Sa simula ng taon, sa isang ulat sa mga problema sa Internet at accessibility para sa 2018-2019 na ang pagkalat ng TLS 1.3 ay hindi maiiwasan. Noong nakaraan, kami mismo ang nag-deploy ng bersyon 1.3 ng Transport Layer Security protocol at, pagkatapos mangolekta at mag-analyze ng data, handa na kaming pag-usapan ang tungkol sa mga feature ng transition na ito.
IETF TLS Working Group Chairs :
"Sa madaling salita, ang TLS 1.3 ay dapat magbigay ng pundasyon para sa isang mas secure at mahusay na Internet para sa susunod na 20 taon."
Development tumagal ng 10 mahabang taon. Kami sa Qrator Labs, kasama ang natitirang bahagi ng industriya, ay mahigpit na sinundan ang proseso ng paggawa ng protocol mula sa paunang draft. Sa panahong ito, kinailangang magsulat ng 28 magkakasunod na bersyon ng draft para sa huli ay makita ang liwanag ng isang balanse at madaling i-deploy na protocol sa 2019. Ang aktibong suporta sa merkado para sa TLS 1.3 ay maliwanag na: ang pagpapatupad ng isang napatunayan at maaasahang protocol ng seguridad ay nakakatugon sa mga pangangailangan ng panahon.
Ayon kay Eric Rescorla (Firefox CTO at nag-iisang may-akda ng TLS 1.3) :
"Ito ay isang kumpletong kapalit para sa TLS 1.2, gamit ang parehong mga key at certificate, kaya ang kliyente at server ay maaaring awtomatikong makipag-usap sa TLS 1.3 kung pareho nilang sinusuportahan ito," sabi niya. "Mayroon nang magandang suporta sa antas ng library, at pinagana ng Chrome at Firefox ang TLS 1.3 bilang default."
Kasabay nito, ang TLS ay nagtatapos sa IETF working group , na nagdedeklara ng mga mas lumang bersyon ng TLS (hindi kasama lamang ang TLS 1.2) na hindi na ginagamit at hindi na magagamit. Malamang, ang huling RFC ay ilalabas bago matapos ang tag-araw. Ito ay isa pang senyales sa industriya ng IT: ang pag-update ng mga protocol ng pag-encrypt ay hindi dapat maantala.
Ang isang listahan ng kasalukuyang mga pagpapatupad ng TLS 1.3 ay magagamit sa Github para sa sinumang naghahanap ng pinaka-angkop na library: . Malinaw na ang pag-aampon at suporta para sa na-update na protocol ay magigingβat ito ayβmabilis na umuunlad. Medyo malawak na kumalat ang pag-unawa sa kung paano naging pangunahing pag-encrypt sa modernong mundo.
Ano ang nagbago mula noong TLS 1.2?
Ng :
βPaano ginagawang mas magandang lugar ng TLS 1.3 ang mundo?
Kasama sa TLS 1.3 ang ilang partikular na teknikal na bentaheβgaya ng pinasimpleng proseso ng handshake para magtatag ng secure na koneksyonβat nagbibigay-daan din sa mga kliyente na mas mabilis na ipagpatuloy ang mga session sa mga server. Ang mga hakbang na ito ay nilayon upang bawasan ang latency ng pag-setup ng koneksyon at mga pagkabigo ng koneksyon sa mga mahihinang link, na kadalasang ginagamit bilang katwiran para sa pagbibigay lamang ng mga hindi naka-encrypt na koneksyon sa HTTP.
Tulad ng mahalaga, inaalis nito ang suporta para sa ilang legacy at hindi secure na pag-encrypt at mga algorithm ng hashing na pinapayagan pa rin (bagaman hindi inirerekomenda) para sa paggamit sa mga naunang bersyon ng TLS, kabilang ang SHA-1, MD5, DES, 3DES, at AES-CBC. habang pagdaragdag ng suporta para sa mga bagong cipher suite. Kasama sa iba pang mga pagpapabuti ang mas maraming naka-encrypt na elemento ng handshake (halimbawa, ang pagpapalitan ng impormasyon ng certificate ay naka-encrypt na ngayon) upang bawasan ang dami ng mga pahiwatig sa isang potensyal na traffic eavesdropper, pati na rin ang mga pagpapabuti sa pagpapasa ng lihim kapag gumagamit ng ilang partikular na key exchange mode upang magkaroon ng komunikasyon. sa lahat ng oras ay dapat manatiling ligtas kahit na ang mga algorithm na ginamit upang i-encrypt ito ay nakompromiso sa hinaharap."
