MD5, DES, 3DES и AES-CBC. додека додавање поддршка за нови пакети со шифри. Другите подобрувања вклучуваат повеќе шифрирани елементи на ракувањето (на пример, размената на информации за сертификатот сега е шифрирана) за да се намали количината на индиции за потенцијален прислушувач на сообраќајот, како и подобрувања за проследување тајност при користење на одредени начини на размена на клучеви, така што комуникацијата во секое време мора да остане безбеден дури и ако алгоритмите што се користат за шифрирање се компромитирани во иднина“.
Развој на современи протоколи и DDoS
Како што можеби веќе прочитавте, за време на развојот на протоколот , во работната група на IETF TLS . Сега е јасно дека индивидуалните бизниси (вклучувајќи ги и финансиските институции) ќе мора да го променат начинот на кој ја обезбедуваат сопствената мрежа за да се приспособат на сега вградениот протокол .
Причините зошто тоа може да биде потребно се наведени во документот, . Трудот од 20 страници споменува неколку примери каде што претпријатието можеби сака да го дешифрира сообраќајот надвор од опсегот (што PFS не го дозволува) за следење, усогласеност или заштита на DDoS слојот на апликацијата (L7).
Иако сигурно не сме подготвени да шпекулираме за регулаторните барања, нашата комерцијална апликација за ублажување на DDoS производ (вклучувајќи решение чувствителни и/или доверливи информации) беше создаден во 2012 година земајќи го предвид PFS, така што нашите клиенти и партнери немаа потреба да прават никакви промени во нивната инфраструктура по ажурирањето на верзијата TLS на страната на серверот.
Исто така, од имплементацијата, не се идентификувани никакви проблеми поврзани со шифрирањето на транспортот. Официјално е: TLS 1.3 е подготвен за производство.
Сепак, сè уште постои проблем поврзан со развојот на протоколи од следната генерација. Проблемот е што напредокот во протоколот во IETF е типично во голема мера зависен од академските истражувања, а состојбата на академските истражувања во областа на ублажување на дистрибуираните напади на одбивање на услугата е лоша.
Значи, добар пример би бил Нацртот на IETF „QUIC Manageability“, дел од претстојниот пакет на протоколи QUIC, наведува дека „современите методи за откривање и ублажување [DDoS напади] обично вклучуваат пасивно мерење користејќи податоци за мрежен тек“.
Последново, всушност, е многу ретко во реални претпријатија околини (и само делумно применливо за интернет провајдерите), и во секој случај веројатно нема да биде „општ случај“ во реалниот свет - но постојано се појавува во научни публикации, обично не поддржани со тестирање на целиот спектар на потенцијални DDoS напади, вклучувајќи напади на ниво на апликација. Последново, поради барем светската примена на TLS, очигледно не може да се открие со пасивно мерење на мрежните пакети и текови.
Исто така, сè уште не знаеме како продавачите на хардвер за ублажување на DDoS ќе се прилагодат на реалноста на TLS 1.3. Поради техничката сложеност на поддршката на протоколот надвор од опсегот, надградбата може да потрае некое време.
Поставувањето на вистинските цели за водење на истражувањето е голем предизвик за давателите на услуги за ублажување на DDoS. Една област каде што може да започне развојот е на IRTF, каде што истражувачите можат да соработуваат со индустријата за да го усовршат сопственото знаење за предизвикувачката индустрија и да истражуваат нови патишта за истражување. Исто така, им посакуваме топло добредојде на сите истражувачи, доколку ги има - може да бидеме контактирани со прашања или предлози поврзани со истражувањето DDoS или со истражувачката група SMART на
Извор: www.habr.com