د کال په پیل کې، د 2018-2019 لپاره د انټرنیټ ستونزو او لاسرسي په اړه راپور کې چې د TLS 1.3 خپریدل ناگزیر دي. یو څه موده وړاندې، موږ پخپله د ټرانسپورټ پرت امنیت پروتوکول 1.3 نسخه ځای په ځای کړه او د معلوماتو راټولولو او تحلیل وروسته، موږ په پای کې د دې لیږد ځانګړتیاوو په اړه خبرې کولو ته چمتو یو.
د IETF TLS کاري ګروپ رییسان :
"په لنډه توګه، TLS 1.3 باید د راتلونکو 20 کلونو لپاره د ډیر خوندي او اغیزمن انټرنیټ بنسټ چمتو کړي."
پرمختیا 10 اوږد کلونه ونیول. موږ په Qrator لابراتوارونو کې، د صنعت د پاتې برخې سره، د ابتدايي مسودې څخه د پروتوکول جوړولو پروسه نږدې تعقیب کړې. د دې وخت په جریان کې ، دا اړینه وه چې د مسودې 28 پرله پسې نسخې ولیکل شي ترڅو په نهایت کې په 2019 کې د متوازن او اسانه پلي کولو پروتوکول رڼا وګوري. د TLS 1.3 لپاره د بازار فعال ملاتړ لا دمخه څرګند دی: د ثابت او باوري امنیت پروتوکول پلي کول د وخت اړتیاوې پوره کوي.
د ایریک ریسکورلا په وینا (د فایرفوکس CTO او د TLS 1.3 یوازینی لیکوال) :
"دا د ورته کیلي او سندونو په کارولو سره د TLS 1.2 لپاره بشپړ بدیل دی ، نو پیرودونکي او سرور کولی شي په اوتومات ډول د TLS 1.3 سره اړیکه ونیسي که دوی دواړه یې ملاتړ وکړي ،" هغه وویل. "د کتابتون په کچه لا دمخه ښه ملاتړ شتون لري، او کروم او فایرفوکس د ډیفالټ په واسطه TLS 1.3 فعالوي."
په موازي توګه، TLS د IETF کاري ګروپ کې پای ته رسیږي ، د TLS زړې نسخې اعلان کول (یوازې TLS 1.2 پرته) متروک او د کارونې وړ ندي. ډیری احتمال، وروستی RFC به د دوبي پای ته رسیدو دمخه خپور شي. دا د معلوماتي ټیکنالوژۍ صنعت ته بل سیګنال دی: د کوډ کولو پروتوکولونو تازه کول باید وځنډول شي.
د اوسني TLS 1.3 پلي کولو لیست په ګیتوب کې د هر هغه چا لپاره شتون لري چې د خورا مناسب کتابتون په لټه کې دي: . دا روښانه ده چې د نوي شوي پروتوکول منل او ملاتړ به په چټکۍ سره پرمختګ وکړي. د دې پوهیدل چې څنګه بنسټیز کوډ کول په عصري نړۍ کې په پراخه کچه خپاره شوي.
د TLS 1.2 راهیسې څه بدلون راغلی؟
له :
"څنګه TLS 1.3 نړۍ یو ښه ځای جوړوي؟
په TLS 1.3 کې ځینې تخنیکي ګټې شاملې دي - لکه د خوندي پیوستون رامینځته کولو لپاره د لاس اخیستو ساده پروسه — او همدارنګه پیرودونکو ته اجازه ورکوي چې په چټکۍ سره د سرورونو سره ناستې بیا پیل کړي. دا اقدامات په ضعیف لینکونو کې د ارتباط تنظیم کولو ځنډ او د ارتباط ناکامۍ کمولو لپاره دي ، کوم چې ډیری وختونه یوازې د نه کوډ شوي HTTP اړیکې چمتو کولو لپاره د توجیه په توګه کارول کیږي.
لکه څنګه چې مهم دي، دا د ډیری میراث او ناامنه کوډ کولو او هش کولو الګوریتمونو ملاتړ لرې کوي چې لاهم د TLS پخوانیو نسخو سره د کارولو لپاره اجازه لري (که څه هم سپارښتنه نه کیږي)، په شمول د SHA-1، MD5، DES، 3DES، او AES-CBC په شمول. د نوي سیفر سویټونو لپاره ملاتړ اضافه کول. په نورو پرمختګونو کې د لاسي شیک نور کوډ شوي عناصر شامل دي (د مثال په توګه د سند معلوماتو تبادله اوس کوډ شوې ده) ترڅو د احتمالي ټرافیک اوریدونکو ته د اشارو مقدار کم کړي ، او همدارنګه د ځینې کلیدي تبادلې حالتونو کارولو په وخت کې د محرمیت مخ په وړاندې کولو کې ښه والی. هر وخت باید خوندي پاتې شي حتی که د کوډ کولو لپاره کارول شوي الګوریتمونه په راتلونکي کې موافقت وکړي.
