TLS
es el protocolo criptográfico encargado de ofrecer comunicaciones
cifradas y seguras a través de la red, siendo su principal campo
Internet para las conexiones HTTPS.
Según informan desde TechRepublic, hace poco la IETF ha aprobado la versión 1.3 de TLS,
que viene reforzar la seguridad ofrecida por este protocolo que resulta
ser todo un estándar dentro de su segmento. La versión de TLS 1.3
aprobada corresponde al vigésimo octavo borrador presentado para actualizar TLS 1.2. El proceso ha necesitado de dos años de discusiones entre los miembros de la IETF.
De cara a los usuarios, TLS 1.3 completará las conexiones más rápido
debido al menor desorden que habrá en las comunicaciones. Este
incremento de la velocidad también hará que TLS sea más seguro gracias a
la eliminación de cifrado viejo y obsoleto. Sin
embargo, la nueva versión del protocolo no ha gustado a todo el mundo,
ya que los sectores bancario y financiero han mostrado su disconformidad
por la imposibilidad de descifrar y monitorizar las conexiones.
Los profesionales en seguridad de los sectores bancario y financiero pidieron la inclusión de una puerta trasera en TLS 1.3
para poder seguir con la monitorización del tráfico, pero dicha
propuesta fue rechazada para su inclusión el borrador aprobado. Los
miembros de la IETF decidieron rechazar la propuesta argumentado que
eliminaría buena parte de las ventajas ofrecidas por TLS 1.3.
Otra característica de TLS 1.3 que ha generado polémica ha sido 0-RTT Resumption, que permite a dos computadoras que tuvieron un handshake
almacenar la información de uno y otro y reutilizar viejas claves para
futuras conexiones. Esto entraña un riesgo, ya que un atacante que
obtenga acceso a la información de 0-RTT Resumption podría falsificar la
conexión, aunque para ello se requiere de acceso físico a una de las
computadoras que han mantenido una comunicación para así obtener la
clave.
¿Por qué mejora TLS 1.3 la velocidad de conexión? Con TLS
1.2, la conexión inicial abre un diálogo entre cliente y servidor sobre
qué tipo de clave de cifrado utilizar, la cual tiene que ser acordada
por las dos partes para luego compartir las claves. Con la versión más
reciente se elimina el debate, haciendo que la conexión inicial sea una
declaración de un cliente diciendo que quiere acceder, el servidor
ofrece una clave de cifrado y luego el cliente ofrece una clave de
sesión para realizar la conexión. Debido a que el servidor ofrece la
clave automáticamente, el cliente no podrá engañarlo para utilizar
antiguas formas de cifrado.
Como vemos, la nueva versión TLS
promete mejorar de forma significativa la seguridad de las conexiones
cifradas. Por otro lado, algunos navegadores web los soportan desde hace
tiempo basándose en lo publicado en borradores anteriores.
Fuente: https://www.muyseguridad.net/
0 Comentarios