Yılın başında 2018-2019 İnternet sorunları ve erişilebilirlik konulu bir raporda TLS 1.3'ün yayılmasının kaçınılmaz olduğu. Bir süre önce Aktarım Katmanı Güvenliği protokolünün 1.3 sürümünü kendimiz dağıttık ve verileri toplayıp analiz ettikten sonra nihayet bu geçişin özellikleri hakkında konuşmaya hazırız.
IETF TLS Çalışma Grubu Başkanları :
"Kısacası TLS 1.3, önümüzdeki 20 yıl için daha güvenli ve verimli bir İnternet'in temelini oluşturmalıdır."
Gelişme 10 uzun yıl sürdü. Qrator Labs olarak biz, sektörün geri kalanıyla birlikte, ilk taslaktan itibaren protokol oluşturma sürecini yakından takip ettik. Bu süre zarfında, 28'da dengeli ve dağıtımı kolay bir protokolün ışığını nihai olarak görebilmek için taslağın 2019 ardışık versiyonunun yazılması gerekiyordu. TLS 1.3'ün aktif pazar desteği zaten ortada: Kanıtlanmış ve güvenilir bir güvenlik protokolünün uygulanması, zamanın ihtiyaçlarını karşılıyor.
Eric Rescorla'ya göre (Firefox CTO'su ve TLS 1.3'ün tek yazarı) :
"Bu, aynı anahtarları ve sertifikaları kullanan TLS 1.2'nin tam bir alternatifidir, böylece istemci ve sunucu, her ikisi de destekliyorsa TLS 1.3 üzerinden otomatik olarak iletişim kurabilir" dedi. "Kütüphane düzeyinde zaten iyi bir destek var ve Chrome ve Firefox varsayılan olarak TLS 1.3'ü etkinleştiriyor."
Buna paralel olarak IETF çalışma grubunda TLS sona eriyor , TLS'nin eski sürümlerinin (yalnızca TLS 1.2 hariç) eski ve kullanılamaz olduğunu ilan etti. Büyük olasılıkla, nihai RFC yaz sonundan önce yayınlanacak. Bu, BT endüstrisine başka bir sinyaldir: Şifreleme protokollerinin güncellenmesi geciktirilmemelidir.
En uygun kütüphaneyi arayan herkes için mevcut TLS 1.3 uygulamalarının bir listesi Github'da mevcuttur: . Güncellenen protokolün benimsenmesinin ve desteğinin hızla ilerleyeceği ve halihazırda ilerleyeceği açıktır. Modern dünyada şifrelemenin ne kadar temel hale geldiğine dair anlayış oldukça geniş bir alana yayıldı.
TLS 1.2'den bu yana neler değişti?
Of :
“TLS 1.3 dünyayı nasıl daha iyi bir yer haline getiriyor?
TLS 1.3, güvenli bir bağlantı kurmak için basitleştirilmiş bir el sıkışma süreci gibi belirli teknik avantajlar içerir ve ayrıca istemcilerin sunucularla oturumları daha hızlı bir şekilde sürdürmelerine olanak tanır. Bu önlemlerin amacı, genellikle yalnızca şifrelenmemiş HTTP bağlantıları sağlamanın gerekçesi olarak kullanılan zayıf bağlantılardaki bağlantı kurulum gecikmesini ve bağlantı hatalarını azaltmaktır.
Daha da önemlisi, SHA-1, MD5, DES, 3DES ve AES-CBC dahil olmak üzere TLS'nin önceki sürümleriyle kullanılmasına hâlâ izin verilen (tavsiye edilmese de) çeşitli eski ve güvenli olmayan şifreleme ve karma algoritmalarına yönelik desteği kaldırır. yeni şifre paketleri için destek eklenmesi. Diğer iyileştirmeler arasında, potansiyel bir trafik dinleyicisine yönelik ipuçlarının miktarını azaltmak için el sıkışmanın daha fazla şifrelenmiş öğeleri (örneğin, sertifika bilgilerinin değişimi artık şifrelenmiştir) ve ayrıca belirli anahtar değişim modlarını kullanırken iletişimin daha kolay yapılabilmesi için iletme gizliliğinde iyileştirmeler yer alır. gelecekte onu şifrelemek için kullanılan algoritmaların güvenliği ihlal edilse bile her zaman güvenli kalmalıdır.”
