Comme nous l'avons écrit dans le rapport sur les problèmes et la disponibilité des réseaux interconnectés 2018-2019 au début de cette année, l'arrivée de TLS 1.3 est inévitable. Il y a quelque temps, nous avons déployé avec succès la version 1.3 du protocole Transport Layer Security. Après avoir collecté et analysé les données, nous sommes maintenant prêts à mettre en évidence les parties les plus intéressantes de cette transition.Comme l'ont écrit les présidents des groupes de travail de l'IETF TLS
dans l'article :
"En bref, TLS 1.3 est sur le point de fournir une base pour un Internet plus sécurisé et efficace au cours des 20 prochaines années et au-delà."
TLS 1.3 est arrivé après 10 ans de développement. Les laboratoires Qrator, ainsi que l'industrie informatique dans son ensemble, ont suivi de près le processus de développement depuis le projet initial jusqu'à chacune des 28 versions tandis qu'un protocole équilibré et gérable arrivait à maturité que nous sommes prêts à prendre en charge en 2019. Le soutien est déjà évident parmi les marché, et nous voulons suivre le rythme de la mise en œuvre de ce protocole de sécurité robuste et éprouvé.
Eric Rescorla, le seul auteur de TLS 1.3 et du CTO de Firefox, a
déclaré à The Register que :
«Il s'agit d'un remplacement direct pour TLS 1.2, utilise les mêmes clés et certificats, et les clients et les serveurs peuvent négocier automatiquement TLS 1.3 lorsqu'ils les prennent tous les deux en charge», a-t-il déclaré. "Il existe déjà un assez bon support de bibliothèque, et Chrome et Firefox ont tous les deux TLS 1.3 par défaut."
Il existe une liste des implémentations actuelles de TLS 1.3 sur GitHub disponibles pour tous ceux qui recherchent la meilleure bibliothèque d'ajustement:
https://github.com/tlswg/tls13-spec/wiki/Implementations . Il est clair que l'adoption du protocole mis à niveau serait - et est déjà - en train de se produire rapidement et largement car tout le monde comprend maintenant à quel point le cryptage est fondamental dans le monde moderne.
Qu'est-ce qui a changé par rapport à TLS 1.2?
Extrait de l'
article de l'
Internet Society :
«Comment TLS 1.3 améliore-t-il les choses?
TLS 1.3 offre certains avantages techniques tels qu'une prise de contact simplifiée pour établir des connexions sécurisées et permettre aux clients de reprendre les sessions avec les serveurs plus rapidement. Cela devrait réduire la latence de l'installation et le nombre de connexions ayant échoué sur les liaisons faibles qui sont souvent utilisées pour justifier le maintien de connexions HTTP uniquement.
Tout aussi important, il supprime également la prise en charge de plusieurs algorithmes de chiffrement et de hachage obsolètes et non sécurisés qui sont actuellement autorisés (bien que n'étant plus recommandés) à utiliser avec les versions antérieures de TLS, y compris SHA-1, MD5, DES, 3DES et AES- CBC, tout en ajoutant la prise en charge des nouvelles suites de chiffrement. D'autres améliorations incluent davantage d'éléments chiffrés de la négociation (par exemple, l'échange d'informations sur les certificats est désormais chiffré) pour réduire les indices aux écoutes potentielles, ainsi que des améliorations pour transmettre le secret lors de l'utilisation de modes d'échange de clés particuliers afin que les communications à un moment donné dans le temps devrait rester sécurisé même si les algorithmes utilisés pour les chiffrer sont compromis à l'avenir ».
DDoS et développement de protocoles modernes
Comme vous l'avez peut-être déjà entendu, il y avait
des tensions importantes au sein du groupe de travail IETF TLS pendant le développement du protocole, et
même après . Il est maintenant évident que les entreprises individuelles (y compris les institutions financières) devraient changer la façon dont leur sécurité réseau est conçue pour s'adapter au
secret de transmission parfait désormais intégré.
Les raisons pour lesquelles cela pourrait être requis sont décrites dans un
document écrit par Steve Fenter . Le projet de 20 pages mentionne plusieurs cas d'utilisation où une entreprise peut vouloir effectuer le décryptage du trafic hors bande (ce que PFS ne vous permet pas de faire), y compris la surveillance de la fraude, les exigences réglementaires et la protection DDoS de couche 7.
Bien que nous ne détenions certainement pas le droit de parler des exigences réglementaires, notre propre produit d'atténuation des DDoS de couche 7 (y compris la solution qui
ne nécessite pas qu'un client nous divulgue des données sensibles) a été construit en 2012 avec PFS à l'esprit du démarrer et nos clients n'avaient besoin d'aucun changement dans leur infrastructure après la mise à niveau de la version TLS côté serveur.
Cependant, en ce qui concerne le développement des suites et fonctionnalités de protocole de nouvelle génération, cela dépend généralement de la recherche universitaire, et l'état de celui-ci pour l'industrie de l'atténuation des DDoS est assez médiocre.
La section 4.4 du projet de l'IETF «QUIC manageability» , qui fait partie de la future suite de protocoles QUIC, pourrait être considérée comme un parfait exemple de cela: elle déclare que «les pratiques actuelles de détection et d'atténuation des [attaques DDoS] impliquent généralement des mesure à l'aide de données de flux réseau », ces dernières étant en fait très rarement un cas dans des environnements d'entreprise réels (et seulement en partie pour les configurations de FAI) - et en aucune façon à peine un« cas général »dans la pratique - mais certainement un cas général dans des documents de recherche universitaire qui, la plupart du temps, ne sont pas soutenus par des implémentations appropriées et des tests réels contre toute la gamme d'attaques DDoS potentielles, y compris celles de la couche application (qui, en raison des progrès du déploiement mondial de TLS, pourraient évidemment ne plus jamais être manipulé avec une mesure passive).
De même, nous ne savons pas encore comment les fabricants de matériel d'atténuation des DDoS s'adapteraient à la réalité TLS 1.3. En raison de la complexité technique de la prise en charge du protocole hors bande, cela peut prendre un certain temps.
Définir une tendance de recherche universitaire appropriée est un défi pour les fournisseurs d'atténuation des DDoS en 2019. Un domaine où cela pourrait être fait est le
groupe de recherche SMART au sein de l'IRTF où les chercheurs pourraient collaborer avec l'industrie pour affiner leurs connaissances sur les problèmes et les directions de recherche. Nous accueillerions chaleureusement tous les chercheurs qui voudraient nous contacter avec des questions ou des suggestions dans ce groupe de recherche ainsi que par e-mail:
rnd@qrator.net .