TLS 1.3 es aprobado como estándar oficialmente
Se completó una revisión de un protocolo crítico de seguridad de Internet, y TLS 1.3 se convirtió en estándar de forma oficial el fin de semana pasado.
Al describirlo como "una revisión importante diseñada para la Internet moderna", el Grupo de trabajo de ingeniería de Internet (IETF) señaló que la actualización contiene "mejoras importantes en las áreas de seguridad, rendimiento y privacidad".
Una de las ventajas de seguridad más grandes es que hará que sea mucho más difícil para los espías descifrar el tráfico interceptado. La vigilancia masiva de las comunicaciones por Internet por parte de la Agencia de Seguridad Nacional de los Estados Unidos (NSA) revelada en 2013 por Edward Snowden, fue un importante impulsor en el diseño del nuevo protocolo.
El trabajo sobre el estándar TLS 1.3 comenzó en abril de 2014 y realizaron más de 28 borradores antes de finalmente ser aprobado en marzo de este año. El protocolo es tan importante para la encriptación del tráfico de Internet que hasta el 10 de agosto los ingenieros han tenido que comprobar que nada en él causará problemas importantes.
La nueva versión, que algunos argumentan podría llamarse TLS 2.0 debido a la importancia de los cambios, hace que tres RFCs anteriores sean obsoletos.
Actualmente no hay agujeros de seguridad identificados en los algoritmos utilizados en TLS 1.3; lo mismo no se puede decir de 1.2.
Y eso apunta a la parte más crítica del nuevo RFC 8446: hacer que la gente realmente lo implemente.
Cómo será la integración
No debería ser muy difícil. Uno de los editores de las especificaciones TLS y HTTPS, Eric Rescorla, le dijo a principios de este mes que se había trabajado mucho para facilitar el despliegue.
"Es un reemplazo directo para TLS 1.2, utiliza las mismas claves y certificados, y los clientes y servidores pueden negociar automáticamente TLS 1.3 cuando ambos lo admiten", señaló, y agregó: "Ya hay bastante buen soporte de bibliotecas, y Chrome y Firefox tiene TLS 1.3 activado de forma predeterminada ".
Ha habido problemas: borradores anteriores rompieron muchos middleboxes y Google detuvo su plan para admitir el nuevo protocolo en Chrome cuando un administrador de escuelas de TI en Maryland informó que un tercio de los 50,000 Chromebooks se bloquearon después de actualizarse para usar esa nueva tecnología .
La forma en que TLS 1.3 funciona también provocó un alegato de última hora por parte de la industria bancaria para hacer un cambio e introducir efectivamente una puerta trasera en el sistema porque podría bloquearlos para que no vean lo que sucedía dentro de sus propias redes.
En respuesta, los ingenieros hicieron algunas mejoras y la visión general ahora es que si TLS 1.3 interrumpe el monitoreo de su red, entonces probablemente lo esté haciendo mal en primer lugar.
El IETF está interesado en señalar que se ha trabajado mucho para garantizar que TLS 1.3 se haya probado en situaciones del mundo real antes de obtener el sello oficial.
"El proceso de desarrollo de TLS 1.3 incluyó un trabajo significativo sobre el código en ejecución", señaló, y agregó: "Esto significó construir y probar implementaciones de muchas compañías y organizaciones que ofrecen productos y servicios ampliamente utilizados en Internet, como navegadores web y redes de distribución de contenido ".
Además del hecho de que el nuevo protocolo proporciona mejoras de seguridad, también existen buenas razones para establecer una red.
La nueva versión consume menos recursos y es más eficiente, lo que significa que debe poder reducir la latencia y beneficiarse de un menor uso de la CPU.
Existe algúna desventaja o problema con TLS 1.3
Si hay una desventaja, es la preocupación por la adición de un componente llamado "Reanudación 0-RTT" que efectivamente permite al cliente y al servidor recordar si han hablado antes y así evitar las comprobaciones de seguridad, utilizando las claves anteriores para comenzar a hablar inmediatamente.
Eso hará que las conexiones sean mucho más rápidas, pero abre un potencial agujero de seguridad que casi seguramente enfocará a aquellos que buscan explotar TLS 1.3. El cambio fue impulsado por grandes compañías tecnológicas como Google que se beneficiarán enormemente de comunicaciones más rápidas entre sus miles de millones de conexiones, pero algunos temen que vuelva a afectar a todos. Algunas empresas no están implementando 0-RTT como resultado.
TLS 1.3 representa un gran salto en la seguridad general
Teniendo en cuenta que la implementación no debería ser demasiado difícil, no es pan comido para los administradores de sistemas. Por supuesto, tanto como pasar a 1.3 aumentará la seguridad general, por lo que hará que las personas abandonen protocolos más precarios e inseguros. Incluso hay un impulso para matar oficialmente a TLS 1.0 y 1.1.
Más Información: Problemas de seguridad 0-RTT