Begin dit jaar in een rapport over internetproblemen en bereikbaarheid voor 2018-2019
IETF TLS-werkgroepvoorzitters
“Kortom: TLS 1.3 moet de basis vormen voor een veiliger en efficiënter internet voor de komende twintig jaar.”
ontwerp
Volgens Eric Rescorla (Firefox CTO en enige auteur van TLS 1.3)
“Dit is een volledige vervanging voor TLS 1.2, waarbij dezelfde sleutels en certificaten worden gebruikt, zodat de client en server automatisch kunnen communiceren via TLS 1.3 als ze dit allebei ondersteunen”, zei hij. “Er is al goede ondersteuning op bibliotheekniveau, en Chrome en Firefox schakelen standaard TLS 1.3 in.”
Tegelijkertijd eindigt TLS in de IETF-werkgroep
Een lijst met huidige TLS 1.3-implementaties is beschikbaar op Github voor iedereen die op zoek is naar de meest geschikte bibliotheek:
Wat is er veranderd sinds TLS 1.2?
Van
“Hoe maakt TLS 1.3 de wereld een betere plek?
TLS 1.3 bevat bepaalde technische voordelen, zoals een vereenvoudigd handshake-proces om een veilige verbinding tot stand te brengen, en stelt clients ook in staat sneller sessies met servers te hervatten. Deze maatregelen zijn bedoeld om de latentie bij het opzetten van verbindingen en verbindingsfouten op zwakke links te verminderen, die vaak worden gebruikt als rechtvaardiging voor het aanbieden van alleen niet-versleutelde HTTP-verbindingen.
Net zo belangrijk is dat de ondersteuning wordt verwijderd voor verschillende oudere en onveilige versleutelings- en hash-algoritmen die nog steeds zijn toegestaan (hoewel niet aanbevolen) voor gebruik met eerdere versies van TLS, waaronder SHA-1, MD5, DES, 3DES en AES-CBC. ondersteuning toevoegen voor nieuwe coderingssuites. Andere verbeteringen zijn onder meer meer gecodeerde elementen van de handshake (de uitwisseling van certificaatinformatie is nu bijvoorbeeld gecodeerd) om het aantal aanwijzingen voor een potentiële verkeersafluisteraar te verminderen, evenals verbeteringen om de geheimhouding door te geven bij het gebruik van bepaalde sleuteluitwisselingsmodi, zodat de communicatie te allen tijde veilig moeten blijven, zelfs als de algoritmen die worden gebruikt om het te versleutelen in de toekomst worden gecompromitteerd.”
Ontwikkeling van moderne protocollen en DDoS
Zoals je misschien al hebt gelezen tijdens de ontwikkeling van het protocol
De redenen waarom dit nodig kan zijn, worden uiteengezet in het document.
Hoewel we zeker niet bereid zijn te speculeren over wettelijke vereisten, is ons eigen product voor DDoS-beperking (inclusief een oplossing
Bovendien zijn er sinds de implementatie geen problemen met betrekking tot transportversleuteling geïdentificeerd. Het is officieel: TLS 1.3 is klaar voor productie.
Er is echter nog steeds een probleem verbonden aan de ontwikkeling van protocollen van de volgende generatie. Het probleem is dat de protocolvoortgang in de IETF doorgaans sterk afhankelijk is van academisch onderzoek, en dat de stand van het academisch onderzoek op het gebied van het beperken van gedistribueerde denial-of-service-aanvallen somber is.
Een goed voorbeeld zou dus zijn
Dit laatste is in feite zeer zeldzaam in echte bedrijfsomgevingen (en slechts gedeeltelijk toepasbaar op ISP's), en het is in ieder geval onwaarschijnlijk dat dit een "algemeen geval" zal zijn in de echte wereld - maar verschijnt voortdurend in wetenschappelijke publicaties, meestal niet ondersteund door het hele spectrum van potentiële DDoS-aanvallen te testen, inclusief aanvallen op applicatieniveau. Dit laatste kan, in ieder geval vanwege de wereldwijde inzet van TLS, uiteraard niet worden gedetecteerd door passieve meting van netwerkpakketten en -stromen.
Op dezelfde manier weten we nog niet hoe leveranciers van hardware voor DDoS-mitigatie zich zullen aanpassen aan de realiteit van TLS 1.3. Vanwege de technische complexiteit van de ondersteuning van het out-of-band protocol kan de upgrade enige tijd duren.
Het stellen van de juiste doelen om onderzoek te sturen is een grote uitdaging voor dienstverleners op het gebied van DDoS-mitigatie. Eén gebied waar de ontwikkeling kan beginnen is
Bron: www.habr.com