IETF, TLS 1.3’ü Yeni İnternet Standardı Olarak Onayladı

The Internet Engineering Task Force (IETF), önerilen Internet standartlarını inceleyen ve protokolleri onaylayan bir kuruluş, TLS 1.3’ü Aktarım Katmanı Güvenliği ( Transport Layer Security, TLS) protokolünün bir sonraki ana sürümü olarak resmen onayladı.

Dört yıl süren tartışmalardan ve 28 protokol taslağından sonra nihayet karar alındı ve 28’inci son versiyon yeni protokol standardı olarak seçildi.

Kısa bir süre içinde TLS 1.3’ün internet üzerinde (HTTPS bağlantılarında) şifreli bir iletişim kanalı oluşturan standart yöntem haline gelmesi bekleniyor.

TLS 1.3 daha iyi şifreleme, daha az gecikme getiriyor

Bu protokolün önceki sürümüne (TLS 1.2’e) göre birçok avantajı var. En büyük özellik, TLS 1.3’ün daha eski encryption and hashing algoritmalarını (MD5 ve SHA-224 gibi) ortadan kaldırması ve daha yeni ve zor algoritma alternatiflerini (ChaCha20, Poly1305, Ed25519, x25519 ve x448 gibi) getirmesidir.

İkinci olarak, TLS 1.3 istemci ile sunucu arasındaki ilk el sıkışma aşamasında çok daha hızlıdır ve birçok şirketin eleştirdiği HTTP üzerinden HTTPS’yi desteklemede bağlantı gecikme süresini azaltır.

Üçüncü olarak, TLS 1.3 ayrıca TLS False Start ve Zero Round Trip Time (0-RTT) gibi özellikleri de destekleyecektir, aynı zamanda müşterinin daha önce konuştuğu ana bilgisayarlarla şifreleme el sıkışmaları oluşturmak için gereken zamanı azaltmaya yardımcı olur.

Dördüncü olarak TLS 1.3, önceki TLS sürümlerinden de daha üstündür çünkü bir saldırganın bir sunucuyu protokolün eski bir sürümünü kullanarak bilinen güvenlik açıklarına karşı tetiklemesini engelleyen indirme saldırılarına karşı koruma sağlar.

IETF, arka kapıyı yerleştirme çabalarından kaçındı

Sonuç olarak, TLS 1.3 en azından bugünün kaynakları ile kırmanın çok zor olduğu kabul edilen, Internet güvenliği için ciddi bir destektir.

Taslak sırasında finans sektörünün üyeleri protokol yapısında bir arka kapıdan giriş yapılmasını istediyse de, finans kurumları TLS 1.3 trafiğini iç ağlar içinde çözebilirdi, IETF üyeleri bu öneriyi ret ederek mevcut protokolü oybirliğiyle protokolü kabul ettiler.

Protokolün taslak aşamasında getirilen bu öneriler uzmanlar tarafından gülünç bulundu, çünkü konulacak herhangi bir arka kapı TLS 1.3’ü işe yaramaz hale getirecekti.

Ara Cihaz (Middlebox) sorunu

Chrome, Edge, Firefox ve Pale Moon gibi tarayıcılar, TLS 1.3 taslağının önceki sürümleri için destek veriyorlardı ve şimdi bu desteği resmi standart güncellemelerine getirmeleri beklenmektedir.

Tarayıcılar TLS 1.3’ü uygulamak için en hızlı davranacak olan taraf olacakken, asıl sorun yeni protokolü desteklemek için ürün yazılımı güncellemelerini alması gereken daha eski internet ara cihaz ekipmanlarındadır.

Aralık 2017’de yapılan bir Cloudflare araştırmasında, TLS 1.3’ün yalnızca internet HTTPS trafiğinin% 0,06’sını oluşturduğunu ve bu düşük pazar payının ana sebebinin, pek çok ara cihazın yeni protokolü destekleyemedikleri için trafiği bilinçli olarak düşürdüğüdür.

Bu eski ve yaşlanan ara cihaz kutuları, Şubat 2017’de 50.000’in üzerinde Chromebook’un çeşitli sorunlar yaşadığı bir olayın merkezinde yer aldılar. Google, Chrome OS’de TLS 1.3’e  daha fazla önem verdi ve sonuç olarak, bu protokolü kullana safalara girildiğinde titrek ekranlara veya kilitlenen cihazlara sebep oldu. Google, sorunu çözmek için mecburen Chrome OS’de en sonunda TLS 1.3 desteğini geri almak zorunda kaldı.

Sonuç olarak, web tarayıcımız yeni protokolü hemen destekleyecek olsa da sunucu tarafında (güvenlik duvarları, yük dengeleme veya içerik kontrol ve denetimi yapan diğer cihazlar gibi) cihazların da desteklemesi gerekmektedir. Bu donanımların üreticilerinin yeni protokole destek vermesi biraz zaman alacaktır.

Açıklama: Middlebox veya Ara cihaz nedir? 

Bir middlebox veya ara cihaz, trafiği paket yönlendirme dışındaki amaçlar için dönüştüren, denetleyen, filtreleyen veya başka bir şekilde yönlendiren bir bilgisayar ağ aygıtıdır. Ara cihazların yaygın örnekleri arasında istenmeyen veya zararlı trafiği filtreleyen güvenlik duvarları ve paketlerin kaynak ve hedef adreslerini değiştiren ağ adresi çeviricileri bulunur. Adanmış bir ara cihaz donanımı ağ güvenliği ve performansını geliştirmek için kurumsal ağlarda yaygın olarak kullanılmaktadır, ancak ev ağı yönlendiricilerinde genellikle entegre güvenlik duvarı, NAT veya diğer ara cihaz işlevleri bulunmaktadır. Ara cihazların ve diğer ağ cihazlarının yaygın olarak dağıtımı, daha yüksek katmanlı protokollerle zayıf etkileşime bağlı olarak bazı zorluk ve eleştirilere yol açmıştır.