Dina awal taun, dina laporan ngeunaan masalah Internet sarta diakses pikeun 2018-2019 yén sumebarna TLS 1.3 teu bisa dilawan. Sababaraha waktu ka tukang, urang sorangan nyebarkeun vérsi 1.3 tina protokol Transport Layer Security sareng, saatos ngumpulkeun sareng nganalisa data, kami tungtungna siap ngobrol ngeunaan fitur transisi ieu.
Kursi Grup Gawé IETF TLS :
"Singgetna, TLS 1.3 kedah nyayogikeun yayasan pikeun Internét anu langkung aman sareng éfisién pikeun 20 taun ka hareup."
rarancang nyandak 10 taun panjang. Kami di Qrator Labs, sareng sesa industri, parantos ngiringan prosés nyiptakeun protokol ti draf awal. Dina waktos ieu, perlu nyerat 28 vérsi draf padeukeut pikeun pamustunganana ningali terang protokol anu saimbang sareng gampang disebarkeun dina taun 2019. Pangrojong pasar aktip pikeun TLS 1.3 parantos dibuktikeun: palaksanaan protokol kaamanan anu kabuktian sareng dipercaya nyumponan kabutuhan jaman.
Numutkeun ka Eric Rescorla (Firefox CTO sareng panulis tunggal TLS 1.3) :
"Ieu gaganti lengkep pikeun TLS 1.2, ngagunakeun kenop sarua jeung sertipikat, jadi klien tur server otomatis bisa komunikasi ngaliwatan TLS 1.3 lamun duanana ngarojong eta," cenahna. "Tos aya dukungan anu saé dina tingkat perpustakaan, sareng Chrome sareng Firefox ngaktifkeun TLS 1.3 sacara standar."
Sajajar, TLS mungkas dina grup kerja IETF , nyatakeun versi TLS anu langkung lami (henteu ngan ukur TLS 1.2) teu tiasa dianggo sareng teu tiasa dianggo. Paling dipikaresep, RFC final bakal dileupaskeun saméméh ahir usum panas. Ieu mangrupikeun sinyal sanés pikeun industri IT: ngamutahirkeun protokol énkripsi henteu kedah ditunda.
Daptar palaksanaan TLS 1.3 ayeuna sayogi di Github pikeun saha waé anu milarian perpustakaan anu paling cocog: . Ieu jelas yén nyoko jeung rojongan pikeun protokol diropéa bakal-jeung geus-progressing gancang. Pamahaman kumaha enkripsi dasar parantos janten di dunya modéren parantos sumebar sacara lega.
Naon anu robih ti saprak TLS 1.2?
ti :
"Kumaha TLS 1.3 ngajantenkeun dunya janten tempat anu langkung saé?
TLS 1.3 ngawengku kaunggulan téknis nu tangtu—sapertos prosés sasalaman anu disederhanakeun pikeun nyieun sambungan anu aman—sareng ogé ngamungkinkeun para klien langkung gancang neruskeun sési sareng server. Ukuran ieu dimaksudkeun pikeun ngurangan latency setelan sambungan na gagal sambungan on Tumbu lemah, nu mindeng dipaké salaku leresan nyadiakeun sambungan HTTP wungkul unencrypted.
Sagampil pentingna, éta ngaleungitkeun dukungan pikeun sababaraha warisan sareng enkripsi anu teu aman sareng algoritma hashing anu masih diidinan (sanaos henteu disarankeun) pikeun dianggo sareng versi TLS sateuacana, kalebet SHA-1, MD5, DES, 3DES, sareng AES-CBC. nambahkeun rojongan pikeun suites cipher anyar. Perbaikan sanésna kalebet unsur-unsur sasalaman anu langkung énkripsi (contona, bursa inpormasi sertipikat ayeuna énkripsi) pikeun ngirangan jumlah petunjuk pikeun panyadapan lalu lintas anu poténsial, ogé perbaikan pikeun neraskeun rasiah nalika nganggo modeu bursa konci anu tangtu supados komunikasi. salamina kedah tetep aman sanajan algoritma anu dianggo pikeun énkripsi éta dikompromi di hareup."
