Почетком године, у извештају о проблемима и доступности Интернета за 2018-2019. да је ширење ТЛС 1.3 неизбежно. Пре извесног времена, сами смо применили верзију 1.3 протокола Транспорт Лаиер Сецурити и, након прикупљања и анализе података, коначно смо спремни да причамо о карактеристикама ове транзиције.
Председавајући ИЕТФ ТЛС радних група :
„Укратко, ТЛС 1.3 би требало да обезбеди основу за сигурнији и ефикаснији Интернет у наредних 20 година.
Развој трајало је 10 дугих година. Ми у Кратор Лабс-у, заједно са остатком индустрије, пажљиво смо пратили процес креирања протокола од почетног нацрта. За то време било је потребно написати 28 узастопних верзија нацрта како би се на крају видело светло избалансираног протокола који се лако примењује у 2019. години. Активна тржишна подршка за ТЛС 1.3 је већ очигледна: имплементација доказаног и поузданог безбедносног протокола задовољава потребе времена.
Према Ериц Ресцорла (Фирефок ЦТО и једини аутор ТЛС 1.3) :
„Ово је потпуна замена за ТЛС 1.2, користећи исте кључеве и сертификате, тако да клијент и сервер могу аутоматски да комуницирају преко ТЛС 1.3 ако га обоје подржавају“, рекао је он. „Већ постоји добра подршка на нивоу библиотеке, а Цхроме и Фирефок подразумевано омогућавају ТЛС 1.3.“
Паралелно, ТЛС се завршава у радној групи ИЕТФ-а , проглашавајући старије верзије ТЛС-а (осим само ТЛС 1.2) застарелим и неупотребљивим. Највероватније ће коначни РФЦ бити објављен пре краја лета. Ово је још један сигнал ИТ индустрији: ажурирање протокола за шифровање не би требало да се одлаже.
Листа тренутних имплементација ТЛС 1.3 доступна је на Гитхуб-у за све који траже најприкладнију библиотеку: . Јасно је да ће усвајање и подршка ажурираном протоколу брзо напредовати – и да већ напредује. Разумевање о томе како је шифровање постало фундаментално у савременом свету се прилично раширило.
Шта се променило од ТЛС 1.2?
Од :
„Како ТЛС 1.3 чини свет бољим местом?
ТЛС 1.3 укључује одређене техничке предности—као што је поједностављен процес руковања за успостављање безбедне везе—и такође омогућава клијентима да брже наставе сесије са серверима. Ове мере имају за циљ да смање кашњење подешавања везе и неуспехе везе на слабим везама, које се често користе као оправдање за обезбеђивање само нешифрованих ХТТП веза.
Оно што је једнако важно, уклања подршку за неколико старих и несигурних алгоритама за шифровање и хеширање који су и даље дозвољени (иако се не препоручују) за употребу са ранијим верзијама ТЛС-а, укључујући СХА-1, МД5, ДЕС, 3ДЕС и АЕС-ЦБЦ. додавање подршке за нове пакете шифри. Остала побољшања укључују више шифрованих елемената руковања (на пример, размена информација о сертификатима је сада шифрована) како би се смањила количина трагова потенцијалног прислушкивача саобраћаја, као и побољшања у вези тајности прослеђивања када се користе одређени начини размене кључева тако да комуникација у сваком тренутку мора остати безбедан чак и ако алгоритми који се користе за шифровање буду компромитовани у будућности."
Развој савремених протокола и ДДоС-а
Као што сте можда већ прочитали, током развоја протокола , у радној групи ИЕТФ ТЛС . Сада је јасно да ће појединачна предузећа (укључујући финансијске институције) морати да промене начин на који обезбеђују сопствену мрежу како би прихватила сада уграђени протокол .
Разлози због којих би то могло бити потребно наведени су у документу, . У документу од 20 страница помиње се неколико примера у којима би предузеће могло да жели да дешифрује саобраћај ван опсега (што ПФС не дозвољава) у сврхе праћења, усклађености или ДДоС заштите слоја апликације (Л7).
Иако свакако нисмо спремни да спекулишемо о регулаторним захтевима, наш власнички производ за ублажавање ДДоС-а (укључујући решење осетљиве и/или поверљиве информације) креиран је 2012. године узимајући у обзир ПФС, тако да наши клијенти и партнери нису морали да уносе никакве измене у своју инфраструктуру након ажурирања ТЛС верзије на страни сервера.
Такође, од имплементације нису идентификовани никакви проблеми везани за шифровање транспорта. Званично је: ТЛС 1.3 је спреман за производњу.
Међутим, и даље постоји проблем у вези са развојем протокола следеће генерације. Проблем је у томе што напредак протокола у ИЕТФ-у обично у великој мери зависи од академског истраживања, а стање академског истраживања у области ублажавања дистрибуираних напада ускраћивања услуге је суморно.
Дакле, добар пример би био ИЕТФ нацрт „КУИЦ Манагеабилити“, део предстојећег пакета КУИЦ протокола, наводи да „савремене методе за откривање и ублажавање [ДДоС напада] обично укључују пасивно мерење коришћењем података о протоку мреже“.
Ово последње је, у ствари, веома ретко у стварним пословним окружењима (и само делимично применљиво на ИСП), и у сваком случају је мало вероватно да ће бити „општи случај“ у стварном свету – али се стално појављује у научним публикацијама, обично није подржан тестирањем читавог спектра потенцијалних ДДоС напада, укључујући нападе на нивоу апликације. Ово последње, барем због примене ТЛС-а широм света, очигледно се не може открити пасивним мерењем мрежних пакета и токова.
Исто тако, још не знамо како ће се продавци хардвера за ублажавање ДДоС-а прилагодити стварности ТЛС-а 1.3. Због техничке сложености подршке протокола ван опсега, надоградња може потрајати.
Постављање правих циљева за вођење истраживања је велики изазов за пружаоце услуга ублажавања ДДоС-а. Једна област у којој развој може да почне је на ИРТФ, где истраживачи могу да сарађују са индустријом како би усавршили сопствено знање о изазовној индустрији и истражили нове путеве истраживања. Такође упућујемо топлу добродошлицу свим истраживачима, уколико их има - можемо нам се обратити са питањима или сугестијама у вези са ДДоС истраживањем или СМАРТ истраживачком групом на адреси
Извор: ввв.хабр.цом