Modern protokollerin ve DDoS'un geliştirilmesi
Daha önce okumuş olabileceğiniz gibi, protokolün geliştirilmesi sırasında , IETF TLS çalışma grubunda . Artık bireysel işletmelerin (finansal kurumlar dahil), protokolün artık yerleşik olan özelliklerine uyum sağlamak için kendi ağlarının güvenliğini sağlama yöntemlerini değiştirmeleri gerektiği açıktır. .
Bunun gerekli olabileceği nedenler belgede belirtilmiştir, . 20 sayfalık belgede bir kuruluşun izleme, uyumluluk veya uygulama katmanı (L7) DDoS koruması amacıyla bant dışı trafiğin (PFS'nin izin vermediği) şifresini çözmek isteyebileceği birkaç örnekten bahsediliyor.
Mevzuat gereklilikleri hakkında spekülasyon yapmaya kesinlikle hazır olmasak da, tescilli uygulamamız DDoS azaltma ürünümüz (bir çözüm dahil) hassas ve/veya gizli bilgiler) 2012 yılında PFS dikkate alınarak oluşturuldu, böylece müşterilerimizin ve iş ortaklarımızın sunucu tarafında TLS sürümünü güncelledikten sonra altyapılarında herhangi bir değişiklik yapmalarına gerek kalmadı.
Ayrıca uygulamadan bu yana aktarım şifrelemesine ilişkin herhangi bir sorun tespit edilmedi. Resmileşti: TLS 1.3 üretime hazır.
Ancak yeni nesil protokollerin geliştirilmesiyle ilgili hala bir sorun var. Sorun, IETF'deki protokol ilerlemesinin genellikle büyük ölçüde akademik araştırmaya bağlı olması ve dağıtılmış hizmet reddi saldırılarının azaltılması alanındaki akademik araştırmanın durumunun iç karartıcı olmasıdır.
Yani iyi bir örnek şu olabilir: Yaklaşan QUIC protokol paketinin bir parçası olan IETF taslağı "QUIC Yönetilebilirlik", "[DDoS saldırılarını] tespit etmeye ve azaltmaya yönelik modern yöntemlerin genellikle ağ akış verilerini kullanan pasif ölçümü içerdiğini" belirtir.
İkincisi, aslında gerçek kurumsal ortamlarda çok nadirdir (ve ISP'lere yalnızca kısmen uygulanabilir) ve her durumda gerçek dünyada "genel bir durum" olması pek olası değildir - ancak bilimsel yayınlarda sürekli olarak ortaya çıkar ve genellikle desteklenmez. Uygulama düzeyindeki saldırılar da dahil olmak üzere potansiyel DDoS saldırılarının tüm yelpazesini test ederek. İkincisi, en azından TLS'nin dünya çapında konuşlandırılması nedeniyle, ağ paketlerinin ve akışlarının pasif ölçümüyle açıkça tespit edilemez.
Benzer şekilde, DDoS azaltma donanımı satıcılarının TLS 1.3'ün gerçeklerine nasıl uyum sağlayacağını henüz bilmiyoruz. Bant dışı protokolü desteklemenin teknik karmaşıklığı nedeniyle yükseltme biraz zaman alabilir.
Araştırmaya rehberlik edecek doğru hedefleri belirlemek, DDoS azaltma hizmet sağlayıcıları için büyük bir zorluktur. Gelişimin başlayabileceği alanlardan biri Araştırmacıların, zorlu bir sektörle ilgili kendi bilgilerini geliştirmek ve yeni araştırma yollarını keşfetmek için endüstriyle işbirliği yapabileceği IRTF'de. Ayrıca tüm araştırmacılara da sıcak bir karşılama sunarız; eğer varsa, DDoS araştırması veya SMART araştırma grubuyla ilgili soru veya önerileriniz için bizimle şu adresten iletişime geçebilirsiniz:
Kaynak: habr.com