Auswirkungen von TLS 1.3 auf Netzwerk und Sicherheit
Bei all diesen Vorteilen, was könnte da schon problematisch sein? Schön, dass Sie fragen! Bei Nutzung von PFS können nur die Endpunkte (der Webbenutzer und der Anwendungsserver) den Datenverkehr entschlüsseln. Wahrscheinlich verfügen Sie aber über eine oder mehrere Lösungen, wie z. B. eine Firewall der nächsten Generation, ein Intrusion-Detection-System (IDS) oder eine Malware-Sandbox, die so konzipiert sind, dass sie bösartigen Datenverkehr, der aus Ihrem Netzwerk austritt, erkennen. Alternativ setzen Sie vielleicht eine Webanwendungs-Firewall, ein IDS oder eine Analyselösung vor einer Anwendung, die Sie hosten, ein. All diese Lösungen befinden sich zwischen einem Benutzer und der Anwendung oder Website, mit der der Benutzer verbunden ist, sodass sie in der Regel blind für den verschlüsselten Datenverkehr sind.
Einige Sicherheitsprüfungstools können zwar entschlüsseln. Dies ist jedoch oft mit Leistungseinbußen bei den Tools verbunden und erhöht die Komplexität Ihrer Netzwerkarchitektur. Außerdem kann eine blinde Entschlüsselung von allem zu Verletzungen der Datenschutzbestimmungen führen.
Erwähnenswert ist, dass einige Sicherheitsexperten wegen des Potenzials für Replay-Angriffe aufgrund der 0-RTT-Funktion in Sorge sind. Und ohne 0-RTT, die in der TLS-Konfiguration aktiviert ist, verlieren Sie möglicherweise den größten Teil der Leistungssteigerung, die Sie überhaupt erst zur Implementierung motiviert hat.
Ist es an der Zeit, TLS 1.3 für Ihre Webanwendungen zu implementieren?
Die Entscheidung, TLS 1.3 zu diesem Zeitpunkt zu implementieren, ist abhängig von Ihren Anforderungen und Motivationen. Es gibt einige Browser, die TLS 1.3 nicht unterstützen, was zu einer negativen Benutzererfahrung führen könnte. Wenn Sie außerdem potenziell anfällige Funktionen wie die Neuverhandlung herausnehmen und PFS für die TLS 1.2-Konfiguration Ihrer Anwendungen verwenden, erhalten Sie dieselben Sicherheits- und Datenschutzvorteile wie bei TLS 1.3. Was eine mögliche Leistungssteigerung betrifft, so sollten Sie gründliche Tests durchführen, um zu sehen, ob dies für Ihre Anwendung zutrifft, da sich der Aufwand bei deaktiviertem 0-RTT möglicherweise nicht lohnt.
Wie auch immer Sie sich entscheiden, es bedeutet nicht, dass frühere Versionen von TLS in absehbarer Zeit verschwinden werden. Google hat angekündigt, dass es TLS 1.0 und 1.1 ab 2020 nicht mehr unterstützen wird, sodass TLS 1.2 noch eine ganze Weile in Umlauf bleiben wird. Mit Ausnahme einiger durchgehender API-Verbindungen müssen Sie die Unterstützung für TLS 1.2 (und möglicherweise 1.1) noch einige Zeit fortsetzen, um sicherzustellen, dass die Verbindungen der Benutzer zu Ihren Anwendungen nicht unterbrochen werden.