年初,在一份关于2018-2019年互联网问题和可达性的报告中
IETF TLS 工作组主席
“简而言之,TLS 1.3 应该为未来 20 年更安全、更高效的互联网奠定基础。”
进入菜单
Eric Rescorla(Firefox 首席技术官兼 TLS 1.3 的唯一作者)表示
“这是 TLS 1.2 的完全替代,使用相同的密钥和证书,因此客户端和服务器如果都支持 TLS 1.3,就可以自动通过 TLS 1.3 进行通信,”他说。 “库级别已经有了很好的支持,Chrome 和 Firefox 默认启用 TLS XNUMX。”
与此同时,IETF 工作组中的 TLS 也即将结束
Github 上提供了当前 TLS 1.3 实现的列表,供任何寻找最合适库的人使用:
自 TLS 1.2 以来发生了哪些变化?
的
“TLS 1.3 如何让世界变得更美好?
TLS 1.3 包含某些技术优势(例如建立安全连接的简化握手过程),并且还允许客户端更快地恢复与服务器的会话。 这些措施旨在减少弱链接上的连接设置延迟和连接失败,这通常被用作仅提供未加密的 HTTP 连接的理由。
同样重要的是,它取消了对几种旧版且不安全的加密和哈希算法的支持,这些算法仍然允许(尽管不推荐)与早期版本的 TLS 一起使用,包括 SHA-1、MD5、DES、3DES 和 AES-CBC。添加对新密码套件的支持。 其他改进包括对握手的更多加密元素(例如,证书信息的交换现在已加密),以减少潜在流量窃听者的线索数量,以及在使用某些密钥交换模式时改进前向保密性,以便通信即使用于加密的算法将来受到损害,也必须始终保持安全。”
现代协议和 DDoS 的开发
正如您可能已经读到的,在协议的开发过程中
文件中列出了可能需要这样做的原因,
虽然我们当然不准备猜测监管要求,但我们专有的 DDoS 缓解产品(包括解决方案)
此外,自实施以来,尚未发现与传输加密相关的问题。 官方消息:TLS 1.3 已准备好投入生产。
然而,下一代协议的开发仍然存在一个问题。 问题在于,IETF 中的协议进展通常严重依赖于学术研究,而缓解分布式拒绝服务攻击领域的学术研究状况却很惨淡。
所以,一个很好的例子是
事实上,后者在真实的企业环境中非常罕见(并且仅部分适用于 ISP),并且无论如何都不太可能成为现实世界中的“一般情况” - 但经常出现在科学出版物中,通常不受支持通过测试所有潜在的 DDoS 攻击,包括应用程序级攻击。 后者,至少由于 TLS 的全球部署,显然无法通过网络数据包和流量的被动测量来检测。
同样,我们还不知道 DDoS 缓解硬件供应商将如何适应 TLS 1.3 的现实。 由于支持带外协议的技术复杂性,升级可能需要一些时间。
设定正确的目标来指导研究是 DDoS 缓解服务提供商面临的主要挑战。 可以开始开发的一个领域是
来源: habr.com