V začetku leta je v poročilu o težavah in dostopnosti interneta za 2018-2019 da je širjenje TLS 1.3 neizogibno. Pred časom smo sami uvedli različico 1.3 protokola Transport Layer Security in po zbiranju in analizi podatkov smo končno pripravljeni govoriti o značilnostih tega prehoda.
Predsedniki delovnih skupin IETF TLS :
"Na kratko, TLS 1.3 bi moral zagotoviti osnovo za bolj varen in učinkovit internet v naslednjih 20 letih."
Razvoj trajalo dolgih 10 let. V Qrator Labs smo skupaj s preostalo industrijo pozorno spremljali postopek ustvarjanja protokola od začetnega osnutka. V tem času je bilo treba napisati 28 zaporednih različic osnutka, da bi leta 2019 končno ugledal luč uravnoteženega protokola, ki ga je enostavno uvesti. Aktivna tržna podpora za TLS 1.3 je že očitna: implementacija preverjenega in zanesljivega varnostnega protokola ustreza potrebam časa.
Po mnenju Erica Rescorle (Firefoxov tehnični direktor in edini avtor TLS 1.3) :
"To je popolna zamenjava za TLS 1.2 z uporabo istih ključev in potrdil, tako da lahko odjemalec in strežnik samodejno komunicirata prek TLS 1.3, če ga oba podpirata," je dejal. "Na ravni knjižnice že obstaja dobra podpora, Chrome in Firefox pa privzeto omogočata TLS 1.3."
Vzporedno se TLS končuje v delovni skupini IETF , ki razglaša starejše različice TLS (razen samo TLS 1.2) za zastarele in neuporabne. Najverjetneje bo končni RFC izšel pred koncem poletja. To je še en signal za IT industrijo: s posodabljanjem šifrirnih protokolov ne bi smeli odlašati.
Seznam trenutnih implementacij TLS 1.3 je na voljo na Githubu za vse, ki iščejo najprimernejšo knjižnico: . Jasno je, da bosta sprejetje in podpora za posodobljeni protokol hitro napredovala in že napredujeta. Razumevanje tega, kako temeljno je postalo šifriranje v sodobnem svetu, se je zelo razširilo.
Kaj se je spremenilo od TLS 1.2?
Od :
»Kako TLS 1.3 naredi svet boljši?
TLS 1.3 vključuje določene tehnične prednosti – kot je poenostavljen postopek rokovanja za vzpostavitev varne povezave – in strankam omogoča tudi hitrejše nadaljevanje sej s strežniki. Ti ukrepi so namenjeni zmanjšanju zakasnitve nastavitve povezave in napak pri povezovanju na šibkih povezavah, ki se pogosto uporabljajo kot utemeljitev za zagotavljanje samo nešifriranih povezav HTTP.
Prav tako pomembno je, da odstrani podporo za več podedovanih in nevarnih algoritmov šifriranja in zgoščevanja, ki so še vedno dovoljeni (čeprav niso priporočljivi) za uporabo s starejšimi različicami TLS, vključno s SHA-1, MD5, DES, 3DES in AES-CBC. dodajanje podpore za nove šifrirne zbirke. Druge izboljšave vključujejo več šifriranih elementov rokovanja (na primer, izmenjava informacij o potrdilu je zdaj šifrirana), da se zmanjša količina namigov za morebitno prisluškovanje prometu, kot tudi izboljšave posredovanja tajnosti pri uporabi določenih načinov izmenjave ključev, tako da komunikacija ves čas mora ostati varen, tudi če bodo algoritmi, uporabljeni za šifriranje, v prihodnosti ogroženi.«
Razvoj sodobnih protokolov in DDoS
Kot ste morda že prebrali, med razvojem protokola , v delovni skupini IETF TLS . Zdaj je jasno, da bodo morala posamezna podjetja (vključno s finančnimi institucijami) spremeniti način varovanja lastnega omrežja, da bodo lahko prilagodila zdaj vgrajeni protokol .
Razlogi, zakaj je to morda potrebno, so navedeni v dokumentu, . 20-stranski dokument omenja več primerov, ko bi podjetje želelo dešifrirati zunajpasovni promet (česar PFS ne dovoljuje) za namene nadzora, skladnosti ali zaščite aplikacijskega sloja (L7) DDoS.
Čeprav zagotovo nismo pripravljeni špekulirati o regulativnih zahtevah, naš lastniški izdelek za ublažitev DDoS aplikacij (vključno z rešitvijo občutljive in/ali zaupne informacije) je bil ustvarjen leta 2012 ob upoštevanju PFS, tako da našim strankam in partnerjem po posodobitvi različice TLS na strani strežnika ni bilo treba narediti nobenih sprememb v svoji infrastrukturi.
Prav tako od implementacije niso bile ugotovljene nobene težave v zvezi s šifriranjem transporta. Uradno: TLS 1.3 je pripravljen za proizvodnjo.
Še vedno pa obstaja težava, povezana z razvojem protokolov naslednje generacije. Težava je v tem, da je napredek protokola v IETF običajno močno odvisen od akademskih raziskav, stanje akademskih raziskav na področju blaženja porazdeljenih napadov zavrnitve storitve pa je slabo.
Torej, dober primer bi bil Osnutek IETF "QUIC Manageability," del prihajajočega paketa protokolov QUIC, navaja, da "sodobne metode za odkrivanje in ublažitev [napadov DDoS] običajno vključujejo pasivno merjenje z uporabo podatkov o omrežnem toku."
Slednje je pravzaprav zelo redko v resničnih podjetniških okoljih (in le delno uporabno za ponudnike internetnih storitev) in v vsakem primeru ni verjetno, da bi šlo za "splošen primer" v resničnem svetu - vendar se nenehno pojavlja v znanstvenih publikacijah, običajno ni podprto s testiranjem celotnega spektra možnih napadov DDoS, vključno z napadi na ravni aplikacije. Slednjega, vsaj zaradi svetovne razširjenosti TLS, očitno ni mogoče zaznati s pasivnim merjenjem omrežnih paketov in tokov.
Prav tako še ne vemo, kako se bodo proizvajalci strojne opreme za ublažitev DDoS prilagodili realnostim TLS 1.3. Zaradi tehnične zapletenosti podpore za zunajpasovni protokol lahko nadgradnja traja nekaj časa.
Določanje pravih ciljev za vodenje raziskav je velik izziv za ponudnike storitev ublažitve DDoS. Eno področje, kjer se lahko začne razvoj, je na IRTF, kjer lahko raziskovalci sodelujejo z industrijo, da izpopolnijo lastno znanje o zahtevni industriji in raziščejo nove raziskovalne poti. Prav tako izrekamo toplo dobrodošlico vsem raziskovalcem, če bodo kakšni - z vprašanji ali predlogi v zvezi z raziskavami DDoS ali raziskovalno skupino SMART se lahko obrnete na nas na
Vir: www.habr.com