Дългоочакваното актуализиране на стандарта за сигурна комуникация в мрежата е почти готово. И независимо, че досега само “чувахме” обещания и стандартът изглеждаше по-скоро само като проект, TLS v1.3 е на финалната права, или по-точно на старта да навлезе в употреба.
Преди няколко седмици работна група от екипа на Internet Engineering Task Force публикува Draft 28, което е финалният вариант на проекта. Друг признак, че можем стандартът съвсем скоро може да види бял свят, е, доработката към библиотеката OpenSSL, която също включва Draft 28 в най-новата си версия. Гигантът Google също реши да е измежду пионерите, които предлагат новия стандарт, и добави Draft 28 в Google Chrome v65, който се използва по подразбиране от браузъра при връзка с GMail.
Какво следва
И тъй като TLS v1.3 е тук, за да остане, всяка организация трябва да се фокусира върху няколко важни въпроса, за да осигури подходящо ниво на сигурност, оперативна съвместимост и ефективност.
Ето защо, ние решихме да обърнем внимание върху едно нововъведение наречено 0-RTT., което може би е най-обсъжданата опция в новия стандарт и може би има защо.
0-RTT е добавка, която има потенциал да увеличи значително ефективността по време на криптирана сесия между крайните точки. Едно от големите въведения в TLS v1.3, което ускорява свързване между клиент и сървър, е по-оптимизиран протокол за “ръкостискане” (handshake). Разликата с TLS v1.2 е, че при него защитените комуникации изискват две договорки между клиента и сървъра, преди клиентът да направи същинската HTTP заявка и сървърът да генерира отговор.
TLS v1.3 намалява това изискване до една такава договорка – което е само една двупосочна комуникация повече от обикновена некриптирана HTTP транзакция. Към това новия стандарт предлага и способността да онаследява доверието, за да постигне нулеви транзакции или 0-RTT.
Въпреки че опцията 0-RTT потенциално осигурява по-добра производителност и скорост, тя създава значителен риск за сигурността. С 0-RTT транзакцията става лесна плячка за replay атаки, при която атакуващия може да пресече криптирано клиентско съобщение и да го изпрати отново на сървъра, като го измами и онаследи доверието, което е потенциална заплахата за достъп до чувствителни данни.
Ето защо, организациите трябва да внимават в решението си дали да използват 0-RTT в своите услуги и приложения, поради потенциалните рискове за сигурността.
Нашият съвет
Ако приложението което хоствате или разработвате не е много чувствително към латентност, новата опция не си струва риск за сигурността, тъй като крайния потребител няма да усети подобрението в скоростта.
Тествайте, тествайте и пак тествайте
Сега е моментът да тествате вашата инфраструктура и приложения за TLS v1.3 съвместимост. Утвърдете как вътрешните и външните потребители ще взаимодействат с вашите системи и помислете какво може да означава тази промяна в криптирането за служител, клиент, партньор или друг потребител.
Тествайте мрежови клиенти, включително мобилни устройства и таблети. Тестови сървъри, включително всякакви поддържащи устройства. Тествайте всички компоненти на оборудването за защита, включително системи за управление на идентичност и достъп, както защитни стени от следващо поколение. Тествайте мрежови инфраструктури, включително безжични точки за достъп, облакови ресурси и всичко останало, което може да бъде включено в криптирана комуникация. Обмислете всички приложения, не забравяйте и имейл комуникацията.
Има много неща, които да очакваме с TLS v1.3. Новите нива на сигурност и ефективност ще бъдат от полза за всички и ще се справят с много проблеми с текущото криптиране, въпреки предизвикателствата. Ако се подготвите сега и изпреварите събитията, можете да превърнете промените във възможности за подобрение, а не в проблеми, които да влошат бизнеса ви.