Đầu năm, trong báo cáo về vấn đề Internet và khả năng tiếp cận năm 2018-2019 rằng sự lây lan của TLS 1.3 là không thể tránh khỏi. Cách đây một thời gian, bản thân chúng tôi đã triển khai phiên bản 1.3 của giao thức Bảo mật lớp vận chuyển và sau khi thu thập và phân tích dữ liệu, cuối cùng chúng tôi đã sẵn sàng nói về các tính năng của quá trình chuyển đổi này.
Chủ tịch nhóm làm việc IETF TLS :
“Tóm lại, TLS 1.3 sẽ cung cấp nền tảng cho Internet an toàn và hiệu quả hơn trong 20 năm tới.”
Phát triển mất 10 năm dài. Chúng tôi tại Qrator Labs, cùng với những người còn lại trong ngành, đã tuân thủ chặt chẽ quy trình tạo giao thức từ bản dự thảo ban đầu. Trong thời gian này, cần phải viết 28 phiên bản dự thảo liên tiếp để cuối cùng nhìn thấy ánh sáng của một giao thức cân bằng và dễ triển khai vào năm 2019. Sự hỗ trợ tích cực của thị trường dành cho TLS 1.3 đã được thể hiện rõ: việc triển khai một giao thức bảo mật đáng tin cậy và đã được chứng minh đáp ứng nhu cầu của thời đại.
Theo Eric Rescorla (CTO của Firefox và là tác giả duy nhất của TLS 1.3) :
Ông nói: “Đây là sự thay thế hoàn toàn cho TLS 1.2, sử dụng cùng khóa và chứng chỉ, vì vậy máy khách và máy chủ có thể tự động liên lạc qua TLS 1.3 nếu cả hai đều hỗ trợ nó”. “Đã có sự hỗ trợ tốt ở cấp thư viện và Chrome và Firefox bật TLS 1.3 theo mặc định.”
Song song đó, TLS đang kết thúc trong nhóm làm việc của IETF , tuyên bố các phiên bản TLS cũ hơn (chỉ ngoại trừ TLS 1.2) đã lỗi thời và không sử dụng được. Nhiều khả năng, RFC cuối cùng sẽ được phát hành trước cuối mùa hè. Đây là một tín hiệu khác cho ngành CNTT: không nên trì hoãn việc cập nhật các giao thức mã hóa.
Danh sách triển khai TLS 1.3 hiện tại có sẵn trên Github cho bất kỳ ai đang tìm kiếm thư viện phù hợp nhất: . Rõ ràng là việc áp dụng và hỗ trợ cho giao thức cập nhật sẽ—và đã—tiến triển nhanh chóng. Sự hiểu biết về việc mã hóa cơ bản đã trở nên như thế nào trong thế giới hiện đại đã lan rộng khá rộng rãi.
Điều gì đã thay đổi kể từ TLS 1.2?
Của :
“TLS 1.3 làm cho thế giới trở nên tốt đẹp hơn như thế nào?
TLS 1.3 bao gồm một số ưu điểm kỹ thuật nhất định—chẳng hạn như quy trình bắt tay đơn giản hóa để thiết lập kết nối an toàn—và cũng cho phép khách hàng tiếp tục phiên với máy chủ nhanh hơn. Các biện pháp này nhằm giảm độ trễ thiết lập kết nối và lỗi kết nối trên các liên kết yếu, thường được dùng làm lý do biện minh cho việc chỉ cung cấp các kết nối HTTP không được mã hóa.
Điều quan trọng không kém là nó loại bỏ hỗ trợ cho một số thuật toán băm và mã hóa cũ và không an toàn vẫn được phép (mặc dù không được khuyến nghị) sử dụng với các phiên bản TLS cũ hơn, bao gồm SHA-1, MD5, DES, 3DES và AES-CBC. thêm hỗ trợ cho bộ mật mã mới. Các cải tiến khác bao gồm các yếu tố bắt tay được mã hóa nhiều hơn (ví dụ: trao đổi thông tin chứng chỉ hiện đã được mã hóa) để giảm lượng manh mối cho kẻ nghe lén lưu lượng truy cập tiềm năng, cũng như các cải tiến để chuyển tiếp bí mật khi sử dụng một số chế độ trao đổi khóa nhất định để liên lạc mọi lúc đều phải được bảo mật ngay cả khi các thuật toán được sử dụng để mã hóa nó bị xâm phạm trong tương lai.”
