I början av året i en rapport om internetproblem och tillgänglighet för 2018-2019 att spridningen av TLS 1.3 är oundviklig. För en tid sedan implementerade vi själva version 1.3 av Transport Layer Security-protokollet och efter att ha samlat in och analyserat data är vi äntligen redo att prata om funktionerna i denna övergång.
IETF TLS arbetsgruppsordförande :
"Kort sagt, TLS 1.3 borde ge grunden för ett säkrare och effektivare internet under de kommande 20 åren."
utformning tog 10 långa år. Vi på Qrator Labs, tillsammans med resten av branschen, har noga följt processen för att skapa protokoll från det första utkastet. Under denna tid var det nödvändigt att skriva 28 på varandra följande versioner av utkastet för att i slutändan se ljuset av ett balanserat och lättanvänt protokoll under 2019. Det aktiva marknadsstödet för TLS 1.3 är redan uppenbart: implementeringen av ett beprövat och pålitligt säkerhetsprotokoll möter tidens behov.
Enligt Eric Rescorla (Firefox CTO och enda författare till TLS 1.3) :
"Detta är en komplett ersättning för TLS 1.2, med samma nycklar och certifikat, så klienten och servern kan automatiskt kommunicera över TLS 1.3 om de båda stöder det", sa han. "Det finns redan bra stöd på biblioteksnivå, och Chrome och Firefox aktiverar TLS 1.3 som standard."
Parallellt slutar TLS i IETF:s arbetsgrupp , förklarar äldre versioner av TLS (exklusive endast TLS 1.2) föråldrade och oanvändbara. Troligtvis kommer den sista RFC:n att släppas före slutet av sommaren. Detta är ytterligare en signal till IT-branschen: uppdatering av krypteringsprotokoll bör inte försenas.
En lista över aktuella TLS 1.3-implementationer finns på Github för alla som letar efter det mest lämpliga biblioteket: . Det är tydligt att antagandet och stödet för det uppdaterade protokollet kommer – och redan pågår – att utvecklas snabbt. Förståelsen för hur grundläggande kryptering har blivit i den moderna världen har spridits ganska brett.
Vad har förändrats sedan TLS 1.2?
Av :
"Hur gör TLS 1.3 världen till en bättre plats?
TLS 1.3 innehåller vissa tekniska fördelar – som en förenklad handskakningsprocess för att upprätta en säker anslutning – och tillåter även klienter att snabbare återuppta sessioner med servrar. Dessa åtgärder är avsedda att minska fördröjningen av anslutningsinstallationen och anslutningsfel på svaga länkar, som ofta används som motivering för att endast tillhandahålla okrypterade HTTP-anslutningar.
Lika viktigt är att det tar bort stöd för flera äldre och osäkra kryptering och hashalgoritmer som fortfarande är tillåtna (men inte rekommenderade) för användning med tidigare versioner av TLS, inklusive SHA-1, MD5, DES, 3DES och AES-CBC. lägga till stöd för nya chiffersviter. Andra förbättringar inkluderar fler krypterade delar av handskakningen (exempelvis är utbytet av certifikatinformation nu krypterad) för att minska mängden ledtrådar till en potentiell trafikavlyssning, samt förbättringar av vidarebefordranssekretessen när man använder vissa nyckelutbyteslägen så att kommunikationen måste alltid förbli säkra även om algoritmerna som används för att kryptera den äventyras i framtiden."
Utveckling av moderna protokoll och DDoS
Som du kanske redan har läst, under utvecklingen av protokollet , i IETF TLS-arbetsgruppen . Det är nu klart att enskilda företag (inklusive finansiella institutioner) kommer att behöva ändra sättet de säkrar sitt eget nätverk för att tillgodose protokollets nu inbyggda .
Skälen till varför detta kan krävas anges i dokumentet, . Den 20-sidiga uppsatsen nämner flera exempel där ett företag kanske vill dekryptera trafik utanför bandet (vilket PFS inte tillåter) för övervakning, efterlevnad eller applikationslager (L7) DDoS-skydd.
Även om vi verkligen inte är beredda att spekulera i regulatoriska krav, vår egenutvecklade applikation DDoS-reducerande produkt (inklusive en lösning känslig och/eller konfidentiell information) skapades 2012 med hänsyn till PFS, så våra kunder och partners behövde inte göra några ändringar i sin infrastruktur efter att ha uppdaterat TLS-versionen på serversidan.
Sedan implementeringen har inga problem relaterade till transportkryptering identifierats. Det är officiellt: TLS 1.3 är redo för produktion.
Det finns dock fortfarande ett problem i samband med utvecklingen av nästa generations protokoll. Problemet är att protokollframstegen i IETF vanligtvis är starkt beroende av akademisk forskning, och tillståndet för akademisk forskning inom området för att mildra distribuerade denial-of-service-attacker är dyster.
Så, ett bra exempel skulle vara IETF-utkastet "QUIC Manageability", en del av den kommande QUIC-protokollsviten, säger att "moderna metoder för att upptäcka och mildra [DDoS-attacker] vanligtvis involverar passiv mätning med hjälp av nätverksflödesdata."
Det sistnämnda är i själva verket mycket sällsynt i verkliga företagsmiljöer (och endast delvis tillämpligt på Internetleverantörer), och i alla fall är det osannolikt att vara ett "allmänt fall" i den verkliga världen - men förekommer ständigt i vetenskapliga publikationer, som vanligtvis inte stöds genom att testa hela spektrumet av potentiella DDoS-attacker, inklusive attacker på applikationsnivå. Det senare, åtminstone på grund av den världsomspännande distributionen av TLS, kan uppenbarligen inte detekteras genom passiv mätning av nätverkspaket och flöden.
På samma sätt vet vi ännu inte hur DDoS-reducerande hårdvaruleverantörer kommer att anpassa sig till verkligheten i TLS 1.3. På grund av den tekniska komplexiteten i att stödja out-of-band-protokollet kan uppgraderingen ta lite tid.
Att sätta rätt mål för att vägleda forskning är en stor utmaning för leverantörer av DDoS-reducerande tjänster. Ett område där utvecklingen kan börja är vid IRTF, där forskare kan samarbeta med industrin för att förfina sin egen kunskap om en utmanande bransch och utforska nya forskningsvägar. Vi hälsar även alla forskare varmt välkomna, om det skulle finnas några - vi kan kontaktas med frågor eller förslag relaterade till DDoS-forskning eller SMART-forskargruppen på
Källa: will.com