Как стать автором
Обновить

«Интернет стал чуть безопаснее»: комитет IETF утвердил TLS 1.3

Время на прочтение4 мин
Количество просмотров10K
Всего голосов 27: ↑26 и ↓1+25
Комментарии10

Комментарии 10

обновление вызвало у некоторых компаний, в частности, банков, опасения
некоторые операторы предложили
инициатива все же была отклонена

И что банки?
Вероятно, у банков нет выбора и им придется разрабатывать нужное решение для просмотра трафика самостоятельно.

А другие компании уже работают с TLS 1.3 – еще до утверждения можно было активировать в браузерах; в Cisco готовят решения для защиты трафика с учетом новых возможностей протокола.
Вероятно, у банков нет выбора и им придется разрабатывать нужное решение для просмотра трафика самостоятельно.

Так 1.3 якобы технически подобное не позволяет. Поэтому действительно интересно про банки.
Дык никто не запрещает впарить свой сертификат CA и устроить проксю для TLS трафика. Просто им придётся разработать *другое* решение, а не использовать такое-же, как было до TLS 1.3.

А зачем банкам просматривать трафик?

В целях обеспечения корпоративной безопасности(следить за сотрудниками).
А, вы про внутренний трафик?!
Я уж подумал про трафик клиентов.
Если я все правильно понял (глубоко не вникал), то раньше банки могли «отдать» статические ключи которыми шифровали трафик некоей «контролирующей организации» и она могла весь трафик к этим банкам расшифровать и смотреть.
Сейчас, т.к. нету статических ключей, нужно либо громоздить инфраструктуру по передаче эфемерных, либо ставить mitmproxy, либо еще что-то такое придумывать…
Спасибо большое за статью! Поясните пожалуйста, про нововведения 0-RT и forward secrecy. Один разрешает использовать старые ключи для продления сессии, другой даёт возможность защиты но в качестве рекомендации к инженерам серверной части от replay атак. Правильно ли я, понял?
Надеюсь, не скоро наступит время, когда придется экстренно перебираться на TLS 1.3.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий