IETF одобрил TLS 1.3 в качестве нового стандарта в интернете

Инженерный совет интернета (The Internet Engineering Task Force, IETF) официально одобрил TLS 1.3 в качестве следующей основной версии протокола Transport Layer Security. Решение было принято после четырех лет обсуждений и рассмотрения 28 проектов, 28-й из которых был официально принят в качестве окончательной версии. Отныне именно TLS 1.3 будет стандартным методом установления канала зашифрованной связи между сервером и клиентом (HTTPS).

У новой версии протокола есть ряд преимуществ перед предыдущей (TLS 1.2). Самое основное из них заключается в том, что в TLS 1.3 вместо устаревших алгоритмов шифрования и хеширования, таких как MD5 и SHA-224, предпочтение отдается новым и более надежным, таким как ChaCha20, Poly1305, Ed25519, x25519 и x448.

Второе преимущество – гораздо более быстрое установление первоначального рукопожатия между клиентом и сервером и уменьшение задержки соединения, которую компании часто называют главной причиной отказа переходить с HTTP на HTTPS.

TLS 1.3 также поддерживает функции TLS False Start и Zero Round Trip Time (0-RTT), позволяющие уменьшить время, необходимое для установления зашифрованных рукопожатий с хостами, к которым клиент подключался ранее.

Помимо прочего, в TLS 1.3 реализована защита от атак вида «Downgrade Attack», не позволяющая злоумышленникам заставить сервер использовать более старую версию протокола с известными уязвимостями.

Принятие версии TLS 1.3 в качестве нового стандарта представляет собой серьезный шаг в усилении безопасности интернета. В настоящее время протокол практически невозможно взломать. За его принятие участники IETF проголосовали единогласно, даже несмотря на просьбу представителей финансового сектора оставить в TLS 1.3 бэкдор, позволивший бы им расшифровывать свой внутренний корпоративный трафик. Эксперты IETF отклонили просьбу, объясняя это тем, что наличие бэкдора сделает протокол бесполезным.

Инженерный совет интернета – открытое международное сообщество проектировщиков, ученых, сетевых операторов и провайдеров, созданное в 1986 году Советом по архитектуре интернета и занимающееся развитием протоколов и архитектуры Сети.

«Downgrade Attack» – атака, при которой злоумышленник вынуждает пользователя использовать менее безопасные функции и протоколы, которые все еще поддерживаются из соображений совместимости.