Постоянная генерация альтернативных версий TLS решит проблему «окостенения» старого протокола

[Hardcoin]

Не понятно, как они запретят посредникам всё-таки вмешиваться. Если я верно понял, рандомные вставки будут игнорировать и всё (или передавать как есть).

[robux]

Знаем мы эту борьбу с "окостенением" на примере налоговой и прочей отчётности, когда гешефт рубят конторы типа 1С, СКБ-Контур и прочие, что кормятся от постоянного изменения стандартов. Это же выгодно и крупным корпорациям, которые могут за всем угнаться в отличие от малого и среднего бизнеса.

Видимо, аналогично "неокостенивающий" TLS педалируют Google и прочие АНБ, чтобы принуждать веб-юзеров использовать только "современные версии браузеров" с самыми свежими зондами и бэкдорами.

Кроме того, для "заботы о пользователях" можно будет оперативно объявлять "устаревшими" предыдущие версии протокола и, как следствие, делать неработоспособными 95% сайтов, за исключением сайтов крупных корпораций, которые будут "вовремя переходить на новые версии протоколов".

[ValdikSS]

Кроме того, для «заботы о пользователях» можно будет оперативно объявлять «устаревшими» предыдущие версии протокола и, как следствие, делать неработоспособными 95% сайтов, за исключением сайтов крупных корпораций, которые будут «вовремя переходить на новые версии протоколов».

Наоборот, это делается для поддержания работоспособности сайтов, чтобы обратная совместимость не ломалась в будущем.

Неработоспособными сайты делают не администраторы сайтов и не браузеры, а middlebox'ы. Предложение «менять» стандарт было видвинуто именно для того, чтобы разработчики middlebox'ов не разрывали соединение, если в хендшейке при установке соединения встречается незнакомый им extension или версия TLS. При разработке TLS 1.3, во время тестов, при включении TLS 1.3 на стороне клиента и сервера, во многих случаях middlebox'ы просто не давали установить соединение, и сайт не открывался.

[saipr]

Так называемое «окостенение» — ситуация, когда разработчики протокола вдруг осознают, что сложно внедрить какие-то улучшения из-за повсеместного распространения старой версии, которая по каким-то причинам устраивает пользователей. В реальности старая версия уже не удовлетворяет современным требованиям безопасности и новым спецификациям, но де-факто её внедрить не получается.

А что у нас все мешает внедрить на госсайтах и порталах доступ по TLS с российскими шифрсьютами? Тоже "окостенение"?

[ky0]

Скорее нежелание использовать местечковые поделки взамен общепринятых.

[saipr]

То есть российские ГОСТ-ы (а это Закон), рекомендации ТК-26, сертификация в системе сертификации ФСБ России (а это обязательное требование) — все это местечковые поделки и необщепринятое! Я не против, но только об этом надо честно сказаиь.

[ky0]

Совершенно верно. Не будете же вы утверждать, что существуют объективные причины для выдумывания своих, сермяжно-посконных алгоритмов шифрования, кроме замыкания на ФСБ и окружающие её конторы денежных потоков от сертификации и т. п. вещей и возможности «не пущать» в случае чего?

[dartraiden]

Отсутствие поддержки этих шифрсьютов в апстриме. Если чего-то нет по умолчанию в основных браузерах, то этого нет и у большинства пользователей. Следовательно, нет интереса/экономической оправданности этот доступ и реализовывать, если его будут использовать 2.5 пользователя, поставивших себе кастомную сборку браузера.

Чтобы разорвать этот порочный круг, нужно работать с апстримом.

[saipr]

А тогда зачем законы об ЭП? Зачем вообще ГОСТ-ы? Зачем ТК-26 и его методические рекомендации и требования?

[nikitasius]

Как бы DANE решит проблему всех и всего.

[Opaspap]

Это усилит сдвиг в облака, т.к. мелкие частники, просто не будут успевать за обновлением протокола, короче, очередной вендорский произвол.