Na początku roku w raporcie o problemach i dostępności Internetu za lata 2018-2019 że rozpowszechnienie TLS 1.3 jest nieuniknione. Jakiś czas temu sami wdrożyliśmy wersję 1.3 protokołu Transport Layer Security i po zebraniu i przeanalizowaniu danych jesteśmy w końcu gotowi porozmawiać o cechach tego przejścia.
Przewodniczący grup roboczych IETF TLS :
„Krótko mówiąc, TLS 1.3 powinien zapewnić podstawę bezpieczniejszego i wydajniejszego Internetu na następne 20 lat”.
Rozwój zajęło 10 długich lat. W Qrator Labs wraz z resztą branży uważnie śledziliśmy proces tworzenia protokołu od początkowej wersji roboczej. W tym czasie konieczne było napisanie 28 kolejnych wersji projektu, aby ostatecznie w 2019 roku ujrzał światło dzienne zrównoważony i łatwy do wdrożenia protokół. Aktywne wsparcie rynku dla TLS 1.3 jest już widoczne: wdrożenie sprawdzonego i niezawodnego protokołu bezpieczeństwa odpowiada potrzebom czasów.
Według Erica Rescorli (CTO Firefoksa i wyłącznego autora TLS 1.3) :
„Jest to całkowity zamiennik protokołu TLS 1.2, wykorzystujący te same klucze i certyfikaty, dzięki czemu klient i serwer mogą automatycznie komunikować się za pośrednictwem protokołu TLS 1.3, jeśli oba go obsługują” – powiedział. „Istnieje już dobre wsparcie na poziomie biblioteki, a przeglądarki Chrome i Firefox domyślnie obsługują TLS 1.3.”
Równolegle TLS kończy się w grupie roboczej IETF , uznając starsze wersje TLS (z wyjątkiem tylko TLS 1.2) za przestarzałe i bezużyteczne. Najprawdopodobniej ostateczna wersja RFC zostanie opublikowana przed końcem lata. To kolejny sygnał dla branży IT: nie należy zwlekać z aktualizacją protokołów szyfrujących.
Lista aktualnych implementacji TLS 1.3 jest dostępna na Githubie dla każdego, kto szuka najbardziej odpowiedniej biblioteki: . Oczywiste jest, że przyjęcie i wsparcie dla zaktualizowanego protokołu będzie – i już – postępuje szybko. Zrozumienie, jak fundamentalne stało się szyfrowanie we współczesnym świecie, rozprzestrzeniło się dość szeroko.
Co się zmieniło od TLS 1.2?
Z :
„W jaki sposób TLS 1.3 czyni świat lepszym miejscem?
TLS 1.3 zawiera pewne zalety techniczne — takie jak uproszczony proces uzgadniania w celu ustanowienia bezpiecznego połączenia — a także umożliwia klientom szybsze wznawianie sesji z serwerami. Środki te mają na celu zmniejszenie opóźnień w konfiguracji połączenia i błędów połączeń na słabych łączach, które często są wykorzystywane jako uzasadnienie zapewniania wyłącznie niezaszyfrowanych połączeń HTTP.
Co równie ważne, usuwa obsługę kilku starszych i niepewnych algorytmów szyfrowania i mieszania, które są nadal dozwolone (choć nie są zalecane) do użytku z wcześniejszymi wersjami protokołu TLS, w tym SHA-1, MD5, DES, 3DES i AES-CBC. dodanie obsługi nowych zestawów szyfrów. Inne ulepszenia obejmują bardziej zaszyfrowane elementy uzgadniania (na przykład wymiana informacji o certyfikacie jest teraz szyfrowana), aby zmniejszyć liczbę wskazówek dla potencjalnego podmiotu podsłuchującego ruch, a także ulepszenia w zakresie tajemnicy przekazywania podczas korzystania z niektórych trybów wymiany kluczy, dzięki czemu komunikacja musi zawsze pozostać bezpieczny, nawet jeśli algorytmy użyte do jego szyfrowania ulegną w przyszłości naruszeniu.”
Rozwój nowoczesnych protokołów i DDoS
Jak być może już czytałeś, podczas opracowywania protokołu w grupie roboczej IETF TLS . Jest teraz jasne, że poszczególne przedsiębiorstwa (w tym instytucje finansowe) będą musiały zmienić sposób zabezpieczania własnej sieci, aby dostosować się do obecnie wbudowanych w protokół .
Powody, dla których może to być wymagane, są określone w dokumencie, . W 20-stronicowym artykule wymieniono kilka przykładów, w których przedsiębiorstwo może chcieć odszyfrować ruch poza pasmem (na który PFS nie pozwala) w celu monitorowania, zapewniania zgodności lub ochrony przed atakami DDoS w warstwie aplikacji (L7).
Chociaż z pewnością nie jesteśmy gotowi spekulować na temat wymogów regulacyjnych, nasz zastrzeżony produkt do łagodzenia DDoS (w tym rozwiązanie wrażliwe i/lub poufne informacje) powstał w 2012 roku z uwzględnieniem PFS, dzięki czemu nasi klienci i partnerzy nie musieli wprowadzać żadnych zmian w swojej infrastrukturze po aktualizacji wersji TLS po stronie serwera.
Ponadto od czasu wdrożenia nie zidentyfikowano żadnych problemów związanych z szyfrowaniem transportu. To już oficjalne: TLS 1.3 jest gotowy do produkcji.
Jednakże nadal istnieje problem związany z rozwojem protokołów nowej generacji. Problem polega na tym, że postęp protokołu w IETF jest zazwyczaj w dużym stopniu zależny od badań akademickich, a stan badań akademickich w dziedzinie łagodzenia rozproszonych ataków typu „odmowa usługi” jest fatalny.
Dobrym przykładem byłby więc W projekcie IETF „QUIC Manageability”, będącym częścią nadchodzącego pakietu protokołów QUIC, stwierdza się, że „nowoczesne metody wykrywania i łagodzenia [ataków DDoS] zazwyczaj obejmują pasywne pomiary z wykorzystaniem danych o przepływie sieci”.
To ostatnie zjawisko jest w rzeczywistości bardzo rzadkie w rzeczywistych środowiskach korporacyjnych (i tylko częściowo ma zastosowanie do dostawców usług internetowych), a w każdym razie jest mało prawdopodobne, aby było „przypadkiem ogólnym” w prawdziwym świecie – ale stale pojawia się w publikacjach naukowych, zwykle nie wspieranych testując całe spektrum potencjalnych ataków DDoS, w tym ataki na poziomie aplikacji. Tego ostatniego, przynajmniej ze względu na ogólnoświatowe wdrożenie TLS, oczywiście nie da się wykryć poprzez pasywny pomiar pakietów i przepływów sieciowych.
Podobnie nie wiemy jeszcze, w jaki sposób dostawcy sprzętu łagodzącego ataki DDoS dostosują się do realiów protokołu TLS 1.3. Ze względu na techniczną złożoność obsługi protokołu pozapasmowego aktualizacja może zająć trochę czasu.
Wyznaczanie właściwych celów w celu ukierunkowania badań jest głównym wyzwaniem dla dostawców usług łagodzenia skutków DDoS. Jednym z obszarów, w którym można rozpocząć rozwój, jest w IRTF, gdzie badacze mogą współpracować z przemysłem, aby udoskonalić swoją wiedzę na temat wymagającej branży i odkrywać nowe kierunki badań. Serdecznie witamy także wszystkich badaczy, jeśli takowy istnieją – można się z nami kontaktować w przypadku pytań lub sugestii związanych z badaniami DDoS lub grupą badawczą SMART pod adresem
Źródło: www.habr.com