Pagbuo ng mga modernong protocol at DDoS
Tulad ng maaaring nabasa mo na, sa panahon ng pagbuo ng protocol , sa IETF TLS working group . Malinaw na ngayon na ang mga indibidwal na negosyo (kabilang ang mga institusyong pampinansyal) ay kailangang baguhin ang paraan ng pagse-secure ng kanilang sariling network upang ma-accommodate ang built-in na ngayon ng protocol. .
Ang mga dahilan kung bakit maaaring kailanganin ito ay itinakda sa dokumento, . Ang 20-pahinang papel ay nagbanggit ng ilang mga halimbawa kung saan maaaring naisin ng isang enterprise na i-decrypt ang out-of-band na trapiko (na hindi pinapayagan ng PFS) para sa pagsubaybay, pagsunod o application layer (L7) na mga layunin ng proteksyon ng DDoS.
Bagama't tiyak na hindi kami handang mag-isip tungkol sa mga kinakailangan sa regulasyon, ang aming pagmamay-ari na produkto ng pagpapagaan ng DDoS (kabilang ang isang solusyon sensitibo at/o kumpidensyal na impormasyon) ay nilikha noong 2012 na isinasaalang-alang ang PFS, kaya hindi na kailangan ng aming mga kliyente at kasosyo na gumawa ng anumang mga pagbabago sa kanilang imprastraktura pagkatapos i-update ang bersyon ng TLS sa panig ng server.
Gayundin, mula nang ipatupad, walang mga problemang nauugnay sa transport encryption ang natukoy. Ito ay opisyal: TLS 1.3 ay handa na para sa produksyon.
Gayunpaman, mayroon pa ring problema na nauugnay sa pagbuo ng mga susunod na henerasyong protocol. Ang problema ay ang pag-unlad ng protocol sa IETF ay karaniwang nakadepende sa akademikong pananaliksik, at ang estado ng akademikong pananaliksik sa larangan ng pagpapagaan ng mga distributed denial-of-service na pag-atake ay malungkot.
Kaya, isang magandang halimbawa Ang draft ng IETF na "QUIC Manageability," bahagi ng paparating na QUIC protocol suite, ay nagsasaad na "ang mga modernong pamamaraan para sa pag-detect at pagpapagaan ng [mga pag-atake ng DDoS] ay karaniwang may kasamang passive na pagsukat gamit ang data ng daloy ng network."
Ang huli ay, sa katunayan, napakabihirang sa mga tunay na kapaligiran ng negosyo (at bahagyang naaangkop lamang sa mga ISP), at sa anumang kaso ay malabong maging isang "pangkalahatang kaso" sa totoong mundo - ngunit patuloy na lumalabas sa mga publikasyong siyentipiko, kadalasang hindi suportado. sa pamamagitan ng pagsubok sa buong spectrum ng mga potensyal na pag-atake ng DDoS, kabilang ang mga pag-atake sa antas ng application. Ang huli, dahil sa hindi bababa sa pandaigdigang pag-deploy ng TLS, ay malinaw na hindi matukoy ng passive na pagsukat ng mga network packet at daloy.
Gayundin, hindi pa namin alam kung paano aangkop ang mga vendor ng hardware ng DDoS mitigation sa mga katotohanan ng TLS 1.3. Dahil sa teknikal na kumplikado ng pagsuporta sa out-of-band protocol, maaaring tumagal ng ilang oras ang pag-upgrade.
Ang pagtatakda ng mga tamang layunin upang gabayan ang pananaliksik ay isang malaking hamon para sa mga tagapagbigay ng serbisyo sa pagpapagaan ng DDoS. Ang isang lugar kung saan maaaring magsimula ang pag-unlad ay sa IRTF, kung saan maaaring makipagtulungan ang mga mananaliksik sa industriya upang pinuhin ang kanilang sariling kaalaman sa isang mapaghamong industriya at tuklasin ang mga bagong paraan ng pananaliksik. Ipinaaabot din namin ang isang mainit na pagtanggap sa lahat ng mga mananaliksik, kung mayroon man - maaari kaming makipag-ugnayan sa mga tanong o mungkahi na may kaugnayan sa pananaliksik sa DDoS o sa SMART na grupo ng pananaliksik sa
Pinagmulan: www.habr.com