د عصري پروتوکولونو او DDoS پراختیا
لکه څنګه چې تاسو دمخه لوستلی وي، د پروتوکول د پراختیا په جریان کې د IETF TLS کاري ګروپ کې . دا اوس روښانه ده چې انفرادي تصدۍ (د مالي موسسو په ګډون) باید د خپل شبکې خوندي کولو لاره بدله کړي ترڅو د پروتوکول اوس جوړ شوي ځای په ځای کړي. .
هغه دلیلونه چې ولې ورته اړتیا لیدل کیدی شي په سند کې بیان شوي، . د 20 مخ پاڼه ډیری مثالونه په ګوته کوي چیرې چې یو شرکت ممکن د څارنې، موافقت یا غوښتنلیک پرت (L7) DDoS محافظت موخو لپاره د بینډ څخه بهر ترافیک (کوم چې PFS اجازه نه ورکوي) ډیکریټ کول غواړي.
پداسې حال کې چې موږ یقینا د تنظیمي اړتیاو په اړه اټکل کولو ته چمتو نه یو، زموږ د ملکیت DDoS کمولو محصول (د حل په شمول حساس او/یا محرم معلومات) په 2012 کې د PFS په پام کې نیولو سره رامینځته شوي ، نو زموږ پیرودونکي او شریکان دې ته اړتیا نلري چې د سرور اړخ کې د TLS نسخه تازه کولو وروسته د دوی زیربنا کې کوم بدلون رامینځته کړي.
همدارنګه، د پلي کولو راهیسې، د ټرانسپورټ کوډ کولو پورې اړوند کومه ستونزه نه ده پیژندل شوې. دا رسمي دی: TLS 1.3 د تولید لپاره چمتو دی.
په هرصورت، لاهم د راتلونکي نسل پروتوکولونو پراختیا سره تړلې ستونزه شتون لري. ستونزه دا ده چې په IETF کې د پروتوکول پرمختګ عموما په پراخه کچه په اکاډمیک څیړنه پورې اړه لري، او د خدماتو د ویشلو بریدونو کمولو په برخه کې د اکادمیک څیړنې حالت ناورین دی.
نو، یو ښه مثال به وي د IETF مسوده "QUIC مدیریت،" د راتلونکي QUIC پروتوکول سویټ برخه، په ګوته کوي چې "د [DDoS بریدونو] کشف او کمولو لپاره عصري میتودونه عموما د شبکې جریان ډیټا په کارولو سره غیر فعال اندازه کول شامل دي."
وروستی په حقیقت کې په ریښتیني تشبث چاپیریال کې خورا نادر دی (او یوازې په جزوي ډول په ISPs کې پلي کیږي) ، او په هیڅ حالت کې امکان نلري چې په ریښتیني نړۍ کې "عمومي قضیه" وي - مګر په دوامداره توګه په ساینسي خپرونو کې څرګندیږي ، معمولا نه ملاتړ کیږي د احتمالي DDoS بریدونو ټول سپیکٹرم ازموینې سره ، په شمول د غوښتنلیک کچې بریدونه. وروستی، لږترلږه د TLS په ټوله نړۍ کې د ځای پرځای کولو له امله، په ښکاره ډول د شبکې پاکټونو او جریانونو غیر فعال اندازه کولو لخوا نشي موندل کیدی.
په ورته ډول، موږ لاهم نه پوهیږو چې د DDoS کمولو هارډویر پلورونکي به څنګه د TLS 1.3 واقعیتونو سره تطابق وکړي. د بهر څخه د بانډ پروتوکول ملاتړ کولو تخنیکي پیچلتیا له امله، اپ گریڈ ممکن یو څه وخت ونیسي.
د څیړنې لارښود کولو لپاره د سم اهدافو ټاکل د DDoS کمولو خدماتو چمتو کونکو لپاره یوه لویه ننګونه ده. یوه سیمه چیرې چې پرمختګ پیل کیدی شي په IRTF کې، چیرې چې څیړونکي کولی شي د صنعت سره همکاري وکړي ترڅو د ننګونکي صنعت په اړه خپله پوهه ښه کړي او د څیړنې نوې لارې لټوي. موږ ټولو څیړونکو ته هم ښه راغلاست وایو، که چیرې شتون ولري - موږ سره د DDoS څیړنې یا د SMART څیړنې ګروپ پورې اړوند پوښتنو یا وړاندیزونو سره اړیکه نیول کیدی شي.
سرچینه: www.habr.com