Fontos lépés az internetes kommunikáció biztonsága szempontjából, hogy az IETF (Internet Engineering Task Force) végre elfogadta – ráadásul egyhangú szavazással – a Transport Layer Security titkosítási protokoll, azaz a TLS 1.3-as verzióját. Elődje, az 1.2-es épp a tizedik évébe lépett, úgyhogy volt mit csiszolni a protokollon. Az új főverzión négy évig dolgoztak, és 28 különböző változat készült belőle, míg eljutottak a végleges állapothoz (akit érdekel az új TLS véglegesítésének folyamata, itt bogarászhat a változatokban)..
Gyorsabb és biztonságosabb
A protokoll új verziója négy ponton hoz lényegi újdonságot az elődjéhez képest.
1. Az új TLS-ből kikerültek olyan elavult titkosítási és hash algoritmusok, melyekről kiderült, hogy sebezhetőek. A felülviszgálatnak áldozatul esett többek között az MD5, az SHA-224 és néhány ritkábban használt titkosítás is.
2. Gyorsabb lett a kapcsolat felépítése, amit az ehhez szükséges lépések összevonásával sikerült elérni. Míg a TLS 1.2-ben a kapcsolat felépítése során a hatodik lépéstől küld a szerver HTTP választ, addig az új verzióban a negyediktől. A lenti ábrán látható, hogy az 1.2-ben akár 0,5 másodpercet is igénybe vevő folyamat 0,2 másodpercre csökkenthető.
3. Támogat olyan funkciókat (TLS False Start, Zero Round Trip Time, azaz 0-RTT), amely révén a korábban már kapcsolatba került kliens és kiszolgáló (a CloudFlare szerint a kliens-kiszolgáló kapcsolatok mintegy 40 százaléka ilyen) egy újabb kapcsolat kezdeményezésénél felismeri egymást, így a kapcsolat gyorsabban felépülhet.
4. Kizárja az ún. downgrade támadások lehetőségét, azaz az olyan támadásokat, amikor a támadó ki tudja kényszeríteni, hogy a kapcsolat felépítése egy régebbi TLS-verzió szerint történjen.
A kapcsolat felépítése a TLS 1.2-ben és az 1.3-ban
(kattintson a képre, és nézzem meg nagy méretben)
Forrás: CloudFlare
Az új verzióban a kapcsolat felépítéséhez használt privát kulcsot a szerver nem tárolja, így egyetlen kulcs megtörésével nem lehet visszamenőlegesen visszafejteni a forgalmat.
A legfontosabb böngészők már támogatják
A legfontosabb böngészők, a Chrome, a Firefox és az Edge már tavaly óta támogatja a TLS 1.3-at, pontosabban annak egy korábbi verzióját. Várhatóan ezekben a böngészőkben gyorsan frissítenek a végleges protokollra.
A Google a Gmailben pedig tavaly év végétől engedélyezte, a többi termék pedig idén következik.
Költségcsökkenésből finanszírozott modernizáció
A cloud-native alkalmazások megkövetelik az adatközpontok modernizációját, amihez a SUSE többek között a virtualizációs költségek csökkentésével szabadítana fel jelentős forrásokat.
a melléklet támogatója a ONE Solutions
CIO kutatás
Merre tart a vállalati IT és annak irányítója?
Hiánypótló nagykép a hazai nagyvállalati informatikáról és az IT-vezetőkről: skillek, felelősségek, feladatkörök a múltban, a jelenben és a jövőben.
Töltse ki Ön is, hogy tisztábban lássa, hogyan építse vállalata IT-ját és saját karrierjét!
Az eredményeket május 8-án ismertetjük a 17. CIO Hungary konferencián.
Projektek O-gyűrűje. Mit tanulhat egy projektvezető a Challenger tragédiájából?