TLS 1.2が遅れているのサポートの面でこれらの企業は現在、継続的な遅延を有することができるすみません:バージョン1.3 TLS(トランスポート層セキュリティ)暗号化プロトコルは、最終的には今年後半に確定され、事前にデプロイされたバージョンは、すでに進行中です。
TLSは、データが流れで暗号化されて、それはウェブやメールサーバーの協議のセキュアな接続で使用され、SSLの後継です。
生産工程の6年後、TLS 1.2は新しい、より強力な暗号化オプションが追加されます - しかし、後方互換性のためにも、すべての古い、弱い暗号化を保持します。一部の人々は、ダウングレードを接続するために、ユーザーの知識がなくても中間者攻撃を実装することができる可能性があることを意味残念なことに、暗号化システム。
また、他のタイプの攻撃の範囲に対して脆弱である、これらの攻撃は溺れ、ナマケモノとPOODLEが含まれます。
これらの攻撃は、TLS 1.3にアップグレードするフィリッポValsordaのCloudFlareは言うシステムエンジニアおよび暗号化されたコンテンツ配信ネットワークは、非常に良い理由です。
「過去2年間で、TLS 1.2に影響を与える脆弱性が多数の出現は契約が変更されたため、TLS 1.3には影響しません、」彼はメッセージで述べて、マルウェアやモバイル通信アンチ虐待ワーキンググループ(M3AAWG)を1回6月中旬彼は会いました。
TLS 1.3の設計者は、最も強力なの一つの部分のみを残して、従来の暗号化システムは、セキュリティ上の問題によって引き起こされてい放棄することを選択しました。このシンプルさは、おそらく、このバージョンのデザインは、ハーフタイムの前のバージョンその理由の一つにできるようになりますされています。
Valsordaは、端末がTLS 1.3をサポートしていない場合は、接続はまだTLSに格下げされますが、MITM攻撃者の試みは、このようなダウングレードを強制するならば、場合TLS 1.3環境で、それはライン1.2を検出することであろうと述べました。
そのブログでヒューバートKarioのセキュリティの脆弱性は、彼がランキング百万跡地アレクサに実施した調査によると、指摘した1月からTLS 1.2のほぼ93%のサポートを始めたが、6ヶ月の数字前の89%でした。しかし、多数のサイトがまだ古い、安全性の低いプロトコルを実行していることを7%手段の百万。
これらのサイトは、オンライン有料にする必要があります。この地域に遅れた者は、セキュリティの面でリードするウェブサイトを好きだろうものです。オンライン支払いプロバイダは、まだ日が支払カード業界のセキュリティ基準審議会は、期限を確立していることを、2018年6月30日の前にTLSプロトコルの安全なバージョンにそのサービスをアップグレードするためにこれらのサイトを使用することを促しています。
だから、あなたはまだ、なぜあなたはTLS 1.3が行う使用していない、以前のバージョンからか、最新のSSL TLSにアップグレードするかどうか迷っている場合は?
言ってValsordaによると、そうしない理由はありません。
彼は言った:「私は今、TLS 1.3の展開が可能だと思います。」
9月中にCloudFlare昨年は、それが以前のサービスを通じてTLS 1.3アクセスそのコンテンツの流通ネットワークをユーザーに提供すると述べています。
Valsordaは今、「TLS 1.3を使用するには、CloudFlareの計画の自由すべての顧客がデフォルトであり、我々はすべての問題を見ていない。」と言いました
CloudFlareの非支払うユーザーは自動的に、彼らが選択する準備ができている顧客を払っての大規模以上の複雑なネットワークを有するものを可能にするような使用の機能を提供する傾向があります。これまでのところ、CloudFlareのの外側を変換したデフォルトのユーザーに加えて、3000人のドメイン名は、TLS 1.3への変換を選択しています。
CloudFlareのは、サーバー側ではありませんが、クライアント上で、いくつかの不具合が発生しました。
そのユーザのインターネットブラウジング習慣機関を監視するセキュリティデバイスは、1.3サーバがTLS接続を実行していることがわかったいくつかの使用は、これにより、関連サイトへのアクセスを防止し、警告なしに削除されます。
この問題はのみの接続とパッシブモニタリングで発生すると、デバイスにコネクタを挿入しようとしないであろうことをValsorda。こうした相談TLS 1.3接続として - - 彼らは単に遮断される彼は、彼らが理解していないことをモニターに切り替えたときと述べました。彼は、彼らの3つの関連するモデルの2が今前にメーカーに改造されていると述べました。
これらのグリッチをテストするプロセスはまだ大部分が手作業で行われ、Valsordaは言った:このようなデバイスは、TLS 1.3のGoogle Chromeブラウザ互換性のあるバージョンを使用する必要があります実行している機関は、また、(設定TLS 1.3を有効にする必要があります彼の説明によると、これは)あまりユーザーフレンドリーなプロセスであり、そのようなcloudflare.comとして、サイトTLS 1.3のサポートに接続しようとする必要があります。
他补充说,“也许我们应该研究如何让企业更好地进行测试。”
所以如果你真的决定升级到TLS 1.3,你究竟会得到什么呢?
Valsorda说,除了对早期版本的攻击免疫之外,“TLS 1.3在连接设置时间方面有巨大的性能优势。”
这是因为磋商初始加密连接只需要在TLS 1.3中的客户端和服务器之间进行一次往返,而在TLS 1.2中需要进行两次往返。他说,这可以在一次移动互联网连接上节省几百毫秒的时间,可能会减少下载一些图片的时间。
在TLS 1.3中,还有一个名为0-rtt(零往返时间)的选项,可以恢复最近使用的连接,而无需重新磋商加密,从而加快了连接的速度。
很少有web服务器和CDN服务支持TLS 1.3,现在有0-rtt选项的就更少了。这个网站Is TLS fast yet? (TLS变快了吗?)有一个列表。(当然,答案是肯定的。)
SSL和TLS不只用于web服务器,它们还被用于加密指向邮件服务器的连接。
以避免广泛的通信监视的组织M3AAWG团队的联合主席Janet Jones认为,TLS 1.3是保护电子邮件不被拦截的关键。
“从安全的角度来看,一些行业将会喜欢上它”,她说。
另一方面,更广泛地使用TLS 1.3并不会取悦那些想要进行监视的政府或者那些需要按规定防止交易员之间勾结的银行。她说:“他们不需要查看通信并监视的办法。”
她说,但是,这并不是阻碍TLS 1.3部署的理由。
“我希望看到我们更多的成员在发布时进行部署,甚至是在预发布时进行部署。”