Ngembangkeun protokol modern sareng DDoS
Anjeun meureun geus maca, salila ngembangkeun protokol , dina grup kerja IETF TLS . Ayeuna jelas yén perusahaan individu (kalebet lembaga keuangan) kedah ngarobih cara aranjeunna ngamankeun jaringan sorangan pikeun nampung protokol anu ayeuna diwangun. .
Alesan naha ieu tiasa diperyogikeun dijelaskeun dina dokumén, . Makalah 20 halaman nyebatkeun sababaraha conto dimana perusahaan hoyong ngadekrip lalu lintas kaluar-band (anu PFS henteu ngijinkeun) pikeun ngawaskeun, patuh atanapi lapisan aplikasi (L7) tujuan panyalindungan DDoS.
Sanaos urang pasti henteu siap pikeun spekulasi ngeunaan syarat pangaturan, produk mitigasi DDoS aplikasi proprietary kami (kalebet solusi sénsitip jeung/atawa informasi rahasia) dijieun dina 2012 nyokot PFS kana akun, jadi klien tur mitra urang teu kudu nyieun sagala parobahan infrastruktur maranéhanana sanggeus ngamutahirkeun versi TLS di sisi server.
Oge, ti saprak palaksanaan, teu aya masalah anu aya hubunganana sareng enkripsi angkutan anu diidentifikasi. Ieu resmi: TLS 1.3 geus siap pikeun produksi.
Nanging, masih aya masalah anu aya hubunganana sareng pamekaran protokol generasi salajengna. Masalahna nyaéta kamajuan protokol di IETF biasana gumantung pisan kana panilitian akademik, sareng kaayaan panalungtikan akademik dina widang mitigating serangan panolakan-jasa anu disebarkeun nyaéta suram.
Janten, conto anu saé Draf IETF "QUIC Manageability," bagian tina suite protokol QUIC anu bakal datang, nyatakeun yén "métode modéren pikeun ngadeteksi sareng ngirangan [serangan DDoS] biasana ngalibatkeun pangukuran pasif nganggo data aliran jaringan."
Anu terakhir, kanyataanna, jarang pisan di lingkungan perusahaan nyata (sareng ngan ukur sawaréh lumaku pikeun ISP), sareng dina hal naon waé henteu mungkin janten "kasus umum" di dunya nyata - tapi muncul terus-terusan dina publikasi ilmiah, biasana henteu didukung. ku nguji sakabéh spéktrum serangan DDoS poténsial, kaasup serangan tingkat aplikasi. Anu terakhir, kusabab sahenteuna panyebaran TLS sadunya, écés henteu tiasa dideteksi ku pangukuran pasip tina pakét sareng aliran jaringan.
Kitu ogé, urang henteu acan terang kumaha anu ngical paralatan mitigasi DDoS bakal adaptasi sareng kanyataan TLS 1.3. Kusabab pajeulitna téknis pikeun ngadukung protokol out-of-band, pamutahiran tiasa nyandak sababaraha waktos.
Nyetél tujuan anu leres pikeun nungtun panalungtikan mangrupikeun tantangan utama pikeun panyadia jasa mitigasi DDoS. Hiji wewengkon mana pangwangunan bisa dimimitian nyaéta di IRTF, dimana peneliti tiasa kolaborasi sareng industri pikeun nyaring pangaweruh sorangan ngeunaan industri anu nangtang sareng ngajalajah jalan-jalan panalungtikan anyar. Kami ogé ngahaturkeun wilujeng sumping ka sadaya panalungtik, upami aya - urang tiasa ngahubungi patarosan atanapi saran anu aya hubunganana sareng panalungtikan DDoS atanapi grup riset SMART di
sumber: www.habr.com