Dopo quattro anni di discussioni e 28 bozze l’Ietf ha finalmente approvato Tls 1.3, la nuova versione del protocollo utilizzato per cifrare gli scambi web via Https. La nuova versione del protocollo migliora notevolmente la sicurezza e le prestazioni delle connessioni web attraverso una serie di nuove funzionalità e miglioramenti.
In questo modo sono stati abbandonati algoritmi di hash e crittografia obsoleti, come Rsa, Rc4, Md5 o Sha-224. È stata inoltre generalizzata la tecnica della perfetta e persistente riservatezza (Perfect forward secrecy). Basato sul principio della chiave di sessione effimera, assicura che, anche se un attaccante riesce a decifrare il contenuto di una sessione, non avrà accesso alle sessioni precedenti.
I nuovi strumenti per la sicurezza di Tls 1.3
Il Tls 1.3 include anche una protezione contro gli attacchi di downgrade, in cui un hacker può intrufolarsi nel livello di sicurezza di una connessione forzando l’utilizzo di una versione precedente del protocollo. Poodle, Freak o Logjam sono esempi di questo tipo di attacco.
Ora, se un client e un server accettano di utilizzare insieme una versione precedente del protocollo, un meccanismo crittografico verificherà che questa negoziazione non sia stata influenzata da una terza parte.
Infine, la Tls 1.3 consente di stabilire più rapidamente le connessioni, in quanto il processo di negoziazione delle chiavi è stato notevolmente semplificato. Richiede solo un viaggio di andata e ritorno tra il client e il server, rispetto ai due precedenti. La latenza sarà quindi molto più bassa. Se il client e il server hanno avuto recentemente degli scambi, possono stabilire una connessione senza alcuna negoziazione grazie alla funzione “0-RTT Resumption” (Ripresa 0-RTT).
Questo nuovo standard è già in vigore nelle grandi aziende, in particolare nel settore finanziario. I principali browser web hanno già iniziato a implementare la Tls 1.3. Ma prima di poter davvero beneficiare di questo nuovo scudo protettivo, dovremo aspettare un po’ di più. Nell’ultima rilevazione effettuata Tls 1.3 rappresenta meno dell’1% del traffico web.