یک استاندارد جدید برای رمزنگاری در افق به نام سطح حمل و نقل امنیت 1.3 (TLS 1.3)
TLS 1.3 به روز رسانی عمده به رمز نویسی است، و اساسا تغییر نحوه وب سایت ها و خدمات مذاکره و اجرای سرویس های رمز شده.
از جمله پیشرفت های بزرگ، دستیابی سریع تر به وب سایت ها (به معنی زمان بارگیری بار سریعتر صفحه)، رمزهای جدید (انواع جدید و قوی تر رمزگذاری) و توابع جدید هش (نوع تأیید برای بررسی اینکه آیا داده های واقعی ) این همچنین ویژگی های بهبود حریم خصوصی مانند کاهش میزان متادیتا که در معرض استقرار است، به عنوان تمام متادیتا که برای مسیریابی در اطراف وب مورد نیاز نیست، اکنون در پشت رمزگذاری پنهان است.
اما در میان این سواحل گسترده پنهان است بروز رسانی که می تواند موجب تغییرات بزرگی در کشورهایی شود که سانسور جرم اینترنتی را انجام می دهند. به روز رسانی در مورد چگونگی عملکرد نامگذاری نام سرور به سرویسها اجازه می دهد تا به راحتی یکی دیگران را جعل کنند.
نام سرور نامگذاری (SNI) برای Front Domain استفاده می شود، به این معنی که سرویس وب به نظر می رسد مانند یک سرویس است، در واقع سرویس دیگری به طور کامل است. این برای کمک به شبکه های تحویل محتوا فراهم می شود که دسترسی سریع به شبکه در سراسر جهان را فراهم می کند و کمک می کند تا از بین بردن خرابی ها جلوگیری شود.
SNI نیز برای اهداف دیگری مورد استفاده قرار می گیرد. این اجازه می دهد تا خدمات سانسور شده به "سانسور نشده" به سیستم های سانسور خودکار بپردازند. این سیستم ها یک وب سایت ممنوع را به عنوان یک مجوز قانونی اشتباه گرفته و اجازه می دهد تا آن را بارگذاری کند، به جای اینکه کاربر را مسدود یا هدایت آنها را به یک محتوای معتبرتر از دولت تأیید کند.
در حال حاضر SNI در TLS 1.2 دارای نقصی است که اجازه می دهد سانسورها تمایز بین یک سرویس "واقعی" و یک سرویس "تقلبی" اگر آنها به اندازه کافی هوشمندانه برای کشف آن هستند. جالب اینجاست که SNI در TLS 1.3 این مشکل را با پنهان کردن تمام اطلاعات مربوط به سرویس پشت رمزنگاری حل می کند.
این بدان معنی است که سرویس هایی مانند VPN ها و Tor می توانند سیستم های سانسور را کاملا از طریق سرور های گوگل، آمازون یا مایکروسافت از بین ببرند. این سه نام برای اهداف سانسور 2018 و فراتر از آن بسیار مهم هستند، زیرا اساسا اکثر اینترنت ما می دانیم. اگر گوگل ابر، وب سرویس های آمازون و مایکروسافت لاجورد اجازه دامنه ای را که با TLS 1.3 قرار دارند، سانسور کنند، مانند چین، با انتخاب باینری مواجه است. آنها می توانند مسدود سازی های غول پیکر اینترنت را متوقف کنند (و با انعطاف پذیری زیاد روبرو می شوند) و یا اجازه می دهد تا SNI کار کند، این بدان معنی است که یک سقوط جدی برای سانسور در سراسر جهان است.
مشکل این است که وب سرویس های آمازون و Google Cloud در حال حاضر اجازه دامنه را نمی دهند. جلو فقط مایکروسافت Azure می کند. این موضوع مشکل ساز است؛ زیرا این امر موجب تحریک سانسور می شود و به آنها اجازه می دهد به راحتی یک سرویس ابر را بجای اکثر اینترنت متصل کنند. این به آنها فرصتی برای تنبیه مجرم را می دهد تا آنها را مجبور به انتخاب بین دادن اطلاعات آزاد یا مواجهه با فشار داخلی باورنکردنی کنند. به حداکثر رساندن آسیب وثیقه ای که توسط مسدود کردن خدمات ضد سانسور انجام می شود، بهترین راه برای جلوگیری از ادامه سانسور کردن کشورها برای سرکوب اطلاعات است.
