Tato webová stránka používá soubory cookie, abychom vám mohli poskytovat co nejlepší uživatelský zážitek. Informace o cookies jsou uloženy ve vašem prohlížeči a plní funkce, jako je rozpoznání, když se vrátíte na náš web, a pomoc našemu týmu pochopit, které části webu jsou pro vás nejzajímavější a nejužitečnější.
Novinky
Více než 30 IDM realizací v České republice i zahraničí
Bezpečnostní novinky 14. 5. 2018
Dnešní díl je o nové verzi protokolu TLS, protože jej v nedávné době nejdříve Chrome https://www.chromestatus.com/feature/5712755738804224 a nyní i Firefox https://www.bleepingcomputer.com/news/security/mozilla-has-started-gradually-enabling-tls-13-in-firefox/, https://bugzilla.mozilla.org/show_bug.cgi?id=1310516 povolili ve výchozím nastavení a zároveň bylo jeho RFC definitivně schváleno do režimu Standards track https://www.ietf.org/mail-archive/web/ietf-announce/current/msg17592.html. To je velká věc, na kterou se čekalo strašně dlouho (na serverové straně se začala produkční podpora třeba u velkých CDN objevovat již více než před rokem https://blog.cloudflare.com/why-tls-1-3-isnt-in-browsers-yet/) a je zajímavé se podívat na důvody těchto peripetií, které leží ve značné kontroverzi nové verze protokolu.
V jádru kontroverze je to, že TLS 1.3 svými vlastnostmi (např. https://blog.cloudflare.com/introducing-0-rtt/, která obrací poměr zpoždění šifrovaného a nešifrovaného spojení) silně motivuje k navýšení podílu a zároveň bezpečnosti šifrované komunikace. Spolu s novou verzí protokolu HTTP 2, který šifrovaný protokol transportní úrovně vyžaduje a neziskovou aktivitou poskytovatele bezplatných certifikátů Let’s encrypt pravděpodobně dovede internet do nové éry, ve které by se mělo stát šifrování komunikace i pro nejbanálnější weby a servery zcela samozřejmou věcí. To by se mohlo zdát jako výhradně pozitivní věc, ale velmi to narazilo na málo známou šedou zónu korporátních proxy a jiných způsobů hluboké inspekce síťového provozu.
Existuje totiž mnoho softwaru, který využíval nedostatky předchozí verze TLS k tomu, aby v kontrolovaných prostředích (typicky korporace a státní instituce, ale například i sítě telefonních operátorů) detailně sledoval a analyzoval i šifrovaný síťový provoz. Problém je, že tyto postupy byly de facto identické s těmi, které k útokům používají hackeři, což dospělo do stavu, kdy není vždy jednoduché úplně přesně říct, kdo je ještě oprávněný správce a kdo už nelegální agresor. Tento stav byl dosud tak nějak tiše přehlížen, ale TLS 1.3 tyto nedostatky odstraňuje a tím odbornou veřejnost nutí k explicitní odpovědi na výsostně politickou otázku, kolik soukromí a osobní integrity jsme ochotni obětovat kolektivní bezpečnosti.
Přijetí protokolu TLS 1.3 znamená v tomto odvěkém sporu výrazný příklon na stranu soukromí a to je ta kontroverze, která způsobila mnohaleté zpoždění v přípravách TLS 1.3
Autor: František Řezáč