В начале года, в отчете о проблемах и доступности интернета за 2018-2019 אַז די פאַרשפּרייטן פון TLS 1.3 איז באַשערט. עטלעכע מאָל צוריק, מיר זיך דיפּלויד ווערסיע 1.3 פון די טראַנספּאָרט לייַער זיכערהייַט פּראָטאָקאָל און, נאָך קאַלעקטינג און אַנאַלייזינג דאַטן, מיר זענען לעסאָף גרייט צו רעדן וועגן די פֿעיִקייטן פון דעם יבערגאַנג.
IETF TLS ארבעטן גרופע טשערז :
«Вкратце, TLS 1.3 должен предоставить фундамент более безопасного и эффективного Интернета на следующие 20 лет».
אַנטוויקלונג גענומען 10 לאַנג יאָרן. מיר אין Qrator Labs, צוזאַמען מיט די רעשט פון די אינדוסטריע, האָבן ענג נאכגעגאנגען די פּראָטאָקאָל שאַפונג פּראָצעס פֿון די ערשט פּלאַן. אין דעם צייט, עס איז געווען נייטיק צו שרייַבן 28 קאָנסעקוטיווע ווערסיעס פון דעם פּלאַן צו לעסאָף זען די ליכט פון אַ באַלאַנסט און גרינג צו צעוויקלען פּראָטאָקאָל אין 2019. די אַקטיוו מאַרק שטיצן פֿאַר TLS 1.3 איז שוין קענטיק: די ימפּלאַמענטיישאַן פון אַ פּראָווען און פאַרלאָזלעך זיכערהייט פּראָטאָקאָל טרעפן די באדערפענישן פון די צייט.
По словам Эрика Рескорлы (технического директора Firefox и единственного автора TLS 1.3) :
"דאָס איז אַ גאַנץ פאַרבייַט פֿאַר TLS 1.2, ניצן די זעלבע שליסלען און סערטיפיקאַץ, אַזוי דער קליענט און סערווער קענען אויטאָמאַטיש יבערגעבן איבער TLS 1.3 אויב זיי ביידע שטיצן עס," ער האט געזאגט. "עס איז שוין גוט שטיצן אין דער ביבליאָטעק מדרגה, און קראָום און פירעפאָקס געבן TLS 1.3 דורך פעליקייַט."
Параллельно в рабочей группе IETF TLS заканчивается , דערקלערט עלטערע ווערסיעס פון TLS (עקסקלודינג בלויז TLS 1.2) פאַרעלטערט און אַניוזאַבאַל. רובֿ מסתּמא, די לעצט RFC וועט זיין פריי איידער די סוף פון די זומער. דאָס איז אן אנדער סיגנאַל צו די IT אינדוסטריע: אַפּדייטינג ענקריפּשאַן פּראָטאָקאָלס זאָל ניט זיין דילייד.
Список текущих реализаций TLS 1.3 доступен на Github для всех, кто ищет наиболее подходящую библиотеку: . עס איז קלאָר אַז אַדאַפּשאַן און שטיצן פֿאַר די דערהייַנטיקט פּראָטאָקאָל וועט זיין - און איז שוין - פּראַגרעסינג ראַפּאַדלי. פארשטאנד פון ווי פונדאַמענטאַל ענקריפּשאַן איז געווארן אין די מאָדערן וועלט האט פאַרשפּרייטן גאַנץ וויידלי.
וואָס איז געביטן זינט TLS 1.2?
פון :
«Как TLS 1.3 делает мир лучше?
TLS 1.3 כולל זיכער טעכניש אַדוואַנטידזשיז - אַזאַ ווי אַ סימפּלאַפייד כאַנדשייק פּראָצעס צו פאַרלייגן אַ זיכער פֿאַרבינדונג - און אויך אַלאַוז קלייאַנץ צו געשווינד נעמענ זיכ ווידער סעשאַנז מיט סערווערס. די מיטלען זענען בדעה צו רעדוצירן די לייטאַנסי פון די סעטאַפּ פון די קשר און די פייליערז פון פֿאַרבינדונגען אויף שוואַך פֿאַרבינדונגען, וואָס זענען אָפט געניצט ווי אַ באַרעכטיקונג פֿאַר בלויז אַנענקריפּטיד הטטפּ קאַנעקשאַנז.
פּונקט ווי ימפּאָרטאַנטלי, עס רימוווז שטיצן פֿאַר עטלעכע לעגאַט און ינסאַקיער ענקריפּשאַן און כאַשינג אַלגערידאַמז וואָס זענען נאָך ערלויבט (כאָטש ניט רעקאַמענדיד) פֿאַר נוצן מיט פריער ווערסיעס פון TLS, אַרייַנגערעכנט SHA-1, MD5, DES, 3DES און AES-CBC. אַדינג שטיצן פֿאַר נייַע סיפער סוויץ. אנדערע ימפּרווומאַנץ אַרייַננעמען מער ינקריפּטיד עלעמענטן פון די האַנדשייק (למשל, דער וועקסל פון באַווייַזן אינפֿאָרמאַציע איז איצט ינקריפּטיד) צו רעדוצירן די סומע פון קלוז צו אַ פּאָטענציעל פאַרקער עאַוועסדראַפּער, ווי געזונט ווי ימפּרווומאַנץ צו פאָרויס בעסאָדיקייַט ווען ניצן זיכער שליסל וועקסל מאָדעס אַזוי אַז קאָמוניקאַציע מוזן שטענדיק בלייבן זיכער אפילו אויב די אַלגערידאַמז געניצט צו ינקריפּט עס זענען קאַמפּראַמייזד אין דער צוקונפֿט.
