Začiatkom roka v správe o problémoch a dostupnosti internetu na roky 2018-2019
Predsedovia pracovnej skupiny IETF TLS
„Stručne povedané, TLS 1.3 by mal poskytnúť základ pre bezpečnejší a efektívnejší internet na nasledujúcich 20 rokov.“
dizajn
Podľa Erica Rescorlu (CTO Firefoxu a jediného autora TLS 1.3)
„Toto je úplná náhrada za TLS 1.2 s použitím rovnakých kľúčov a certifikátov, takže klient a server môžu automaticky komunikovať cez TLS 1.3, ak ho obaja podporujú,“ povedal. "Na úrovni knižnice už existuje dobrá podpora a prehliadače Chrome a Firefox štandardne povoľujú TLS 1.3."
Paralelne s tým TLS končí v pracovnej skupine IETF
Zoznam aktuálnych implementácií TLS 1.3 je dostupný na Github pre každého, kto hľadá najvhodnejšiu knižnicu:
Čo sa zmenilo od TLS 1.2?
Z
„Ako robí TLS 1.3 svet lepším miestom?
TLS 1.3 obsahuje určité technické výhody – ako napríklad zjednodušený proces handshake na vytvorenie zabezpečeného pripojenia – a tiež umožňuje klientom rýchlejšie obnoviť relácie so servermi. Tieto opatrenia sú určené na zníženie latencie nastavenia pripojenia a zlyhania pripojenia na slabých prepojeniach, ktoré sa často používajú ako odôvodnenie poskytovania iba nešifrovaných pripojení HTTP.
Rovnako dôležité je, že odstraňuje podporu pre niekoľko starých a nezabezpečených šifrovacích a hašovacích algoritmov, ktoré sú stále povolené (hoci sa neodporúčajú) používať so staršími verziami TLS, vrátane SHA-1, MD5, DES, 3DES a AES-CBC. pridanie podpory pre nové šifrovacie súpravy. Ďalšie vylepšenia zahŕňajú viac šifrovaných prvkov handshake (napríklad výmena informácií o certifikáte je teraz šifrovaná), aby sa znížilo množstvo záchytných bodov pre potenciálneho odpočúvania prevádzky, ako aj vylepšenia preposielania tajomstva pri používaní určitých režimov výmeny kľúčov, takže komunikácia vždy musí zostať bezpečný, aj keď algoritmy používané na jeho šifrovanie budú v budúcnosti kompromitované.“
Vývoj moderných protokolov a DDoS
Ako ste si už mohli prečítať, počas vývoja protokolu
Dôvody, prečo sa to môže vyžadovať, sú uvedené v dokumente,
Aj keď určite nie sme pripravení špekulovať o regulačných požiadavkách, naša vlastná aplikácia DDoS zmierňujúca produkt (vrátane riešenia
Taktiež od implementácie neboli identifikované žiadne problémy súvisiace s transportným šifrovaním. Je to oficiálne: TLS 1.3 je pripravený na výrobu.
Stále však existuje problém spojený s vývojom protokolov novej generácie. Problém je v tom, že pokrok v protokoloch v IETF je zvyčajne silne závislý od akademického výskumu a stav akademického výskumu v oblasti zmierňovania distribuovaných útokov odmietnutia služby je tristný.
Takže dobrý príklad by bol
To druhé je v skutočnosti veľmi zriedkavé v skutočných podnikových prostrediach (a len čiastočne použiteľné pre ISP) a v každom prípade je nepravdepodobné, že by išlo o „všeobecný prípad“ v reálnom svete – ale neustále sa objavuje vo vedeckých publikáciách, ktoré zvyčajne nie sú podporované. testovaním celého spektra potenciálnych DDoS útokov, vrátane útokov na aplikačnej úrovni. Ten druhý, vzhľadom na prinajmenšom celosvetové nasadenie TLS, zjavne nie je možné odhaliť pasívnym meraním sieťových paketov a tokov.
Rovnako ešte nevieme, ako sa predajcovia hardvéru na zmiernenie DDoS prispôsobia realite TLS 1.3. Vzhľadom na technickú zložitosť podpory protokolu mimo pásma môže aktualizácia chvíľu trvať.
Stanovenie správnych cieľov na vedenie výskumu je hlavnou výzvou pre poskytovateľov služieb zmierňovania DDoS. Jednou z oblastí, kde môže vývoj začať, je
Zdroj: hab.com