เมื่อต้นปี ในรายงานปัญหาอินเทอร์เน็ตและการเข้าถึงข้อมูล ปี 2018-2019
ประธานคณะทำงาน IETF TLS
“โดยสรุป TLS 1.3 ควรเป็นรากฐานสำหรับอินเทอร์เน็ตที่ปลอดภัยและมีประสิทธิภาพยิ่งขึ้นไปอีก 20 ปีข้างหน้า”
ออกแบบ
อ้างอิงจาก Eric Rescorla (Firefox CTO และผู้เขียน TLS 1.3 แต่เพียงผู้เดียว)
“นี่เป็นการแทนที่ TLS 1.2 โดยสมบูรณ์ โดยใช้คีย์และใบรับรองเดียวกัน ดังนั้นไคลเอนต์และเซิร์ฟเวอร์จึงสามารถสื่อสารผ่าน TLS 1.3 ได้โดยอัตโนมัติหากทั้งคู่รองรับ” เขากล่าว “มีการสนับสนุนที่ดีอยู่แล้วในระดับไลบรารี และ Chrome และ Firefox จะเปิดใช้งาน TLS 1.3 เป็นค่าเริ่มต้น”
ในขณะเดียวกัน TLS ก็สิ้นสุดในคณะทำงาน IETF
รายการการใช้งาน TLS 1.3 ปัจจุบันมีอยู่บน Github สำหรับใครก็ตามที่กำลังมองหาไลบรารี่ที่เหมาะสมที่สุด:
มีอะไรเปลี่ยนแปลงไปตั้งแต่ TLS 1.2?
ของ
“TLS 1.3 ทำให้โลกน่าอยู่ขึ้นได้อย่างไร?
TLS 1.3 มีข้อได้เปรียบทางเทคนิคบางประการ เช่น กระบวนการจับมือที่ง่ายขึ้นเพื่อสร้างการเชื่อมต่อที่ปลอดภัย และยังช่วยให้ไคลเอนต์สามารถดำเนินเซสชันต่อกับเซิร์ฟเวอร์ได้รวดเร็วยิ่งขึ้น มาตรการเหล่านี้มีจุดมุ่งหมายเพื่อลดเวลาแฝงในการตั้งค่าการเชื่อมต่อและความล้มเหลวในการเชื่อมต่อบนลิงก์ที่อ่อนแอ ซึ่งมักจะใช้เป็นเหตุผลในการให้บริการเฉพาะการเชื่อมต่อ HTTP ที่ไม่ได้เข้ารหัสเท่านั้น
ที่สำคัญไม่แพ้กันคือจะลบการสนับสนุนสำหรับการเข้ารหัสและอัลกอริธึมการแฮชแบบเดิมและไม่ปลอดภัยหลายอย่างที่ยังคงได้รับอนุญาต (แต่ไม่แนะนำ) เพื่อใช้กับ TLS เวอร์ชันก่อนหน้า รวมถึง SHA-1, MD5, DES, 3DES และ AES-CBC เพิ่มการรองรับชุดรหัสใหม่ การปรับปรุงอื่นๆ ได้แก่ องค์ประกอบการจับมือที่เข้ารหัสมากขึ้น (เช่น ขณะนี้การแลกเปลี่ยนข้อมูลใบรับรองได้รับการเข้ารหัสแล้ว) เพื่อลดจำนวนคำแนะนำแก่ผู้ดักฟังการรับส่งข้อมูลที่อาจเกิดขึ้น รวมถึงการปรับปรุงการส่งต่อความลับเมื่อใช้โหมดการแลกเปลี่ยนคีย์บางโหมดเพื่อให้การสื่อสารนั้น จะต้องคงความปลอดภัยไว้ตลอดเวลาแม้ว่าอัลกอริธึมที่ใช้ในการเข้ารหัสจะถูกบุกรุกในอนาคตก็ตาม”
การพัฒนาโปรโตคอลสมัยใหม่และ DDoS
ดังที่คุณอาจได้อ่านไปแล้วในระหว่างการพัฒนาโปรโตคอล
เหตุผลที่อาจจำเป็นต้องทำเช่นนี้มีระบุไว้ในเอกสาร
แม้ว่าเราจะไม่พร้อมที่จะคาดเดาข้อกำหนดด้านกฎระเบียบอย่างแน่นอน แต่ผลิตภัณฑ์ลดผลกระทบ DDoS ที่เป็นกรรมสิทธิ์ของเรา (รวมถึงโซลูชัน
นอกจากนี้ นับตั้งแต่มีการนำไปใช้ ยังไม่พบปัญหาที่เกี่ยวข้องกับการเข้ารหัสการขนส่งอีกด้วย เป็นทางการ: TLS 1.3 พร้อมสำหรับการผลิตแล้ว
อย่างไรก็ตาม ยังคงมีปัญหาที่เกี่ยวข้องกับการพัฒนาโปรโตคอลรุ่นต่อไป ปัญหาคือความก้าวหน้าของโปรโตคอลใน IETF โดยทั่วไปจะขึ้นอยู่กับการวิจัยทางวิชาการเป็นอย่างมาก และสถานะของการวิจัยทางวิชาการในสาขาการบรรเทาการโจมตีแบบปฏิเสธการให้บริการแบบกระจายนั้นน่าหดหู่ใจ
ดังนั้นจึงควรเป็นตัวอย่างที่ดี
อันที่จริงอย่างหลังนั้นหาได้ยากมากในสภาพแวดล้อมขององค์กรจริง (และใช้ได้กับ ISP เพียงบางส่วนเท่านั้น) และไม่ว่าในกรณีใดไม่น่าจะถือเป็น "กรณีทั่วไป" ในโลกแห่งความเป็นจริง - แต่ปรากฏอยู่ตลอดเวลาในสิ่งพิมพ์ทางวิทยาศาสตร์ ซึ่งมักจะไม่ได้รับการสนับสนุน โดยการทดสอบการโจมตี DDoS ที่เป็นไปได้ทั้งหมด รวมถึงการโจมตีระดับแอปพลิเคชัน อย่างหลัง เนื่องจากการปรับใช้ TLS ทั่วโลกเป็นอย่างน้อย จึงไม่สามารถตรวจพบได้โดยการวัดแพ็กเก็ตและโฟลว์เครือข่ายแบบพาสซีฟ
ในทำนองเดียวกัน เรายังไม่ทราบว่าผู้จำหน่ายฮาร์ดแวร์ลดผลกระทบ DDoS จะปรับตัวเข้ากับความเป็นจริงของ TLS 1.3 ได้อย่างไร เนื่องจากความซับซ้อนทางเทคนิคในการรองรับโปรโตคอลนอกแบนด์ การอัปเกรดอาจใช้เวลาระยะหนึ่ง
การตั้งเป้าหมายที่เหมาะสมเพื่อเป็นแนวทางในการวิจัยถือเป็นความท้าทายที่สำคัญสำหรับผู้ให้บริการบรรเทาผลกระทบจาก DDoS พื้นที่หนึ่งที่สามารถเริ่มต้นการพัฒนาได้คือ
ที่มา: will.com