Yil boshida 2018-2019 yillar uchun Internet muammolari va foydalanish imkoniyati haqidagi hisobotda TLS 1.3 ning tarqalishi muqarrar. Bir muncha vaqt oldin biz o'zimiz Transport Layer Security protokolining 1.3 versiyasini o'rnatdik va ma'lumotlarni to'plash va tahlil qilgandan so'ng, nihoyat, ushbu o'tishning xususiyatlari haqida gapirishga tayyormiz.
IETF TLS ishchi guruhi raislari :
"Qisqasi, TLS 1.3 keyingi 20 yil davomida yanada xavfsiz va samarali Internet uchun asos bo'lishi kerak."
Rivojlanish uzoq 10 yil davom etdi. Biz Qrator Labs-da, sanoatning qolgan qismlari bilan birga, dastlabki loyihadan boshlab protokol yaratish jarayonini diqqat bilan kuzatib bordik. Bu vaqt ichida 28 yilda muvozanatli va oson qo'llanilishi mumkin bo'lgan protokol nurini ko'rish uchun loyihaning ketma-ket 2019 ta versiyasini yozish kerak edi. TLS 1.3 uchun faol bozor qo'llab-quvvatlashi allaqachon yaqqol ko'rinib turibdi: tasdiqlangan va ishonchli xavfsizlik protokolini joriy etish zamon talablariga javob beradi.
Erik Rescorlaning so'zlariga ko'ra (Firefox CTO va TLS 1.3 ning yagona muallifi) :
"Bu bir xil kalitlar va sertifikatlardan foydalangan holda TLS 1.2 ni to'liq almashtirishdir, shuning uchun mijoz va server ikkalasi ham uni qo'llab-quvvatlasa, avtomatik ravishda TLS 1.3 orqali bog'lanishi mumkin", dedi u. "Kutubxona darajasida allaqachon yaxshi yordam mavjud va Chrome va Firefox sukut bo'yicha TLS 1.3 ni yoqadi."
Bunga parallel ravishda IETF ishchi guruhida TLS tugaydi , TLS ning eski versiyalarini (faqat TLS 1.2 dan tashqari) eskirgan va yaroqsiz deb e'lon qilish. Katta ehtimol bilan, yakuniy RFC yoz oxirigacha chiqariladi. Bu IT sanoati uchun yana bir signal: shifrlash protokollarini yangilash kechiktirilmasligi kerak.
Joriy TLS 1.3 ilovalari roʻyxati Github’da eng mos kutubxonani qidirayotgan har bir kishi uchun mavjud: . Yangilangan protokolni qabul qilish va qo'llab-quvvatlash tez sur'atlar bilan davom etishi aniq. Zamonaviy dunyoda asosiy shifrlash qanday bo'lganini tushunish juda keng tarqaldi.
TLS 1.2 dan keyin nima o'zgardi?
dan :
“Qanday qilib TLS 1.3 dunyoni yaxshiroq joyga aylantiradi?
TLS 1.3 ma'lum texnik afzalliklarni o'z ichiga oladi, masalan, xavfsiz ulanishni o'rnatish uchun soddalashtirilgan qo'l siqish jarayoni va shuningdek, mijozlarga serverlar bilan sessiyalarni tezroq davom ettirish imkonini beradi. Ushbu chora-tadbirlar faqat shifrlanmagan HTTP ulanishlarini ta'minlash uchun asos sifatida ishlatiladigan zaif havolalardagi ulanishning kechikishini va ulanishning nosozliklarini kamaytirishga mo'ljallangan.
Muhimi shundaki, u haligacha TLS ning oldingi versiyalari, jumladan SHA-1, MD5, DES, 3DES va AES-CBC bilan foydalanishga ruxsat berilgan (tavsiya etilmaydi) bir qancha eski va xavfsiz shifrlash va xeshlash algoritmlarini qo‘llab-quvvatlashni olib tashlaydi. yangi shifr to'plamlarini qo'llab-quvvatlash. Boshqa yaxshilanishlar potentsial trafikni tinglovchiga maslahatlar miqdorini kamaytirish uchun qo'l siqishning ko'proq shifrlangan elementlarini (masalan, sertifikat ma'lumotlari almashinuvi shifrlangan), shuningdek, ba'zi kalit almashish rejimlaridan foydalanganda ma'lumot uzatish maxfiyligini yaxshilashni o'z ichiga oladi. Agar kelajakda uni shifrlash uchun ishlatiladigan algoritmlar buzilgan bo'lsa ham, har doim xavfsiz bo'lishi kerak.
