No início do ano, num relatório sobre problemas da Internet e acessibilidade para 2018-2019
Presidentes do Grupo de Trabalho TLS da IETF
“Resumindo, o TLS 1.3 deverá fornecer a base para uma Internet mais segura e eficiente para os próximos 20 anos.”
Desenvolvimento
De acordo com Eric Rescorla (CTO do Firefox e único autor do TLS 1.3)
“Este é um substituto completo para o TLS 1.2, usando as mesmas chaves e certificados, para que o cliente e o servidor possam se comunicar automaticamente através do TLS 1.3 se ambos o suportarem”, disse ele. “Já existe um bom suporte no nível da biblioteca, e o Chrome e o Firefox habilitam o TLS 1.3 por padrão.”
Paralelamente, o TLS está terminando no grupo de trabalho da IETF
Uma lista das implementações atuais do TLS 1.3 está disponível no Github para quem procura a biblioteca mais adequada:
O que mudou desde o TLS 1.2?
De
“Como o TLS 1.3 torna o mundo um lugar melhor?
O TLS 1.3 inclui certas vantagens técnicas – como um processo de handshake simplificado para estabelecer uma conexão segura – e também permite que os clientes retomem sessões com servidores mais rapidamente. Essas medidas têm como objetivo reduzir a latência de configuração da conexão e falhas de conexão em links fracos, que são frequentemente usados como justificativa para fornecer apenas conexões HTTP não criptografadas.
Tão importante quanto, ele remove o suporte para vários algoritmos de criptografia e hash herdados e inseguros que ainda são permitidos (embora não recomendados) para uso com versões anteriores do TLS, incluindo SHA-1, MD5, DES, 3DES e AES-CBC. adicionando suporte para novos conjuntos de criptografia. Outras melhorias incluem elementos mais criptografados do handshake (por exemplo, a troca de informações de certificado agora é criptografada) para reduzir a quantidade de pistas para um potencial bisbilhoteiro de tráfego, bem como melhorias para encaminhar o sigilo ao usar certos modos de troca de chaves para que a comunicação sempre deve permanecer seguro, mesmo que os algoritmos usados para criptografá-lo sejam comprometidos no futuro.”
Desenvolvimento de protocolos modernos e DDoS
Como você já deve ter lido, durante o desenvolvimento do protocolo
As razões pelas quais isso pode ser necessário estão definidas no documento,
Embora certamente não estejamos preparados para especular sobre requisitos regulatórios, nosso produto proprietário de mitigação de DDoS de aplicativos (incluindo uma solução
Além disso, desde a implementação, não foram identificados problemas relacionados à criptografia de transporte. É oficial: o TLS 1.3 está pronto para produção.
No entanto, ainda existe um problema associado ao desenvolvimento de protocolos de próxima geração. O problema é que o progresso do protocolo na IETF normalmente depende fortemente da pesquisa acadêmica, e o estado da pesquisa acadêmica na área de mitigação de ataques distribuídos de negação de serviço é desanimador.
Então, um bom exemplo seria
Este último é, de facto, muito raro em ambientes empresariais reais (e apenas parcialmente aplicável a ISPs) e, em qualquer caso, é pouco provável que seja um "caso geral" no mundo real - mas aparece constantemente em publicações científicas, geralmente não suportadas. testando todo o espectro de possíveis ataques DDoS, incluindo ataques em nível de aplicativo. Este último, devido pelo menos à implantação mundial do TLS, obviamente não pode ser detectado pela medição passiva de pacotes e fluxos de rede.
Da mesma forma, ainda não sabemos como os fornecedores de hardware de mitigação de DDoS se adaptarão à realidade do TLS 1.3. Devido à complexidade técnica do suporte ao protocolo fora de banda, a atualização pode levar algum tempo.
Definir as metas certas para orientar a pesquisa é um grande desafio para os provedores de serviços de mitigação de DDoS. Uma área onde o desenvolvimento pode começar é
Fonte: habr.com