Nul
Video: Facebook security-chef: “Vi kører vores netværk næsten som en college campus”
Du har måske bemærket, at Google ‘ s Chrome web browser nu mærker alle hjemmesider uden Transport Layer Security (TLS) for at være usikre. Så er det tid til at sikre dine websteder med TLS. Så længe du gør dette, giver Facebook ‘ s nye open source TLS 1.3 bibliotek, Boblevand en prøve.
TLS-1.3 er den nyeste version af TLS. Igen, TLS er erstatning for Secure Socket Layer (SSL). Det er designet til at være bedre end sine forfædre på at forebygge angreb. TLS-1.3 gør dette ved at støtte en stærkere kryptering og droppe support for mange ældre, ikke længere en sikker kryptering algoritmer.
Mens TLS 1.3 er et skridt over TLS-1.2, er det ikke blevet udbredt. En Cloudflare undersøgelse, som gjorde, TLS 1.3 som standard på serveren siden sidste år, blev fundet i December 2017, der kun 0,6 procent af trafikken blev sikret med TLS-1.3.
Også: Smugkigger på HTTPS handler om at få hårdere
Nu med Facebook både understøtter TLS 1.3 og frigivelse af gennemførelsen som open-source, måske TLS 1.3 endelig vil blive mere populære.
Ifølge Facebook, Fizz er en robust, meget højtydende TLS bibliotek skrevet i C++ 14. Ud over TLS-1.3 indbyggede sikkerhed fordele, Boblevand og tilbyder en bedre løsning for middlebox håndtryk fejl, understøtter asynkrone I/O som standard, og kan håndtere scatter/gather I/O at fjerne behovet for ekstra kopier af data.
For at gøre dette ske, Facebook har arbejdet med Internet Engineering Task Force (IETF) at standardisere TLS 1.3. Tidligere, Facebook forbedret TLS ved implementering af Nul-protokollen. Dette er en brugerdefineret protokol, der gav os lov til at eksperimentere med oprettelse af 0-RTT sikre forbindelser. Hjælp 0-RTT data reducerer ventetid for anmodninger, der bruger TLS, og den ventetid overhead er nødvendige for at implementere TLS. Med Boblevand TLS 1.3 ‘ s hastighed er på niveau med Nul-protokollen, så Facebook har erstattet Nul-protokollen med TLS-1.3.
Facebook hævdede også, Fizz reducerer hukommelse og CPU bruger. Nettet reducere er Facebook ‘ s load balancer syntetiske benchmarks viser, at cirka 10 procent højere kapacitet, end vores tidligere stak.
Den Fizz TLS 1.3 gennemførelse også reducerer ventetid når oprette sikre forbindelser, sammenlignet med TLS-1.2. Dette forbedrer brugeroplevelsen, især på app opstart, når der ikke er nogen eksisterende forbindelser til genbrug.
Også: SSL OG TLS-Essentials: Sikring af Web – reference book CNET
Fizz det lykkedes også til forbedring af ydeevne for et stort distribueret server, netværk, såsom Facebook er ved at skubbe certifikat operationer og billet dekryptering til eksterne tjenester. Fizz gør dette ved hjælp af futures til at give en enkel async application programming interface (API). Dermed, enhver Fizz tilbagekald fra Fizz kan vende tilbage en asynkron svar uden at blokere for service fra behandling af andre håndtryk.
Den nye Fizz også understøtter Api ‘ er, der kan sende begyndelsen af data umiddelbart efter TCP-forbindelsen er etableret. Tidlige data reducerer anmodninger latenstid. Dette er især vigtigt, når mobile app først starte op.
Selvfølgelig, ved hjælp af tidlig data potentielt åbner døren for hackere. Facebook ‘ s gennemførelse af Fizz løser dette ved hjælp af en replay cache sammen load balancers. Dette opdager og afviser afspilles data. Fizz giver simpelt Api ‘ er til at være i stand til at afgøre, hvornår transporter replay sikker og kan bruges til at sende ikke-replay sikker data.
En anden grund til virksomheder, der har undgået TLS 1.3 network security appliance leverandører gjorde det umuligt at opdatere deres firmware. Mens det, der gør dem til et dårligt valg for sikkerhed, er mange virksomheder er afhængige af dem. Det er en fejl. For eksempel, Symantec ‘ s BlueCoat apparatet enkelt hængt op på Chromebook TLS 1.3 forbindelser i februar 2017.
Facebook har taget stilling til dette i Fizz ved at gøre de første dele af TLS-1.3 håndtryk til at ligne TLS-1.2 genoptagelse håndtryk. Med denne fremgangsmåde, TLS 1.3 blev pålideligt deployerbare uden fallback til TLS-1.2.
Også: En hurtig guide til SSL/TLS-certifikater, TechRepublic
Dette er på arbejde. Ifølge Facebook, “i Dag, mere end 50 procent af vores internet-trafik er sikret med TLS-1.3, og som vil fortsætte med at vokse som browsere og apps tilføje understøttelse for TLS-1.3. RFC 8446 vil snart blive offentliggjort, hvilket gør TLS 1.3 en internet standard.”
Nu, at Facebook har vist, at der TLS 1.3 kan være installeret på omfanget og Google gør TLS en de facto virksomhed krav, er det tid til at skifte dine sites, applikationer og servere, til TLS-1.3. Og, med Boblevand open source under en BSD-licens, bør du overveje at bruge det til din virksomhed-installationer. Du vil blive glad for du gjorde.
Relaterede historier:
Smugkigger på HTTPS handler om at få sværere: TLS-1.3 internet-kryptering vinder approvalIn kryptering tryk, Chrome flag HTTP sites som “ikke sikker”Facebook udgivelser Sonar debugging værktøj til open source-fællesskabet
Relaterede Emner:
Netværk
Sikkerhed-TV
Data Management
CXO
Datacentre
0