I begynnelsen av året, i en rapport om internettproblemer og tilgjengelighet for 2018-2019 at spredningen av TLS 1.3 er uunngåelig. For en tid siden implementerte vi selv versjon 1.3 av Transport Layer Security-protokollen, og etter å ha samlet inn og analysert data, er vi endelig klare til å snakke om funksjonene i denne overgangen.
IETF TLS arbeidsgruppeledere :
"Kort sagt, TLS 1.3 bør gi grunnlaget for et sikrere og mer effektivt Internett de neste 20 årene."
utforming tok 10 lange år. Vi i Qrator Labs, sammen med resten av bransjen, har fulgt protokollopprettingsprosessen tett fra det første utkastet. I løpet av denne tiden var det nødvendig å skrive 28 påfølgende versjoner av utkastet for til slutt å se lyset av en balansert og enkel å distribuere protokoll i 2019. Den aktive markedsstøtten for TLS 1.3 er allerede tydelig: implementeringen av en velprøvd og pålitelig sikkerhetsprotokoll møter tidens behov.
I følge Eric Rescorla (Firefox CTO og eneste forfatter av TLS 1.3) :
"Dette er en komplett erstatning for TLS 1.2, med de samme nøklene og sertifikatene, slik at klienten og serveren kan kommunisere automatisk over TLS 1.3 hvis de begge støtter det," sa han. "Det er allerede god støtte på biblioteknivå, og Chrome og Firefox aktiverer TLS 1.3 som standard."
Parallelt slutter TLS i IETFs arbeidsgruppe , og erklærer eldre versjoner av TLS (unntatt bare TLS 1.2) foreldet og ubrukelig. Mest sannsynlig vil den endelige RFC bli utgitt før slutten av sommeren. Dette er nok et signal til IT-bransjen: oppdatering av krypteringsprotokoller bør ikke forsinkes.
En liste over gjeldende TLS 1.3-implementeringer er tilgjengelig på Github for alle som leter etter det mest passende biblioteket: . Det er klart at adopsjon og støtte for den oppdaterte protokollen vil være – og allerede er – i rask fremgang. Forståelsen av hvordan grunnleggende kryptering har blitt i den moderne verden har spredt seg ganske mye.
Hva har endret seg siden TLS 1.2?
Av :
«Hvordan gjør TLS 1.3 verden til et bedre sted?
TLS 1.3 inkluderer visse tekniske fordeler – for eksempel en forenklet håndtrykkprosess for å etablere en sikker tilkobling – og lar også klienter raskere gjenoppta økter med servere. Disse tiltakene er ment å redusere tilkoblingsoppsettforsinkelse og tilkoblingsfeil på svake lenker, som ofte brukes som begrunnelse for kun å tilby ukrypterte HTTP-tilkoblinger.
Like viktig er det at det fjerner støtte for flere eldre og usikre kryptering og hashing-algoritmer som fortsatt er tillatt (men ikke anbefalt) for bruk med tidligere versjoner av TLS, inkludert SHA-1, MD5, DES, 3DES og AES-CBC. legge til støtte for nye chiffersuiter. Andre forbedringer inkluderer flere krypterte elementer i håndtrykket (for eksempel er utvekslingen av sertifikatinformasjon nå kryptert) for å redusere mengden ledetråder til en potensiell trafikkavlytting, samt forbedringer av videresendingshemmeligheten ved bruk av visse nøkkelutvekslingsmoduser, slik at kommunikasjon må til enhver tid forbli sikre selv om algoritmene som brukes til å kryptere den blir kompromittert i fremtiden."
Utvikling av moderne protokoller og DDoS
Som du kanskje allerede har lest, under utviklingen av protokollen , i IETF TLS arbeidsgruppe . Det er nå klart at enkeltforetak (inkludert finansinstitusjoner) vil måtte endre måten de sikrer sitt eget nettverk på for å imøtekomme protokollens nå innebygde .
Årsakene til at dette kan være nødvendig er angitt i dokumentet, . Den 20 sider lange artikkelen nevner flere eksempler der en bedrift kan ønske å dekryptere trafikk utenfor båndet (noe PFS ikke tillater) for overvåking, samsvar eller applikasjonslag (L7) DDoS-beskyttelsesformål.
Selv om vi absolutt ikke er forberedt på å spekulere i regulatoriske krav, er vårt proprietære DDoS-reduksjonsprodukt (inkludert en løsning sensitiv og/eller konfidensiell informasjon) ble opprettet i 2012 under hensyntagen til PFS, så våre kunder og partnere trengte ikke å gjøre noen endringer i infrastrukturen deres etter å ha oppdatert TLS-versjonen på serversiden.
Siden implementeringen har det heller ikke blitt identifisert problemer knyttet til transportkryptering. Det er offisielt: TLS 1.3 er klar for produksjon.
Imidlertid er det fortsatt et problem knyttet til utviklingen av neste generasjons protokoller. Problemet er at protokollfremgangen i IETF vanligvis er sterkt avhengig av akademisk forskning, og tilstanden til akademisk forskning innen feltet for å redusere distribuerte tjenestenektangrep er dyster.
Så et godt eksempel ville være IETF-utkastet "QUIC Manageability", en del av den kommende QUIC-protokollpakken, sier at "moderne metoder for å oppdage og dempe [DDoS-angrep] vanligvis involverer passiv måling ved bruk av nettverksflytdata."
Sistnevnte er faktisk svært sjelden i virkelige bedriftsmiljøer (og bare delvis aktuelt for Internett-leverandører), og er i alle fall usannsynlig å være en "generell sak" i den virkelige verden - men vises stadig i vitenskapelige publikasjoner, vanligvis ikke støttet ved å teste hele spekteret av potensielle DDoS-angrep, inkludert angrep på applikasjonsnivå. Sistnevnte, på grunn av i det minste den verdensomspennende distribusjonen av TLS, kan åpenbart ikke oppdages ved passiv måling av nettverkspakker og flyter.
På samme måte vet vi ennå ikke hvordan DDoS-reduserende maskinvareleverandører vil tilpasse seg realitetene til TLS 1.3. På grunn av den tekniske kompleksiteten ved å støtte out-of-band-protokollen, kan oppgraderingen ta litt tid.
Å sette de riktige målene for å lede forskning er en stor utfordring for leverandører av DDoS-reduksjonstjenester. Et område hvor utviklingen kan starte er ved IRTF, hvor forskere kan samarbeide med industrien for å forbedre sin egen kunnskap om en utfordrende industri og utforske nye forskningsveier. Vi ønsker også hjertelig velkommen til alle forskere om det skulle være noen - vi kan kontaktes med spørsmål eller forslag knyttet til DDoS-forskning eller SMART-forskningsgruppen på
Kilde: www.habr.com