Fil-bidu tas-sena, f’rapport dwar il-problemi tal-Internet u l-aċċessibbiltà għall-2018-2019 li t-tixrid ta 'TLS 1.3 huwa inevitabbli. Ftit tal-ħin ilu, aħna stess skjerejna l-verżjoni 1.3 tal-protokoll tas-Sigurtà tas-Saff tat-Trasport u, wara li nġabru u analizzajna d-dejta, fl-aħħar lesti nitkellmu dwar il-karatteristiċi ta 'din it-tranżizzjoni.
Presidenti tal-Gruppi ta' Ħidma TLS tal-IETF :
"Fil-qosor, TLS 1.3 għandu jipprovdi l-pedament għal Internet aktar sigur u effiċjenti għall-20 sena li ġejjin."
Żvilupp ħa 10 snin twal. Aħna fil-Qrator Labs, flimkien mal-bqija tal-industrija, segwejna mill-qrib il-proċess tal-ħolqien tal-protokoll mill-abbozz inizjali. Matul dan iż-żmien, kien meħtieġ li jinkitbu 28 verżjoni konsekuttiva tal-abbozz sabiex finalment naraw id-dawl ta' protokoll ibbilanċjat u faċli biex jintuża fl-2019. L-appoġġ attiv tas-suq għal TLS 1.3 huwa diġà evidenti: l-implimentazzjoni ta 'protokoll ta' sigurtà ppruvat u affidabbli tissodisfa l-ħtiġijiet taż-żminijiet.
Skont Eric Rescorla (CTO ta' Firefox u awtur uniku ta' TLS 1.3) :
"Dan huwa sostitut sħiħ għal TLS 1.2, bl-użu ta 'l-istess ċwievet u ċertifikati, sabiex il-klijent u s-server jistgħu jikkomunikaw awtomatikament fuq TLS 1.3 jekk it-tnejn jappoġġjawha," qal. "Diġà hemm appoġġ tajjeb fil-livell tal-librerija, u Chrome u Firefox jippermettu TLS 1.3 b'mod awtomatiku."
B'mod parallel, TLS qed jispiċċa fil-grupp ta' ħidma tal-IETF , li tiddikjara verżjonijiet eqdem ta' TLS (eskluż TLS 1.2 biss) skaduti u mhux użati. Probabbilment, l-RFC finali se jiġi rilaxxat qabel tmiem is-sajf. Dan huwa sinjal ieħor għall-industrija tal-IT: l-aġġornament tal-protokolli tal-kriptaġġ m'għandux jittardja.
Lista ta' implimentazzjonijiet attwali TLS 1.3 hija disponibbli fuq Github għal kull min ifittex l-aktar librerija adattata: . Huwa ċar li l-adozzjoni u l-appoġġ għall-protokoll aġġornat se jkunu—u diġà qegħdin—progress b'rata mgħaġġla. Il-fehim ta 'kif il-kriptaġġ fundamentali sar fid-dinja moderna nfirex b'mod pjuttost wiesa'.
X'inbidel minn TLS 1.2?
Ta ' :
“Kif TLS 1.3 jagħmel id-dinja post aħjar?
TLS 1.3 jinkludi ċerti vantaġġi tekniċi—bħal proċess ta' handshake simplifikat biex tiġi stabbilita konnessjoni sigura—u jippermetti wkoll lill-klijenti jerġgħu jibdew is-sessjonijiet mas-servers aktar malajr. Dawn il-miżuri huma maħsuba biex inaqqsu l-latenza tas-setup tal-konnessjoni u l-fallimenti tal-konnessjoni fuq links dgħajfa, li ħafna drabi jintużaw bħala ġustifikazzjoni biex jipprovdu biss konnessjonijiet HTTP mhux kriptati.
Daqstant importanti, tneħħi l-appoġġ għal diversi algoritmi ta' kriptaġġ u hashing storiċi u mhux sikuri li għadhom permessi (għalkemm mhux rakkomandat) għall-użu ma' verżjonijiet preċedenti ta' TLS, inklużi SHA-1, MD5, DES, 3DES, u AES-CBC. iżżid appoġġ għal suites taċ-ċifrar ġodda. Titjib ieħor jinkludi elementi aktar encrypted tal-handshake (pereżempju, l-iskambju tal-informazzjoni taċ-ċertifikat issa huwa encrypted) biex jitnaqqas l-ammont ta’ ħjiel lil min jista’ jisma’ traffiku potenzjali, kif ukoll titjib biex jgħaddi s-segretezza meta jintużaw ċerti modi ta’ skambju taċ-ċavetta sabiex il-komunikazzjoni f’kull ħin irid jibqa’ sigur anke jekk l-algoritmi użati biex jikkriptaw jiġu kompromessi fil-futur.”
