CDN工程师说,现在已经升级到TLS 1.3了

2022-03-25 08:46:18来源:

企业在他们的网站上拖出TLS 1.2的TLS可能有一个借口延迟时间更长:TLS(传输层安全性)加密协议的1.3版本将于今年晚些时候最终确定,并且它的早期部署已经在途中。

TLS是SSL的继承者,用于协商到Web或邮件服务器的安全连接,加密移动数据。

在制作中六年,TLS 1.2增加了新的,更强大的加密选项 - 但保留了所有较旧的,较弱的加密方案,以前在向后兼容的名称上消失了。不幸的是,这意味着有人能够执行中间人攻击的人可能会在没有用户知道的情况下降级到较弱的加密系统。

它也容易受到一堆其他攻击,包括淹死,懒惰和贵宾犬。

根据Filippo Valsorda,一个系统和加密工程师,在内容交付网络CloudFlare部署了TLS 1.3系统的系统和加密工程师,这种攻击是升级到TLS 1.3的原因。

“由于议定书的变更,在过去的两年中,影响TLS 1.2的漏洞中出现的漏洞将受到影响1.3的影响,”他在会议上表示,在消息传递,恶意软件和移动反滥用工作组( M3AAWG)在6月中旬。

TLS 1.3的设计人员选择放弃导致安全问题的传统加密系统,只保持最强大。简单性是在设计其前身的一半时,这是一个原因的原因之一。

连接仍将返回到TLS 1.2如果一端不是TLS 1.3能力 - 但如果MITM攻击者试图强制这样的倒退,则在TLS 1.3下会检测到它,Valsorda表示。

根据Hubert Kario的安全陷阱博客的一项调查,截至1月份,亚历克萨的最高一百万个支持TLS 1.2的网站上的近93%来自六个月的六个月。但是七百百万的七分之一意味着许多网站仍在营销早期甚至更不太安全的协议。

在落后者中有一些网站,您希望能够成为安全性:那些在线支付的人。付款处理员仍在敦促使用他们的服务升级到升级到2018年6月30日之前的TLS的安全版本,这是支付卡行业安全标准理事会所判定的截止日期。

所以如果你“从SSL或早期版本的TLS升级到最新的东西的升级,为什么不直接到TLS 1.3?

根据瓦斯罗那,没有真正的理由不去。

“我认为现在可以使用TLS 1.3部署是可行的,”他说。

CloudFlare在去年9月表示,它将为用户提供其内容交付网络的用户早期访问TLS 1.3。

现在,valsorda,“自由计划上的所有Cloudflare客户都有TLS 1.3默认启用,我们没有看到任何问题。”

CloudFlare倾向于启用Beta功能,如此自动用于非付费客户,允许使用更大或更复杂的网络支付客户以选择它们准备就绪的网络。迄今为止,除了默认情况下,3,000个域还选择打开TLS 1.3。

少数毛细管遇到的陷入困境不在服务器端,而是在客户端。

使用安全设备监控其用户的一些组织“Web浏览习惯发现与运行TLS 1.3的服务器的连接没有警告,阻止对有关网站的访问权限。

Valsorda说,这个问题仅发生在被动监控连接的设备中,而不尝试将自己插入连接。当他们无意中听到交换时,他们没有理解 - 例如TLS 1.3连接的协商 - 他们只会将其切断。他说,有关的两个或三个模型已经被其制造商修补。

Valsora说,对这种故障的测试过程仍然在很大程度上是手动的:运行此类设备的组织需要采取TLS 1.3兼容的Google Chrome版本,在设置中启用TLS 1.3(他描述为“不是超级用户友好”的进程),然后尝试连接到TLS 1.3 - Cloudflare.com等网站等网站。

“也许我们应该致力于如何在企业中实现更好的测试,”他补充道。

因此,如果您确实决定升级到TLS 1.3,请为您提供什么?

除了对早期版本的攻击的豁免之外,“TLS 1.3就在连接设置时间方面具有巨大的性能优势,”Valsorda表示。

这是因为协商初始加密连接在TLS 1.3中仅在TLS 1.3中只需要一个客户端和服务器之间的一个往返行程,而TLS 1.2中的两次往返比较。他说,可以在移动互联网连接上节省几百毫秒,可能会减半下载一些图像的时间。

在TLS 1.3中有一个名为0-RT(零往返时间)的选项,以恢复最近使用的连接,而无需重新替换加密,更快地加快速度。

很少有Web服务器和CDN服务支持TLS 1.3,仍然少于0-RTT选项。网站是TLS快速吗?有一个清单。(顺便说一下,它的答案是“是的”。)

SSL和TLS AREN“T只适用于Web服务器,它们也用于加密与邮件服务器的连接。

Janet Jones,一个M3AAWG集团的联合主席,旨在防止对通信的普遍监测,将TLS 1.3视为保护电子邮件反对拦截的关键。

“一些行业将从安全的角度来看,”她说。

另一方面,更广泛的TLS 1.3的用法不会请各国政府,希望进行监测,或者需要遵守法规以防止交易者之间的勾结。“他们”重新无法看到交通并监控它,“她说。

但是,她说,“没有理由阻止TLS 1.3的部署。

“我想在释放甚至预先释放时,我们会看到更多我们的成员正在进行部署。”


返回科技金融网首页 >>

版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。


相关文章