关注网络安全
和行业未来

六月行业新闻回顾

TLS是否必须不断修改以使其面向未来?

TLS 1.3标准即将完成,但这一切得来不易。那些使用着旧版TLS的设备始终是标准化过程的一大挑战。尽管这使得协议变得莫名的复杂,但同时也更易于人们部署。为了让TLS能够适应各种设备,唯一的办法就是不断改变。

常见的问题有,版本不兼容:接收TLS 1.3连接的设备不会降级到较低版本。为了避免这些问题,版本协商转移到了扩展中,并引入了由Google的David Benjamin发明的GREASE机制。 TLS 1.3实现可以发送一组服务器要忽略的伪版本号。 同样的机制也可以用于其他领域,如密码套件。

但是版本协商并不是唯一的问题:中间件会假定TLS包将遵循他们在TLS 1.2中使用的格式,并且如果它们没有,则会断开连接。 通过让TLS 1.3看起来更像1.2,许多这些问题都可以得到解决。

预防类似的问题并不是件容易的事,硬件开发商常常对TLS协议不甚了解。David Benjamin提出了一个听起来很极端的办法,在正规版本的TLS1.3之外允许一些临时修改版的存在。这些修改版本每几周就会变化一次,一些服务器和浏览器可以在短时间内提供支持。

鉴于Chrome和谷歌自有服务的市场份额很大,任何人都不可能部署破坏它们之间连接的设备。 如果浏览器和网页无法就临时TLS版本达成一致也没有问题:它们总是可以回退到标准化的TLS 1.3(至少如果能使双方都正确地实现版本协商,就是值得去尝试的努力)。

本月短新闻

稿源:The Feisty Duck

评论 抢沙发