I begynnelsen av året, i en rapport om internettproblemer og tilgjengelighet for 2018-2019
IETF TLS arbeidsgruppeledere
"Kort sagt, TLS 1.3 bør gi grunnlaget for et sikrere og mer effektivt Internett de neste 20 årene."
utforming
I følge Eric Rescorla (Firefox CTO og eneste forfatter av TLS 1.3)
"Dette er en komplett erstatning for TLS 1.2, med de samme nøklene og sertifikatene, slik at klienten og serveren kan kommunisere automatisk over TLS 1.3 hvis de begge støtter det," sa han. "Det er allerede god støtte på biblioteknivå, og Chrome og Firefox aktiverer TLS 1.3 som standard."
Parallelt slutter TLS i IETFs arbeidsgruppe
En liste over gjeldende TLS 1.3-implementeringer er tilgjengelig på Github for alle som leter etter det mest passende biblioteket:
Hva har endret seg siden TLS 1.2?
Av
«Hvordan gjør TLS 1.3 verden til et bedre sted?
TLS 1.3 inkluderer visse tekniske fordeler – for eksempel en forenklet håndtrykkprosess for å etablere en sikker tilkobling – og lar også klienter raskere gjenoppta økter med servere. Disse tiltakene er ment å redusere tilkoblingsoppsettforsinkelse og tilkoblingsfeil på svake lenker, som ofte brukes som begrunnelse for kun å tilby ukrypterte HTTP-tilkoblinger.
Like viktig er det at det fjerner støtte for flere eldre og usikre kryptering og hashing-algoritmer som fortsatt er tillatt (men ikke anbefalt) for bruk med tidligere versjoner av TLS, inkludert SHA-1, MD5, DES, 3DES og AES-CBC. legge til støtte for nye chiffersuiter. Andre forbedringer inkluderer flere krypterte elementer i håndtrykket (for eksempel er utvekslingen av sertifikatinformasjon nå kryptert) for å redusere mengden ledetråder til en potensiell trafikkavlytting, samt forbedringer av videresendingshemmeligheten ved bruk av visse nøkkelutvekslingsmoduser, slik at kommunikasjon må til enhver tid forbli sikre selv om algoritmene som brukes til å kryptere den blir kompromittert i fremtiden."
Utvikling av moderne protokoller og DDoS
Som du kanskje allerede har lest, under utviklingen av protokollen
Årsakene til at dette kan være nødvendig er angitt i dokumentet,
Selv om vi absolutt ikke er forberedt på å spekulere i regulatoriske krav, er vårt proprietære DDoS-reduksjonsprodukt (inkludert en løsning
Siden implementeringen har det heller ikke blitt identifisert problemer knyttet til transportkryptering. Det er offisielt: TLS 1.3 er klar for produksjon.
Imidlertid er det fortsatt et problem knyttet til utviklingen av neste generasjons protokoller. Problemet er at protokollfremgangen i IETF vanligvis er sterkt avhengig av akademisk forskning, og tilstanden til akademisk forskning innen feltet for å redusere distribuerte tjenestenektangrep er dyster.
Så et godt eksempel ville være
Sistnevnte er faktisk svært sjelden i virkelige bedriftsmiljøer (og bare delvis aktuelt for Internett-leverandører), og er i alle fall usannsynlig å være en "generell sak" i den virkelige verden - men vises stadig i vitenskapelige publikasjoner, vanligvis ikke støttet ved å teste hele spekteret av potensielle DDoS-angrep, inkludert angrep på applikasjonsnivå. Sistnevnte, på grunn av i det minste den verdensomspennende distribusjonen av TLS, kan åpenbart ikke oppdages ved passiv måling av nettverkspakker og flyter.
På samme måte vet vi ennå ikke hvordan DDoS-reduserende maskinvareleverandører vil tilpasse seg realitetene til TLS 1.3. På grunn av den tekniske kompleksiteten ved å støtte out-of-band-protokollen, kan oppgraderingen ta litt tid.
Å sette de riktige målene for å lede forskning er en stor utfordring for leverandører av DDoS-reduksjonstjenester. Et område hvor utviklingen kan starte er
Kilde: www.habr.com