Żvilupp ta' protokolli moderni u DDoS
Kif forsi diġà qrajt, matul l-iżvilupp tal-protokoll , fil-grupp ta' ħidma IETF TLS . Issa huwa ċar li intrapriżi individwali (inklużi istituzzjonijiet finanzjarji) se jkollhom ibiddlu l-mod kif jiżguraw in-netwerk tagħhom stess sabiex jakkomodaw il-protokoll issa integrat. .
Ir-raġunijiet għaliex dan jista' jkun meħtieġ huma stabbiliti fid-dokument, . Id-dokument ta '20 paġna ssemmi diversi eżempji fejn intrapriża tista' tkun trid tiddekripta traffiku barra mill-medda (li PFS ma tippermettix) għal skopijiet ta 'monitoraġġ, konformità jew saff ta' applikazzjoni (L7) protezzjoni DDoS.
Filwaqt li ċertament m'aħniex lesti li nispekulaw dwar ir-rekwiżiti regolatorji, il-prodott tagħna ta' mitigazzjoni DDoS tal-applikazzjoni proprjetarja (inkluża soluzzjoni informazzjoni sensittiva u/jew kunfidenzjali) inħoloq fl-2012 b’kont meħud tal-PFS, għalhekk il-klijenti u l-imsieħba tagħna ma kellhomx bżonn jagħmlu xi tibdil fl-infrastruttura tagħhom wara li aġġornaw il-verżjoni TLS fuq in-naħa tas-server.
Barra minn hekk, mill-implimentazzjoni, ma ġew identifikati l-ebda problemi relatati mal-kriptaġġ tat-trasport. Huwa uffiċjali: TLS 1.3 huwa lest għall-produzzjoni.
Madankollu, għad hemm problema assoċjata mal-iżvilupp tal-protokolli tal-ġenerazzjoni li jmiss. Il-problema hija li l-progress tal-protokoll fl-IETF huwa tipikament dipendenti ħafna fuq ir-riċerka akkademika, u l-istat tar-riċerka akkademika fil-qasam tal-mitigazzjoni tal-attakki mqassma taċ-ċaħda tas-servizz huwa ħażin.
Allura, eżempju tajjeb ikun L-abbozz tal-IETF "Ġestjoni QUIC", parti mill-protokoll QUIC li jmiss, jiddikjara li "metodi moderni għall-iskoperta u l-mitigazzjoni [attakki DDoS] tipikament jinvolvu kejl passiv bl-użu tad-dejta tal-fluss tan-netwerk."
Dan tal-aħħar huwa, fil-fatt, rari ħafna f'ambjenti ta' intrapriżi reali (u applikabbli parzjalment biss għall-ISPs), u fi kwalunkwe każ huwa improbabbli li jkun "każ ġenerali" fid-dinja reali - iżda jidher kontinwament f'pubblikazzjonijiet xjentifiċi, ġeneralment mhux appoġġjati. billi tittestja l-ispettru kollu ta 'attakki DDoS potenzjali, inklużi attakki fil-livell tal-applikazzjoni. Dan tal-aħħar, minħabba tal-inqas l-iskjerament dinji ta 'TLS, ovvjament ma jistax jiġi skopert permezz ta' kejl passiv ta 'pakketti u flussi tan-netwerk.
Bl-istess mod, għadna ma nafux kif il-bejjiegħa tal-hardware tal-mitigazzjoni tad-DDoS se jadattaw għar-realtajiet ta 'TLS 1.3. Minħabba l-kumplessità teknika ta 'appoġġ għall-protokoll barra mill-banda, l-aġġornament jista' jieħu xi żmien.
L-iffissar tal-miri t-tajbin biex jiggwidaw ir-riċerka hija sfida ewlenija għall-fornituri tas-servizzi ta’ mitigazzjoni tad-DDoS. Qasam wieħed fejn jista' jibda l-iżvilupp huwa fl-IRTF, fejn ir-riċerkaturi jistgħu jikkollaboraw mal-industrija biex jirfinaw l-għarfien tagħhom stess ta 'industrija ta' sfida u jesploraw toroq ġodda ta 'riċerka. Aħna nilqgħu wkoll mill-qalb lir-riċerkaturi kollha, jekk ikun hemm xi – nistgħu nkunu kkuntattjati bi mistoqsijiet jew suġġerimenti relatati mar-riċerka DDoS jew il-grupp ta’ riċerka SMART fuq
Sors: www.habr.com