Разработка современных протоколов и DDoS
Как вы, возможно, уже читали, во время разработки протокола , אין די IETF TLS אַרבעט גרופּע . Уже теперь очевидно, что отдельным предприятиям (включая финансовые учреждения) придется изменить способ обеспечения безопасности собственной сети для того, чтобы приспособиться к ныне встроенной в протокол .
Причины, по которым это может потребоваться, изложены в документе, . В 20-страничной бумаге упоминается несколько примеров, когда предприятие может захотеть выполнить расшифровку out-of-band трафика (что PFS делать не позволяет), в целях мониторинга, соответствия нормативным требованиям или обеспечения защиты от DDoS-атак на прикладном уровне (L7).
Хотя мы определенно не готовы рассуждать о нормативных требованиях, наш собственный продукт для нейтрализации прикладных DDoS-атак (включая решение, שפּירעוודיק און / אָדער קאַנפאַדענשאַל אינפֿאָרמאַציע) איז באשאפן אין 2012 מיט PFS אין חשבון, אַזוי אונדזער קלייאַנץ און פּאַרטנערס האָבן ניט דאַרפֿן צו מאַכן קיין ענדערונגען צו זייער ינפראַסטראַקטשער נאָך אַפּדייטינג די TLS ווערסיע אויף די סערווער זייַט.
Также, за прошедшее с момента внедрения время никаких проблем, связанных с транспортным шифрованием, выявлено не было. Официально: TLS 1.3 готов к использованию в продакшене.
אָבער, עס איז נאָך אַ פּראָבלעם פֿאַרבונדן מיט דער אַנטוויקלונג פון ווייַטער-דור פּראָטאָקאָלס. דער פּראָבלעם איז אַז פּראָטאָקאָל פּראָגרעס אין די IETF איז טיפּיקלי שווער אָפענגיק אויף אַקאַדעמיק פאָרשונג, און די שטאַט פון אַקאַדעמיק פאָרשונג אין די פעלד פון מיטאַגייטינג פונאנדערגעטיילט אָפּלייקענונג-פון-דינסט אנפאלן איז ומגליקלעך.
אַזוי, אַ גוט בייַשפּיל וואָלט זיין черновика IETF “QUIC Manageability” («Управление QUIC»), являющегося частью будущего набора протоколов QUIC: в нем говорится, что «современные методы обнаружения и нейтрализации [DDoS-атак] обычно включают пассивное измерение с использованием данных о сетевых потоках».
דער יענער איז, אין פאַקט, זייער זעלטן אין פאַקטיש פאַרנעמונג ינווייראַנמאַנץ (און בלויז טייל אָנווענדלעך צו ISPs), און אין קיין פאַל איז אַנלייקלי צו זיין אַ "אַלגעמיינע פאַל" אין די פאַקטיש וועלט - אָבער ערשיינט קעסיידער אין וויסנשאפטלעכע אויסגאבעס, יוזשאַוואַלי ניט געשטיצט דורך טעסטינג די גאנצע ספּעקטרום פון פּאָטענציעל DDoS אנפאלן, אַרייַנגערעכנט אַפּלאַקיישאַן מדרגה אנפאלן. די יענער, רעכט צו לפּחות די ווערלדווייד דיפּלוימאַנט פון TLS, דאָך קענען ניט זיין דיטעקטאַד דורך פּאַסיוו מעזשערמאַנט פון נעץ פּאַקיץ און פלאָוז.
פּונקט אַזוי, מיר טאָן ניט נאָך וויסן ווי DDoS מיטיגיישאַן ייַזנוואַרג ווענדאָרס וועט אַדאַפּט צו די ריאַלאַטיז פון TLS 1.3. רעכט צו דער טעכניש קאַמפּלעקסיטי פון שטיצן די אַרויס-פון-באַנד פּראָטאָקאָל, די אַפּגרייד קען נעמען עטלעכע מאָל.
Постановка правильных целей для направления научных исследований — серьёзная задача для провайдеров услуг нейтрализации DDoS. Одна из областей, в которой можно начать развитие — אין די IRTF, ווו ריסערטשערז קענען מיטאַרבעטן מיט ינדאַסטרי צו ראַפינירן זייער אייגענע וויסן פון אַ טשאַלאַנדזשינג אינדוסטריע און ויספאָרשן נייַע אַוואַנוז פון פאָרשונג. מיר אויך באַגריסן אַ וואַרעם באַגריסונג צו אַלע ריסערטשערז, אויב עס זענען קיין - מיר קענען זיין קאָנטאַקטעד מיט פֿראגן אָדער פֿירלייגן שייַכות צו DDoS פאָרשונג אָדער די SMART פאָרשונג גרופּע אין
מקור: www.habr.com