TLS 1.3 er godkjent: Slik kan det gjøre hele internett tryggere

Fem måter å gjøre nettstedet ditt HTTPS-kompatible nettlesere og søkemotorer begynner å forvente HTTPS-tilkoblinger. Her er noen måter å få nettstedet opp.
Bygge et lysbilde dekk, tonehøyde eller presentasjon? Her er de store takeaways:
  • TLS 1.3 er godkjent for bruk, noe som vil gjøre alle sikre internettforbindelser raskere og tryggere.
  • Sikkerhets- og hastighetsforbedringene brakt av TLS 1.3 skyldes eliminering av unødvendige håndtrykkstrinn og tvungen bruk av nyere krypteringsmetoder.

Transport Layer Security (TLS) versjon 1.3 er godkjent av Internet Engineering Task Force (IETF), noe som gjør den til den nye industristandarden for sikre tilkoblinger.

Mer om cybersecurity

  • Cybersikkerhet i 2020: Åtte skremmende spådommer
  • De ti viktigste cyberangrepene i tiåret
  • Slik blir du en cybersecurity-proff: Et jukseark
  • Famous con man Frank Abagnale: Kriminalitet er 4000 ganger enklere i dag

Den godkjente versjonen er faktisk det 28. utkastet til oppgraderingen til TLS 1.2 og har vært i diskusjon av IETF-medlemmer i over to år. TLS er en grunnleggende del av å sikre internettforbindelser via HTTPS, noe som sannsynligvis bremset adopsjonen slik at IETF-medlemmer kunne være sikre på at de ikke åpner for utnyttelse.

Med den nyeste versjonen satt til å bli standardmodell for å sikre internettforbindelser, kan brukere forvente at tilkoblinger vil fullføre raskere på grunn av mindre rot i datamaskin-til-datamaskin-kommunikasjon. Den samme hastighetsøkningen vil også gjøre TLS sikrere fordi mye av det som ble eliminert var gammel, foreldet kryptering.

Ikke uten kontroverser

TLS 1.3 trakk bekymringer fra finans- og banknæringen da det begynte å bli vurdert i 2016. Den strømlinjeformede kommunikasjonen som er et kjennetegn på TLS 1.3, gjør det umulig for bankene å dekryptere og overvåke TLS-tilkoblinger.

Profesjonelle fagfolk i sikkerhetssektoren ba om inkludering av en bakdør i TLS 1.3 som ville tillate dem å fortsette å overvåke TLS-trafikk, men som ble avvist i den endelige versjonen som ble godkjent, med IETF-medlemmer som sa at en bakdør ville eliminere fordelene som TLS 1.3 ville gi.

En annen kontrovers i TLS 1.3 er bruken av 0-RTT Resumption, som lar to datamaskiner som tidligere konkurrerte om et TLS 1.3-håndtrykk, lagre hverandres informasjon og bruke gamle taster for fremtidige tilkoblinger. Som registeret påpeker, kan en angriper som får tilgang til 0-RTT-gjenopptaksinformasjon, forfalsket en forbindelse, selv om det vil være vanskelig å gjøre det fordi å skaffe seg en gjenopptaksnøkkel vil kreve å få fysisk tilgang til en maskin.

Hvordan TLS 1.3 vil øke hastigheten og sikre internett

Sikkerhets- og hastighetsforbedringene som TLS 1.3 bringer er avhengig av hverandre: Det er sikkert fordi det er raskere, og det er raskere på grunn av sikkerhetsforbedringer.

For bedre å forstå hvordan det toveis forholdet hjelper det å forstå hvordan en TLS 1.2-tilkobling fungerer. Under TLS 1.2 åpner den opprinnelige forbindelsen en dialog om hvilken slags kryptering som skal brukes, som en server og klient må være enige om. Når de er blitt enige om det, begynner de å dele krypteringsnøkler.

TLS 1.3 eliminerer derimot debatten om hvilken form for kryptering som skal brukes. I stedet er den opprinnelige forbindelsen en uttalelse fra klienten som sier hva den planlegger å få tilgang til, serveren gir en krypteringsnøkkel, klienten gir en sesjonsnøkkel, og deretter skjer forbindelsen.

Siden serveren automatisk gir en nøkkel, vil ikke klienter kunne lure en server til å bruke eldre former for kryptering, som er kjent som nedgraderingsangrep.

Mellom å tvinge til bruk av ny kryptering og eliminering av unødvendig innledende kommunikasjon, har TLS 1.3 potensialet til å gjøre mye bra for internett. Noen nettlesere har allerede rullet ut versjoner av TLS 1.3 basert på tidligere IETF-utkast. Nå som den endelig er blitt formalisert, kan du forvente at nettleseren din skal oppdatere til en ny versjon. Det er en oppdatering du absolutt ikke bør se bort fra hvis du vil ha det siste innen sikker tilkoblingsteknologi.

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

Se også

  • 27 måter å redusere insider sikkerhetstrusler (TechRepublic)
  • Snooping på HTTPS er i ferd med å bli vanskeligere: TLS 1.3-internettkryptering vinner godkjenning (ZDNet)
  • Topp 5 beste praksis for HTTPS (TechRepublic)
  • Google strammer støy på HTTP: Chrome for å feste 'Ikke sikkert' på sider med søkefelt (ZDNet)
  • Hvordan etablere sterk mikroservicesikkerhet ved hjelp av SSL, TLS og API gateways (TechRepublic)
Bilde: iStock / phototechno

© Copyright 2020 | mobilegn.com