TLS 1.3 migliora notevolmente le versioni precedenti del protocollo TLS (SSL).
Dopo aver letto questo articolo sarai in grado di:
Argomenti correlati
Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.
Copia link dell'articolo
TLS 1.3 è l'ultima versione del protocollo TLS. TLS, utilizzato da HTTPS e altri protocolli di rete per la crittografia, è la versione moderna di SSL. TLS 1.3 ha eliminato il supporto per le funzionalità crittografiche più vecchie e meno sicure e, tra gli altri miglioramenti, ha velocizzato gli handshake TLS.
Per contestualizzare, l'Internet Engineering Task Force (IETF) ha pubblicato TLS 1.3 nell'agosto 2018. La versione sostituita, TLS 1.2, era stata standardizzata un decennio prima, nel 2008.
In poche parole, TLS 1.3 è più veloce e più sicuro di TLS 1.2. Una delle modifiche che rende TLS 1.3 più veloce è un aggiornamento al funzionamento dell'handshake TLS: gli handshake TLS in TLS 1.3 richiedono solo un round trip (o comunicazione avanti e indietro) invece di due, riducendo il processo di alcuni millisecondi. E nei casi in cui il client si sia già connesso in precedenza a un sito Web, l'handshake TLS non avrà alcun round trip. Ciò rende le connessioni HTTPS più veloci, riducendo la latenza e migliorando l'esperienza complessiva dell'utente.
Molte delle principali vulnerabilità di TLS 1.2 erano legate ad algoritmi di crittografia più vecchi, ancora supportati. TLS 1.3 non supporta più questi algoritmi di crittografia vulnerabili e, di conseguenza, è meno vulnerabile agli attacchi informatici.
Gli aggiornamenti sono una parte naturale dello sviluppo del software. I sistemi informatici sono così complessi che è inevitabile che necessitino di riparazioni o miglioramenti per renderli più efficienti o più sicuri. Ogni software presenta delle vulnerabilità, ovvero dei difetti che un malintenzionato può sfruttare.
Nel caso di TLS, alcune parti del protocollo ereditate dai suoi albori negli anni '90 hanno causato la persistenza di diverse vulnerabilità di alto profilo in TLS 1.2. Inoltre, coloro che lavorano allo sviluppo del protocollo individuano continuamente inefficienze che possono essere eliminate.
L'IETF è responsabile dello sviluppo di TLS, codificando feedback e idee tramite un documento noto come "Request For Comments" o RFC. La maggior parte dei protocolli su Internet è definita tramite una RFC. Tutte le RFC sono numerate; TLS 1.3 è definito dalla RFC 8446.
Una volta rilasciata una nuova versione di un protocollo, spetta ai browser e ai sistemi operativi creare il supporto per tali protocolli. Tutti i sistemi operativi e i browser dovrebbero puntare a prestazioni e sicurezza migliori, quindi sono incentivati a farlo. Tuttavia, potrebbe volerci ancora del tempo prima che il supporto per i protocolli aggiornati si diffonda ampiamente, soprattutto perché le aziende private e i consumatori potrebbero essere lenti ad adottare le ultime versioni di browser, applicazioni e sistemi operativi.
Una vulnerabilità del software è un difetto nella progettazione di un programma per computer che un malintenzionato può sfruttare per compiere attività dannose o ottenere un accesso illecito. In sostanza, le vulnerabilità sono inevitabili nei sistemi informatici, proprio come è praticamente impossibile costruire una banca che sia inattaccabile da rapinatori altamente determinati.
La community della sicurezza documenta e cataloga le vulnerabilità man mano che vengono scoperte e descritte. Alle vulnerabilità note viene assegnato un numero, come CVE-2016-0701. Il primo numero è l'anno in cui la vulnerabilità è stata scoperta.
Diverse funzionalità crittografiche obsolete hanno creato vulnerabilità o consentito specifici tipi di attacchi informatici. Di seguito è riportato un elenco non esaustivo delle debolezze della crittografia TLS 1.2 e delle vulnerabilità o degli attacchi a esse associati.
Oltre a quelle elencate sopra, sono state rimosse numerose funzionalità di TLS 1.2. L'idea è di rendere impossibile a chiunque abilitare gli aspetti vulnerabili di TLS 1.2. È un po' come quando il governo ha reso illegale la produzione di nuove automobili senza cinture di sicurezza: l'obiettivo di queste normative era quello di eliminare gradualmente le automobili senza cinture di sicurezza, in modo che tutti potessero essere più sicuri. Per un certo periodo, gli automobilisti potevano ancora scegliere di utilizzare modelli di auto più vecchi e meno sicuri, ma alla fine le auto più pericolose sono scomparse dalle strade.
Cloudflare dà priorità al supporto di tutte le versioni più recenti e sicure dei protocolli di rete. Cloudflare ha offerto immediatamente supporto per TLS 1.3; infatti, Cloudflare supportava TLS 1.3 già nel 2016, prima che l'IETF completasse la messa a punto.
Per maggiori dettagli tecnici su TLS 1.3 e sulle sue differenze rispetto a TLS 1.2, consulta questa analisi dettagliata di TLS 1.3 di Nick Sullivan, responsabile della crittografia di Cloudflare.