Zamonaviy protokollar va DDoSni ishlab chiqish
Siz allaqachon o'qiganingizdek, protokolni ishlab chiqish paytida , IETF TLS ishchi guruhida . Ayrim korxonalar (jumladan, moliya institutlari) protokolning o'rnatilgan tizimlariga moslashish uchun o'z tarmoqlarini himoya qilish usullarini o'zgartirishlari kerakligi aniq. .
Buning talab qilinishi mumkin bo'lgan sabablar hujjatda ko'rsatilgan: . 20 betlik qog'ozda korxona DDoS himoyasi, monitoring, muvofiqlik yoki amaliy qatlam (L7) uchun tarmoqdan tashqari trafikni (PFS ruxsat bermaydi) shifrlashni xohlashi mumkin bo'lgan bir nechta misollarni eslatib o'tadi.
Biz me'yoriy talablar bo'yicha spekulyatsiya qilishga tayyor bo'lmasak-da, bizning xususiy dasturimiz DDoS yumshatish mahsuloti (jumladan, yechim nozik va/yoki maxfiy ma'lumotlar) 2012 yilda PFSni hisobga olgan holda yaratilgan, shuning uchun bizning mijozlarimiz va hamkorlarimiz server tomonida TLS versiyasini yangilagandan so'ng o'z infratuzilmasiga hech qanday o'zgartirish kiritishlari shart emas edi.
Shuningdek, amalga oshirilgandan beri transportni shifrlash bilan bog'liq muammolar aniqlanmagan. Bu rasmiy: TLS 1.3 ishlab chiqarishga tayyor.
Biroq, yangi avlod protokollarini ishlab chiqish bilan bog'liq muammo hali ham mavjud. Muammo shundaki, IETFda protokol taraqqiyoti odatda akademik tadqiqotlarga bog'liq va tarqatilgan xizmat ko'rsatishni rad etish hujumlarini yumshatish sohasidagi akademik tadqiqotlar holati juda achinarli.
Shunday qilib, yaxshi misol bo'lardi Yaqinlashib kelayotgan QUIC protokollar to'plamining bir qismi bo'lgan "QUIC Manageability" IETF loyihasida aytilishicha, "[DDoS hujumlarini] aniqlash va yumshatishning zamonaviy usullari odatda tarmoq oqimi ma'lumotlaridan foydalangan holda passiv o'lchashni o'z ichiga oladi".
Ikkinchisi, aslida, haqiqiy korporativ muhitda juda kam uchraydi (va faqat qisman ISPlar uchun qo'llaniladi) va har qanday holatda ham real dunyoda "umumiy holat" bo'lishi dargumon - lekin ilmiy nashrlarda doimiy ravishda paydo bo'ladi, odatda qo'llab-quvvatlanmaydi. potentsial DDoS hujumlarining butun spektrini, shu jumladan dastur darajasidagi hujumlarni sinab ko'rish orqali. Ikkinchisini, hech bo'lmaganda, TLSning butun dunyo bo'ylab tarqalishi tufayli, tarmoq paketlari va oqimlarini passiv o'lchash orqali aniqlab bo'lmaydi.
Xuddi shunday, biz DDoS yumshatuvchi apparat sotuvchilari TLS 1.3 haqiqatlariga qanday moslashishini hali bilmaymiz. Tarmoqdan tashqari protokolni qo'llab-quvvatlashning texnik murakkabligi tufayli yangilanish biroz vaqt talab qilishi mumkin.
Tadqiqotga rahbarlik qilish uchun to'g'ri maqsadlarni belgilash DDoS yumshatish xizmati provayderlari uchun katta muammo hisoblanadi. Rivojlanish boshlanishi mumkin bo'lgan sohalardan biri IRTFda, tadqiqotchilar qiyin sanoat haqidagi o'z bilimlarini yaxshilash va tadqiqotning yangi yo'llarini kashf qilish uchun sanoat bilan hamkorlik qilishlari mumkin. Shuningdek, biz barcha tadqiqotchilarni samimiy tabriklaymiz, agar mavjud bo'lsa - DDoS tadqiqoti yoki SMART tadqiqot guruhi bilan bog'liq savollar yoki takliflar bilan biz bilan bog'lanishimiz mumkin.
Manba: www.habr.com