Phát triển các giao thức hiện đại và DDoS
Như bạn có thể đã đọc, trong quá trình phát triển giao thức , trong nhóm làm việc IETF TLS . Hiện tại, rõ ràng là các doanh nghiệp riêng lẻ (bao gồm cả các tổ chức tài chính) sẽ phải thay đổi cách họ bảo mật mạng của mình để phù hợp với giao thức hiện đã được tích hợp sẵn. .
Những lý do tại sao điều này có thể được yêu cầu được nêu trong tài liệu, . Bài viết dài 20 trang đề cập đến một số ví dụ trong đó doanh nghiệp có thể muốn giải mã lưu lượng ngoài băng tần (mà PFS không cho phép) để phục vụ mục đích giám sát, tuân thủ hoặc bảo vệ DDoS lớp ứng dụng (L7).
Mặc dù chúng tôi chắc chắn không sẵn sàng suy đoán về các yêu cầu quy định, nhưng sản phẩm giảm thiểu DDoS ứng dụng độc quyền của chúng tôi (bao gồm cả giải pháp thông tin nhạy cảm và/hoặc bí mật) được tạo vào năm 2012 có tính đến PFS, vì vậy khách hàng và đối tác của chúng tôi không cần thực hiện bất kỳ thay đổi nào đối với cơ sở hạ tầng của họ sau khi cập nhật phiên bản TLS ở phía máy chủ.
Ngoài ra, kể từ khi triển khai, không có vấn đề nào liên quan đến mã hóa truyền tải được xác định. Đây là thông tin chính thức: TLS 1.3 đã sẵn sàng để sản xuất.
Tuy nhiên, vẫn còn một vấn đề liên quan đến việc phát triển các giao thức thế hệ tiếp theo. Vấn đề là tiến trình giao thức trong IETF thường phụ thuộc nhiều vào nghiên cứu học thuật và tình trạng nghiên cứu học thuật trong lĩnh vực giảm thiểu các cuộc tấn công từ chối dịch vụ phân tán là rất ảm đạm.
Vì vậy, một ví dụ điển hình sẽ là Dự thảo IETF “Khả năng quản lý QUIC”, một phần của bộ giao thức QUIC sắp ra mắt, nêu rõ rằng “các phương pháp hiện đại để phát hiện và giảm thiểu [các cuộc tấn công DDoS] thường liên quan đến phép đo thụ động sử dụng dữ liệu luồng mạng”.
Trên thực tế, trường hợp thứ hai rất hiếm trong môi trường doanh nghiệp thực tế (và chỉ áp dụng một phần cho ISP) và trong mọi trường hợp khó có thể là "trường hợp chung" trong thế giới thực - nhưng xuất hiện liên tục trong các ấn phẩm khoa học, thường không được hỗ trợ bằng cách kiểm tra toàn bộ các cuộc tấn công DDoS tiềm năng, bao gồm cả các cuộc tấn công cấp ứng dụng. Điều thứ hai, do ít nhất là do việc triển khai TLS trên toàn thế giới nên rõ ràng là không thể bị phát hiện bằng phép đo thụ động các gói và luồng mạng.
Tương tự như vậy, chúng tôi vẫn chưa biết các nhà cung cấp phần cứng giảm thiểu DDoS sẽ thích ứng như thế nào với thực tế của TLS 1.3. Do sự phức tạp về mặt kỹ thuật trong việc hỗ trợ giao thức ngoài băng tần nên quá trình nâng cấp có thể mất một thời gian.
Đặt mục tiêu phù hợp để hướng dẫn nghiên cứu là một thách thức lớn đối với các nhà cung cấp dịch vụ giảm thiểu DDoS. Một lĩnh vực mà sự phát triển có thể bắt đầu là tại IRTF, nơi các nhà nghiên cứu có thể cộng tác với ngành để trau dồi kiến thức của riêng họ về một ngành đầy thách thức và khám phá những hướng nghiên cứu mới. Chúng tôi cũng gửi lời chào nồng nhiệt tới tất cả các nhà nghiên cứu, nếu có - chúng tôi có thể liên hệ với chúng tôi nếu có câu hỏi hoặc đề xuất liên quan đến nghiên cứu DDoS hoặc nhóm nghiên cứu SMART tại
Nguồn: www.habr.com