آمازون و گوگل باید موضع خود را در مورد این مسئله تجدید نظر کنند. در حال حاضر متحد در پشت وب رایگان موضوع مهم برای همه است و در بهره وری از شرکت های اینترنتی و شهروندان اینترنت به طور یکسان است.
درباره Derek Zimmer
Derek رمزگشایی، متخصص امنیت و فعال حریم خصوصی است. او دارای دوازده سال تجربه امنیتی و شش سال تجربه در طراحی و اجرای سیستم های حریم خصوصی است. وی تأسیس صندوق بهبود فناوری متن باز (OSTIF) را که با ایجاد و بهبود راهکارهای امنیتی منبع باز از طریق حسابرسی، رفع مشکلات و جمع آوری و مدیریت منابع تأسیس شده است، تأسیس می کند.
آنها قادر خواهند بود که آدرس و پورت IP و آدرس مقصد و مقصد و همچنین دامنه ای که به آن وصل می شوید (مثلا security.stackexchange.com ) را مشاهده کنید. آنها همچنین قادر خواهند بود اندازه هر بسته را ببینند. با این حال، تا زمانی که آنها به طور فعال در ارتباط با حمله (به عنوان مثال با یک گواهی ریشه شما اعتماد است که اجازه می دهد تا آنها را به انجام بازداشت) و تا زمانی که TLS به درستی اجرا شده، آنها قادر نخواهد بود برای خواندن محتوای واقعی ترافیک . این شامل مسیری است که در حال دسترسی است (به عنوان مثال / q / 191576/165253 ).
من توصیه می کنم شما را بخوانید. چگونه SSL / TLS کار می کند؟ برای آشنا شدن با موضوع.
Cisco AnyCconnect SSL VPN است. همچنین WebVPN بدون مشتری وجود دارد که در آن شما به یک سایت داخلی در ASA مرور می کنید، درست همانطور که از AnyConnect استفاده می کنید، اما بعد از آن شما از طریق آن پورتال وب به سرورهای داخلی دسترسی خواهید داشت. مزیت این است که کل اتصال شما تونل نمی شود – این تنها چیزی است که شما از طریق پورتال وب دسترسی پیدا می کنید. برای مثال، شما از یک فیلد کشویی بر روی Telnet، HTTP (s)، RDP، SSH را انتخاب کرده و سپس به آن IP یا نامی که می خواهید به آن در صفحه وب متصل شوید بگویید.
سیسکو دارای یک سرویس گیرنده دیگر به نام Client VPN Cisco است که یک مشتری IPSEC است. هنوز برای دسترسی از راه دور به مشتری، بلکه فقط با استفاده از IPSEC است. مزیت این است که ASA ها دارای مجوز برای IPSECright خفاش هستند، در حالی که شما مجبور به خرید مجوز سیسکو APEX من سفارش به استفاده از AnyConnect. این هزینه می شود.
یک مشکل برای استفاده از VPN Cisco Client من از AnyConnect است که آن را با ویندوز 10 و بالاتر سازگار نیست. شما باید برخی از هکرها شامل مشتری VPN SonicWall و یا استفاده از چیزی مانند Shrewsoft VPN به جای
مشاهده توالی های نوع پیام TLS از طریق wireshark توسط nevigating به دو وب سایت های مختلف، متوجه شد که دو توالی متفاوت هستند. هر دلیلی برای آن؟ این به دلیل پیاده سازی های مختلف TLS است
Case1:
ClientHello، ServerHello، گواهی، ServerKeyExchange، ServerHelloDone، ClientKeyExchange، ChangeCipherSpec، EncryptedHandshakeMessage، NewSessionTicket، ChangeCipherSpec، MultipleHandshakeMessage،
ApplicationData * 4
Case2:
ClientHello، MultipleHandshakeMessage، ClientKeyExchange، ChangeCipherSpec، EncryptedHandshakeMessage، ChangeCipherSpect، EncryptedHandshakeMessage، ApplicationData * 3
