Noll
Video: Facebook security chefen: “Vi kör vårt nätverk nästan som en college campus”
Du kanske har märkt att Google Chrome webbläsare nu markerar alla webbplatser utan TLS (Transport Layer Security) som osäkra. Så, det är senaste tid för att säkra dina platser med TLS. Så länge du gör detta, ge Facebook nya öppen källkod-TLS 1.3 bibliotek, Fräsa ett försök.
TLS 1.3 är den nyaste versionen av TLS. I sin tur, TLS är en ersättning för Secure Socket Layer (SSL). Det är utformat för att vara bättre än sina förfäder på att förhindra attacker. TLS 1.3 gör detta genom att stödja starkare kryptering och släppa stöd för många äldre, inte längre säker kryptering algoritmer.
Medan TLS 1.3 är ett steg över TLS 1.2, det har inte varit spridda. En Cloudflare studie, vilket gjorde TLS 1.3 som standard på serversidan förra året, hittade i December 2017 för att endast 0,6 procent av trafiken var säkrad med TLS 1.3.
Också: Snooping på HTTPS handlar om att få svårare
Nu, med Facebook både som stöder TLS 1.3 och släppa genomförs som öppen källkod, kanske TLS 1.3 slutligen kommer att bli mer och mer populär.
Enligt Facebook, Fizz är en robust, mycket hög prestanda TLS-bibliotek skrivet i C++ 14. Förutom TLS 1.3 inbyggda säkerhet fördelar, Fizz erbjuder en bättre lösning för middlebox handslag misslyckanden, stödjer asynkron I/O som standard, och kan hantera scatter/samla i/O för att eliminera behovet av extra kopior av data.
För att göra detta hända, Facebook har arbetat med Internet Engineering Task Force (IETF) för att standardisera TLS 1.3. Tidigare, Facebook förbättrad TLS genom att använda Noll protokoll. Detta är ett eget protokoll som tillät oss att experimentera med att etablera 0-RTT säkra anslutningar. Med 0-RTT uppgifter minskar fördröjningar av förfrågningar använder TLS, och latens overhead som krävs för att använda TLS. Med Fizz TLS 1.3 hastighet är i paritet med Noll i protokollet, så att Facebook har ersatt Noll protokoll för TLS-1.3.
Facebook hävdade också Fräsa minskar minne och CPU-användning. Nätet minska är Facebook ‘ s lastbalanserare syntetiska riktmärken visas att cirka 10 procent högre genomströmning än våra tidigare stack.
Den Fräsa TLS 1.3 genomförande minskar också avsevärt latency när upprätta säkra anslutningar, jämfört med TLS 1.2. Detta förbättrar användarens upplevelse, särskilt om start av program när det inte finns några befintliga anslutningar till återanvändning.
Dessutom: SSL-OCH TLS-Essentials: Säkra Webb – uppslagsbok CNET
Fizz också lyckats förbättra prestanda för en stor distribuerad server nätverk såsom Facebook är genom att avlasta intyg verksamhet och biljett dekryptering för att avlägsna tjänster. Fizz gör detta genom att använda terminer för att ge en enkel asynkron application programming interface (API). Alltså, någon Fizz återuppringning från Fizz kan returnera en asynkron svar utan att blockera tjänsten från bearbetning andra handslag.
Den nya Fizz också stöd för Api: er som kan skicka tidiga uppgifter omedelbart efter TCP-anslutning har upprättats. Tidiga data minskar önskemål latens. Detta är särskilt viktigt när mobil-app första start.
Naturligtvis med hjälp av tidiga uppgifter potentiellt öppnar dörren för angripare. Facebook är genomförandet av Fizz löser detta genom att använda en repris cache tillsammans lastbalanserare. Detta upptäcker och avvisar spelas data. Fizz erbjuder enkla Api: er för att kunna avgöra när transporter är en repris säker och kan användas för att skicka icke-replay säkra data.
En annan anledning till att företag har undvikit TLS 1,3 network security appliance leverantörer har gjort det omöjligt att uppdatera firmware. Medan det som gör dem till ett dåligt val för säkerhet, många företag förlitar sig på dem. Det är ett misstag. Till exempel, Symantecs BlueCoat apparaten helt enkelt hängas upp på Chromebook TLS 1.3 anslutningar i februari 2017.
Facebook tagit upp det i Fizz genom att göra de första delarna av TLS 1.3 handslag ser ut som den TLS-1.2 återupptagande handslag. Med detta synsätt, TLS 1.3 blev ett tillförlitligt sätt sättas med någon återgång till TLS 1.2.
Också: En snabb guide till SSL/TLS-certifikat TechRepublic
Detta fungerar. Enligt Facebook “Idag, mer än 50 procent av vår internet-trafik är säkrad med TLS 1.3, och som kommer att fortsätta att växa som webbläsare och appar för att lägga till stöd för TLS 1.3. RFC 8446 kommer att publiceras inom kort, vilket gör TLS 1.3 en internet-standard.”
Nu när Facebook har visat att TLS 1.3 kan vara framgångsrikt använts vid skala och Google gör TLS en de facto-krav för verksamheten, är det dags att byta dina webbplatser, applikationer och servrar för att TLS 1.3. Och, med Fizz öppen källkod under BSD-licens, bör du överväga att använda det för ditt företag distributioner. Du kommer vara glad att du gjorde.
Relaterade artiklar:
Snokande på HTTPS handlar om att få svårare: TLS 1.3 internet kryptering vinner approvalIn kryptering push, Chrome flaggor HTTP platser som “inte säker”Facebook släpper Ekolod debugging-verktyg för öppen källkod
Relaterade Ämnen:
Nätverk
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0