La începutul anului, într-un raport privind problemele internetului și accesibilitatea pentru 2018-2019
Președinții grupului de lucru IETF TLS
„Pe scurt, TLS 1.3 ar trebui să ofere baza pentru un internet mai sigur și mai eficient în următorii 20 de ani.”
desen
Potrivit lui Eric Rescorla (CTO Firefox și unicul autor al TLS 1.3)
„Acesta este un înlocuitor complet pentru TLS 1.2, folosind aceleași chei și certificate, astfel încât clientul și serverul pot comunica automat prin TLS 1.3 dacă ambele îl acceptă”, a spus el. „Există deja un suport bun la nivel de bibliotecă, iar Chrome și Firefox activează implicit TLS 1.3.”
În paralel, TLS se încheie în grupul de lucru IETF
O listă a implementărilor actuale TLS 1.3 este disponibilă pe Github pentru oricine caută cea mai potrivită bibliotecă:
Ce s-a schimbat de la TLS 1.2?
De
„Cum TLS 1.3 face lumea un loc mai bun?
TLS 1.3 include anumite avantaje tehnice - cum ar fi un proces simplificat de strângere de mână pentru a stabili o conexiune sigură - și, de asemenea, permite clienților să reia mai rapid sesiunile cu serverele. Aceste măsuri sunt menite să reducă latența de configurare a conexiunii și eșecurile conexiunii pe legăturile slabe, care sunt adesea folosite ca justificare pentru furnizarea numai de conexiuni HTTP necriptate.
La fel de important, elimină suportul pentru mai mulți algoritmi de criptare și hashing vechi și nesiguri care sunt încă permisi (deși nu sunt recomandati) pentru utilizare cu versiuni anterioare de TLS, inclusiv SHA-1, MD5, DES, 3DES și AES-CBC. adăugarea de suport pentru noi suite de criptare. Alte îmbunătățiri includ mai multe elemente criptate ale strângerii de mână (de exemplu, schimbul de informații despre certificat este acum criptat) pentru a reduce cantitatea de indicii pentru un potențial interceptator de trafic, precum și îmbunătățiri pentru transmiterea secretului atunci când se utilizează anumite moduri de schimb de chei, astfel încât comunicarea trebuie să rămână în siguranță în orice moment, chiar dacă algoritmii folosiți pentru a-l cripta sunt compromisi în viitor.”
Dezvoltarea de protocoale moderne și DDoS
După cum poate ați citit deja, în timpul dezvoltării protocolului
Motivele pentru care acest lucru poate fi necesar sunt prezentate în document,
Deși cu siguranță nu suntem pregătiți să speculăm cu privire la cerințele de reglementare, produsul nostru proprietar de reducere a DDoS (inclusiv o soluție
De asemenea, de la implementare, nu au fost identificate probleme legate de criptarea transportului. Este oficial: TLS 1.3 este gata de producție.
Cu toate acestea, există încă o problemă asociată cu dezvoltarea protocoalelor de generație următoare. Problema este că progresul protocolului în IETF depinde de obicei în mare măsură de cercetarea academică, iar starea cercetării academice în domeniul atenuării atacurilor distribuite de refuzare a serviciului este proastă.
Deci, un exemplu bun ar fi
Acesta din urmă este, de fapt, foarte rar în mediile reale de întreprindere (și aplicabil doar parțial furnizorilor de servicii de internet) și, în orice caz, este puțin probabil să fie un „caz general” în lumea reală - dar apare constant în publicațiile științifice, de obicei nesuportat. prin testarea întregului spectru de atacuri DDoS potențiale, inclusiv atacuri la nivel de aplicație. Acesta din urmă, datorită cel puțin implementării la nivel mondial a TLS, evident nu poate fi detectat prin măsurarea pasivă a pachetelor și fluxurilor de rețea.
De asemenea, încă nu știm cum se vor adapta furnizorii de hardware de reducere a DDoS la realitățile TLS 1.3. Datorită complexității tehnice a acceptării protocolului out-of-band, upgrade-ul poate dura ceva timp.
Stabilirea obiectivelor potrivite pentru a ghida cercetarea este o provocare majoră pentru furnizorii de servicii de atenuare a DDoS. Un domeniu în care poate începe dezvoltarea este
Sursa: www.habr.com